EDR (Event Data Recorder) — 차량 사고 발생 시 사고 전후 약 5초 동안의 핵심 차량 상태 정보(속도·엔진 회전수·브레이크/엑셀러레이터 작동·페달 압력 등)를 기록하는 장치. 에어백 컨트롤 모듈(ACU)에 부착되는 것이 일반적이며, 2015년 법제화 이후 신차에 ACU와 함께 기본 탑재돼 자동차 사고 조사 체계의 사실상 글로벌 표준 도구로 자리잡았다. 그러나 단국대학교 우사무엘 교수팀(2025)은 VILS(Vehicle in the loop simulation) 반복 사고 실험으로 EDR이 ‘바꿀 수 없는 증거’가 아님을 입증 — 무결성 로직이 체크섬 하나라는 사실이 드러났다.
동작 원리
- 차량의 ECU들이 정상 주행 중 RPM·속도 등 자신의 상태를 계속 송신
- 충돌 이벤트 발생 시 데이터 스트림 중 특정 구간을 잘라 저장
- 저장 위치 — 통상 EEPROM 또는 플래시 메모리. 약 60% 차량이 EEPROM 기반
사고 조사 통계 — 16% 조사 불가
국립과학수사연구원 (2020~2024) — 약 370건 사고 조사 중 54건(16%)이 EDR 부재 또는 차량 훼손으로 조사 불가. 가장 큰 이유는 화재로 ACU 전체 소실. 그러나 단국대 연구팀이 화재 차량 ACU를 직접 열어본 결과, 외부 케이스·PCB 일부는 타도 EDR 저장 매체 자체는 상당수가 물리적 생존 — 적절히 취득하면 데이터 복원 가능.
데이터 구조 — 20바이트 단위, 11개 이벤트 블록
저장·디코딩 규칙은 비공개
- 차량 내부 각 제어기는 ‘ID(식별자) + 데이터’ 메시지를 10 ms 간격 브로드캐스트
- 16진수 값을 실제 물리량으로 해석하려면 제조사 정의 변환 공식 필요
- ACU는 특정 시점 전체 메시지를 그대로 저장하기도 하고, 일부는 ID 없이 데이터만, 또는 데이터 일부만 저장
- 자동차 전문가들이 “EDR 분석은 극도로 어렵기 때문에 해킹은 사실상 불가능”이라 주장한 근거
단국대 연구팀 역공학 결과
| 단위 | 값 |
|---|---|
| 1행(이벤트) 크기 | 20바이트 |
| 시간 분해능 | 500 ms 간격 |
| 기록 구간 | 사고 전 −5초 ~ 사고 시점 |
| 행 수 | 11개 (이벤트 블록) |
| 블록 내부 항목 예 | 마스터 실린더 프레셔 2바이트, 속도 4바이트 등 |
발견 절차
- ACU PCB 분해 → EEPROM 추정 칩 5~6개 식별. 코팅 제거 후 추적해 EDR 저장에 사용되는 칩 특정
- 사고 전 ‘FF’로 채워진 영역이 사고 후 변화 → 사고 기록 영역 확인
- 디지털 포렌식 장비 ‘BeeProg’ 로 USB 메모리처럼 인식
- 브레이크 ON/OFF·액셀러레이터·스티어링·속도 고정을 다양한 조건으로 조합한 40~50회 반복 실험 + 변화 패턴 추적
무결성의 실체 — 체크섬
EDR 저장 방식을 모두 파악한 순간, ‘이 데이터는 정말 바꿀 수 없는 증거인가?’란 더 큰 질문이 떠올랐다.
Chip Swap·비파괴 공격 도구
전통적 칩오프(Chip-Off)는 열풍기로 메모리 분리 후 BeeProg + 어댑터로 USB 인식 — 납땜 흔적 명확. 단국대 팀은 BeeProg 일부 구조 직접 튜닝 + 칩을 PCB에 납땜한 상태 그대로 집게로 미세 접촉시키는 비파괴(Non-Invasive) 도구 제작 → 기판 손상 없이 바이너리 읽기/쓰기.
무결성 메커니즘 역추적
- 첫 조작(브레이크 OFF 0x01 → ON 0x02) → 리포트 전체 ‘invalid data’로 깨짐 — 내부 무결성 확인 루틴 존재 확인
- 차량 시스템에서 ‘암호학적 무결성’을 보장하려면 반드시 암호 키 필요 → HSM(Hardware Security Module) 필수
- 2010년대 초반부터 인피니언(Infineon)·에스크립트(Escrypt) 등이 HSM 기반 Secure Storage 정립했으나 양산차 ACU 적용은 비용 문제로 제한적
- 분석한 ACU도 HSM 미사용 → 제조사들이 말해 온 ‘암호학적 보호’가 진정한 의미의 현대 암호기술이 아님
- CIC(count of identical characters)·해밍 거리 등 다양한 전통 무결성 방식 검증
- 최종 — 저장된 전체 데이터를 16진수로 변환해 총합을 무결성 값으로 사용 (체크섬)
사고 시나리오 재작성 성공
- 단일 이벤트 — 브레이크 OFF 사고를 ON 사고로 변조 성공, 무결성 통과, 리포트 정상 표시
- 사고 전 구간 전체 재구성 — 사고 1.5초 전부터 지속 브레이크 변조 + 마스터 실린더 프레셔 값을 실제 제동 패턴으로 + Hex 총합 규칙 맞추기 위해 속도·RPM 비트 미세 조정
“이 일련의 실험을 통해 체크섬 하나에 기대고 있는 무결성 구조에서 사고 전체 시나리오가 재작성될 수 있다는 사실을 보여줬다.”
해결 방향
1. HSM 기반 보호 (제조사 강화)
- 차량에 HSM 탑재 + 근현대 암호학 기반 무결성 보장 값 생성·검증 구조라면 본 연구 방식 해킹 사실상 불가능
- HSM은 보안 키를 안전하게 저장 + 암·복호화·서명·무결성 검증을 칩 내부에서만 수행. 키는 칩 밖으로 절대 노출되지 않으며 정당한 키 없이는 무결성 값 일치 불가
2. 사고 조사 절차의 디지털 포렌식化
보안 설계 도입 전까지의 대책 — 사고 수사 결정 순간부터 EDR 취급을 하드디스크·모바일 포렌식 동일 수준으로 격상.
| 단계 | 절차 |
|---|---|
| 사고 조사 개시 | 모든 과정 영상 체증(녹화) |
| EDR 바이너리 | 가능한 한 이른 시점에 즉시 추출 |
| 추출 즉시 | 암호학적 무결성 보장 값 생성·봉인 |
| 분석 | 원본이 아닌 봉인된 이미지 복제본 활용 |
→ 하드디스크·모바일 포렌식의 ‘이미저(imager)’ 개념을 EDR에 도입.
3. EDR 이미저 + Chip Swap
연구팀이 개발한 장치 — 사고 현장에서 데이터가 추출되는 순간 무결성 봉인되며 이후 어떤 조작도 탐지 가능. 인터페이스가 모두 깨진 EDR과 멀쩡한 EDR을 서로 연결하고 그 사이에 리더기를 얹어 데이터를 우회 추출하는 ‘브리지 장치(Chip Swap 장치)’ 도 제작. 2024년도 IITP 우수 과제 선정.
칩 오프는 최후의 보루
비트 플립(0↔1 뒤집힘) 위험으로 원본 데이터 훼손 가능 → 수사기관도 주저. EDR 이미저·Chip Swap이 이런 현장 고민을 줄이기 위한 도구.
함의
우사무엘 교수
‘조작이 불가능하다’는 기존 설명이 더 이상 신뢰받기 어렵다는 점과 여기에 사고 조사 절차의 현실이 겹치면서 문제가 더 심각합니다. 이미 존재하는 HSM·시큐어 스토리지·디지털 포렌식 기술을 적절히 결합하면, EDR은 지금보다 훨씬 신뢰할 수 있는 장치가 될 수 있습니다.