임베디드 퍼즈 테스트란?
퍼즈 테스트는 장치의 인터페이스에 의도적으로 구성된 준(準)무작위 입력값을 지속적으로 주입해 소프트웨어 또는 하드웨어의 결함을 찾는 사이버보안 테스트 기법입니다. 테스트 과정에서는 장치의 응답 불능, 워치독 타이머 트리거, 크래시 등 보안 이슈 또는 안전에 치명적인 결함을 시사할 수 있는 이상 징후를 모니터링합니다.

다만 차량 내 임베디드 장치는 일반 IT 소프트웨어와 달리 고유한 제약이 존재합니다. 예를 들어 제동, 파워트레인 등 안전 필수(safety-critical) 기능을 수행하는 컨트롤러는 장애 발생 시 위험도가 매우 높습니다. 또한 차량 통신 프로토콜은 독자적이고 문서화가 부족한 경우가 많아 버그 탐색 과정이 “건초더미에서 바늘 찾기”처럼 비효율적일 수 있습니다. 컨트롤러마다 구조가 달라 매번 새롭게 테스트를 설계해야 하며, 무작위 입력 기반 퍼징은 시간과 하드웨어 리소스를 크게 소모합니다.

ETAS는 이러한 한계를 보완하기 위해, 개발 및 검증 과정 전반에서 자동차 시스템의 강건성과 사이버 복원력(cyber resilience)을 높이는 퍼즈 테스트 솔루션 CycurFUZZ를 제공합니다. CycurFUZZ는 기존 도구 대비 66~600% 더 많은 안전 관련 취약점 및 미탐지 소프트웨어 결함을 발견할 수 있도록 지원합니다.

AI는 퍼즈 테스트를 어떻게 개선하는가?
AI 적용 아이디어는 “서로 다른 모듈, 심지어 다른 공급업체의 모듈에서도 유사한 버그 패턴이 반복적으로 발견된다”는 관찰에서 출발했습니다. 전통적인 퍼징의 비효율성을 줄이기 위해, Zane Pelletier 팀은 보쉬 AI 센터와 협력하여 과거 히스토리와 차량 네트워크의 위협 모델을 학습한 머신러닝 모델을 개발했습니다.

팟캐스트에서는 해당 프로젝트에서 트랜스포머 기반 모델을 활용했다고 설명합니다. 이 모델은 단순히 새로운 테스트 케이스를 무작위로 생성하는 것이 아니라, 입력 스트림을 바탕으로 데이터 시퀀스의 다음 바이트(byte)를 예측하는 방식으로 동작합니다. 그 결과, 버그 발생 가능성이 높은 지점을 더 “똑똑하게” 겨냥하는 테스트 케이스를 생성할 수 있습니다.

프로젝트 성패는 훈련 데이터의 품질에 크게 좌우되었습니다. 팀은 실제 차량 네트워크의 트래픽 데이터(real-world traffic)가 정상 패턴을 이해하는 데 필수적이며, 이를 통해 이상 징후를 더욱 효과적으로 탐지할 수 있었다고 강조합니다. 또한 파인튜닝(fine-tuning) 단계에서 특정 모듈과 통신 프로토콜에 맞게 모델을 최적화할수록 테스트 효율이 크게 향상되는 점도 확인했습니다.

대표적인 실패 사례
AI 기반 퍼징을 통해 가장 자주 발견된 문제 중 하나는 서비스 거부(DoS, Denial of Service) 입니다. DoS는 모듈이 차량 네트워크의 다른 구성 요소 요청에 응답하지 못하도록 만들어, 차량 시스템 전체의 안정성과 안전에 심각한 영향을 줄 수 있습니다. 특히 자동차 네트워크에서는 모듈이 밀리초(ms) 단위로 반응해야 하므로 위험성이 더 큽니다. 이 외에도 통신 스택 크래시, 모듈의 보안 인증 우회 등 다양한 실패 사례가 논의되었습니다.

더 스마트한 취약점 탐색으로 진화하는 퍼즈 테스트
AI를 활용하면 임베디드 퍼즈 테스트의 기존 한계였던 “무작위 입력의 비효율성”을 넘어, 데이터 기반으로 취약점 가능성이 높은 영역을 정밀하게 공략할 수 있습니다. 이번 협업은 의사(擬似) 랜덤 테스트에서 한 단계 발전해, 더욱 지능적이고 효율적인 방식으로 차량 보안 취약점을 탐색하는 접근을 보여줍니다. 이는 점점 더 복잡해지고 연결되는 미래 차량을 보호하기 위한 중요한 진전입니다.