OCPP 1.6 메시지·상태머신 수준 결함 탐지로 서비스 중단 리스크 낮춰
IITP 정보보호 핵심원천기술개발사업 과제로 개발...웹 기반 플랫폼 형태 구현
변형 메시지 자동 생성·시각화 결과 제공...향후 OCPP 2.0.1 확대 추진
[보안뉴스 여이레 기자] 국내 정보보안 기업 케이사인(KSIGN)이 국내 최초로 OCPP(Open Charge Point Protocol) 기반 프로토콜 퍼저(Fuzzer) 기술을 개발했다고 26일 밝혔다.
[자료: 케이사인]
케이사인에 따르면 이번 기술은 전기차 충전기와 충전 관리 시스템(CSMS) 간 통신에 사용되는 OCPP 1.6을 대상으로, 실제 운영 환경에서 발생 가능한 보안 취약점과 오류를 사전에 점검하는 자동화 퍼징 기술이다.
충전기 및 CSMS를 대상으로 퍼징 테스트를 수행하면서 단순 메시지 단위뿐 아니라 상태머신(State Machine) 수준에서 발생하는 결함까지 탐지하도록 설계됐다는 설명이다. 이를 통해 서비스 중단이나 장비 손상 등 전기차 충전 인프라 운영 리스크를 낮추는 데 목적을 뒀다.
이번 성과는 과학기술정보통신부와 정보통신기획평가원(IITP)의 ‘정보보호 핵심원천기술개발사업’ 지원을 받아 진행된 과제(과제명: 전기자동차 충전기 보안 위협 대응 기술 개발)의 일환이다.
케이사인은 퍼저를 웹 기반 플랫폼 형태로 구현해, 관리자가 별도 테스트 환경을 복잡하게 구성하지 않더라도 웹에서 퍼징 시나리오를 설정하고 결과를 확인할 수 있도록 했다. OCPP 1.6 메시지를 기반으로 다양한 뮤테이션 기법을 적용해 비정상·변형 메시지를 자동 생성한 뒤, 이를 실제 충전기와 CSMS 서버로 전송하는 방식으로 잠재 취약점과 오류를 찾는다.
또한 테스트 결과를 시각화해 운영 중인 프로토콜에서 나타날 수 있는 오류 유형과 취약 지점을 관리자 관점에서 빠르게 파악할 수 있도록 했다. 로그를 장시간 분석하지 않아도 보안 상태를 점검하고 선제 대응 체계를 마련하는 데 도움이 된다는 게 회사 측 설명이다.
업계에서는 국내 충전 사업자 환경에서 OCPP 1.6 적용이 널리 확산된 만큼, 이번 기술이 충전 사업자의 자체 보안 점검뿐 아니라 향후 전기차 충전 시스템 도입·구매 과정에서의 보안성 시험에도 활용도가 높을 것으로 보고 있다.
최근 전기차 충전 인프라를 겨냥한 취약점(CVE) 보고가 증가하는 상황에서, 선제적 점검 체계를 마련해 서비스 안정성과 신뢰성을 높이는 기반이 될 수 있다는 평가도 나온다.
케이사인은 차년도에 OCPP 2.0.1 적용 확대와 함께 시제품 개발을 본격 준비할 계획이다.
[여이레 기자(gore@boannews.com)]
IITP 정보보호 핵심원천기술개발사업 과제로 개발...웹 기반 플랫폼 형태 구현
변형 메시지 자동 생성·시각화 결과 제공...향후 OCPP 2.0.1 확대 추진
[보안뉴스 여이레 기자] 국내 정보보안 기업 케이사인(KSIGN)이 국내 최초로 OCPP(Open Charge Point Protocol) 기반 프로토콜 퍼저(Fuzzer) 기술을 개발했다고 26일 밝혔다.
[자료: 케이사인]
케이사인에 따르면 이번 기술은 전기차 충전기와 충전 관리 시스템(CSMS) 간 통신에 사용되는 OCPP 1.6을 대상으로, 실제 운영 환경에서 발생 가능한 보안 취약점과 오류를 사전에 점검하는 자동화 퍼징 기술이다.
충전기 및 CSMS를 대상으로 퍼징 테스트를 수행하면서 단순 메시지 단위뿐 아니라 상태머신(State Machine) 수준에서 발생하는 결함까지 탐지하도록 설계됐다는 설명이다. 이를 통해 서비스 중단이나 장비 손상 등 전기차 충전 인프라 운영 리스크를 낮추는 데 목적을 뒀다.
이번 성과는 과학기술정보통신부와 정보통신기획평가원(IITP)의 ‘정보보호 핵심원천기술개발사업’ 지원을 받아 진행된 과제(과제명: 전기자동차 충전기 보안 위협 대응 기술 개발)의 일환이다.
케이사인은 퍼저를 웹 기반 플랫폼 형태로 구현해, 관리자가 별도 테스트 환경을 복잡하게 구성하지 않더라도 웹에서 퍼징 시나리오를 설정하고 결과를 확인할 수 있도록 했다. OCPP 1.6 메시지를 기반으로 다양한 뮤테이션 기법을 적용해 비정상·변형 메시지를 자동 생성한 뒤, 이를 실제 충전기와 CSMS 서버로 전송하는 방식으로 잠재 취약점과 오류를 찾는다.
또한 테스트 결과를 시각화해 운영 중인 프로토콜에서 나타날 수 있는 오류 유형과 취약 지점을 관리자 관점에서 빠르게 파악할 수 있도록 했다. 로그를 장시간 분석하지 않아도 보안 상태를 점검하고 선제 대응 체계를 마련하는 데 도움이 된다는 게 회사 측 설명이다.
업계에서는 국내 충전 사업자 환경에서 OCPP 1.6 적용이 널리 확산된 만큼, 이번 기술이 충전 사업자의 자체 보안 점검뿐 아니라 향후 전기차 충전 시스템 도입·구매 과정에서의 보안성 시험에도 활용도가 높을 것으로 보고 있다.
최근 전기차 충전 인프라를 겨냥한 취약점(CVE) 보고가 증가하는 상황에서, 선제적 점검 체계를 마련해 서비스 안정성과 신뢰성을 높이는 기반이 될 수 있다는 평가도 나온다.
케이사인은 차년도에 OCPP 2.0.1 적용 확대와 함께 시제품 개발을 본격 준비할 계획이다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
