Trustonic — Arm TrustZone 기반의 Secure-OS형 TEE Kinibi를 제공하는 보안 SW 기업. 자동차에서는 SoC 내부 TrustZone 영역에서 동작하며, 키 관리·암호화·서명·보안 저장소·OTA 신뢰 루틴을 격리 실행. 모바일(삼성 갤럭시 등 수억 대) 배포 경험을 자동차 영역으로 확장 중. Common Criteria EAL5+ 인증.
주요 인물
- 박우종 (Ethan Park) — Head of Sales and Business Development
핵심 메시지 — ‘추적성(Traceability)’
박우종
무슨 일이 발생했을 때, 우리는 그것을 추적할 수 있어야 합니다. 그것도 빠르게요.
추적성 = 사고 발생 시 원인-영향-책임의 경로를 신속히 좁혀가는 능력. 그 능력이 사고 이후 OEM 운영 비용·대응 타임라인을 직접 결정.
보안의 출발점 — ‘신뢰의 바닥(Trust Floor)’
TEE는 시스템의 가장 아래 계층에서 신뢰의 바닥을 구축. 그 위에서 이뤄지는 업데이트가 비로소 의미를 가짐.
- 위치: ECU/도메인이 아닌 SoC 내부 TrustZone 영역
- MCU에는 TrustZone 없음 → TEE 미적용
- 첫 적용 영역 = IVI (‘PC화’가 가장 빠르고 계정·컨텐츠·결제·개인 데이터가 처음 집중)
자동차에서 TEE 4가지 범주
| 범주 | 내용 |
|---|---|
| 보안 | 민감 데이터 보호, 안전한 통신 |
| 기능안전성 | 중요 기능 격리, 안전한 SW 업데이트 |
| 규제 준수·신뢰 | 규제 적합성 기반 |
| IP 보호 | 알고리즘·자산 보호 |
OEM 디커플링(Decoupling) — 칩 벤더 락인 회피
박우종
특정 칩셋에 묶인 보안은 처음에는 도입하기 편리할 수 있습니다. 그러나 OEM이 공급망을 다변화하려 할 때, 그것은 막대한 기술 부채로 돌아옵니다.
- 일부 대형 SoC 벤더는 자사 HW 최적화된 폐쇄형 인하우스 TEE를 번들 제공 → 락인 효과
- 칩셋이 바뀔 때마다 보안 구조 재설계·재검증
- Trustonic = 추상화 계층(abstraction layer) — 서로 다른 HW에서도 일관 동작
’OP-TEE는 출발점, Kinibi는 도착점’
| OP-TEE | 오픈 구현 출발점. 자체 유지보수 자원 부담, 업데이트마다 내부 리소스 비용 증가 |
| Kinibi (Trustonic) | 도착점. 운영적 지속 가능성, 모듈화·구조화 → 빠른 추적·디버깅 |
박우종
레고(Lego)처럼 생각하면 됩니다. SoC 위에 우리의 블록을 얹는 것이죠.
오픈 구현의 경우에는 누가 무엇을 변경했는지 줄 단위로 확인해야 해서 속도가 느려집니다. 저희는 추적과 디버깅을 통해 빠르게 확인할 수 있습니다.
OTA 역설 — ‘경계 유지’
OTA 시대 보안은 ‘공격을 막는다’가 아니라 ‘보호 범위를 정의하고 그 경계를 유지하는’ 문제.
박우종
개인 데이터나 차량의 주요 자원을 변경하는 것은 보안 타깃입니다. 그것이 SoC 안에서 구현되었거나, 제조사가 정의한 보안 영역 내에서 보완 조치가 마련돼 있다면, 그 범위는 보호되고 있다고 볼 수 있습니다.
규제 (UN R155·UN R156) 4대 공통 주제
Trustonic이 정리한 자동차·IoT 보안 규제 공통 주제:
- Secure by Design — 설계 단계부터의 보안. 공격 표면 축소
- Updateability and Safety After Updates — 업데이트 이후 가능성과 안전성. TEE 자체도 펌웨어처럼 관리되고 업데이트돼야 함
- Reactivity to Issues — 이슈 대응성. 취약점·이슈 대응 서비스
- SBOM — 지금 어떤 코드가 실행되는지 알 수 있는 능력. ‘오픈소스 의존성이 없는 보안 OS’ 운영 원칙
“문서는 의도를 기록한다. 운영은 책임을 증명한다.”
공급망 보안 — 소유권·무결성·책임 경로
소프트웨어는 더 이상 OEM만이 생산하지 않음. 모델 라인·연식·판매 지역마다 코드 조합 재구성:
- 이 차량에서 지금 실행되는 코드는 누구의 것인가? (소유권)
- 변경되지 않았는가? (무결성)
- 문제 발생 시 책임 경로를 얼마나 좁게 추적할 수 있는가?
“TEE가 없다면, 반드시 보호되어야 할 최소 자산(키·자격증명·민감 데이터·핵심 루틴)은 종종 하드웨어(HSM 또는 Secure Element)에 의존하게 됩니다. 그리고 이들 중 어느 것도 현장에서 고비용 리콜 없이 쉽게 업데이트할 수 있는 구조는 아닙니다.”
모니터링 vs 격리 — 보안 역할 분담
박우종
보안 사고가 중요하지 않다는 뜻은 아닙니다. 다만, 무엇을 반드시 보호해야 하는지 정의해야만, 확신을 가지고 보호할 수 있다는 것입니다.
- 침입 탐지·SOC 운영·컨설팅·규제 대응 = 상위 계층
- TEE = 하위 계층의 격리 전제조건 (‘이상 징후 감시’ 이전)
- 차량 전반 적용: IVI · 게이트웨이 · 텔레매틱스 · V2X · 도메인 컨트롤러
차세대 — Physical AI · 양자 내성
Physical AI 시대
- 과거 보호 대상 = 코드·키·자격증명
- 현재 = 모델 가중치·학습 데이터까지 패키지로
- 자산이 ‘정보’에서 ‘물리적 제어’로 확장
Kinibi 700 — 양자 내성 선제 통합
- 핀란드 IQM 같은 양자 컴퓨팅 현실화 → 10년 후 양자 공격 대비
- ‘미래 신뢰(future trust)’ 필수
- Trustonic이 최신 솔루션 Kinibi 700에 양자 내성 보안 선제 통합
Trustonic 한눈에 보기
| 항목 | 설명 |
|---|---|
| 무엇을 하는 회사 | Arm TrustZone 기반 Secure-OS형 TEE Kinibi 제공 |
| 어디 사용 | 풍부한 OS 스택·외부 연결성·사용자 데이터가 집중되는 IVI/디지털 콕핏 우선. SoC 있는 곳 어디든. MCU 영역은 TrustZone 없어 미적용 |
| 포지셔닝 | 칩 벤더 번들 TEE·OP-TEE가 도입 출발점이라면 Trustonic은 규제·업데이트·취약점·책임 추적을 포함한 10년 운영 관점 |
| 왜 Secure OS 강조 | 서드파티 오픈소스 라이선스를 포함하지 않는 아키텍처 → SBOM 단순화·취약점 대응·인증·감사 준비 운영 지속성 |
| 배포·인증 | 상용 디바이스 대규모 배포 + 양산 자동차 적용 + Common Criteria EAL5+ 인증 |