차량 발생 가능 취약점 및 위협사례 수집해 이를 위험 평가와 보안 테스팅 시 적용해야
[보안뉴스= 송윤근 이타스코리아 사이버보안사업팀 매니저] 지난 2020년 6월 채택된 차량 사이버보안 국제 기준(UNR No.155)에는 차량 사이버보안을 보장하기 위해 자동차 제조사가 준수해야 하는 요구사항이 규정되어 있다.
[이미지=utoimage]
이 요구사항은 크게 2가지로 구분되는데, 첫 번째는 전사적 차원에서 구축해야 하는 사이버보안 관리체계(Cyber Security Management System)에 대한 요구사항이고, 두 번째는 형식 승인(Type Approval) 대상이 되는 차량 형식(Vehicle Type)에 대한 요구사항이다. 자동차 제조사는 형식 승인(Type Approval) 획득을 위해 사이버보안 관리체계를 수립해야 하며, 차량 형식별 위험 평가(Risk Assessment) 및 보안 테스팅(Security Testing) 결과를 문서화해 형식승인기관(Type Approval Authorities) 또는 기술 서비스 기관(Technical Services)에 제출해야 한다. 이번 연재에서는 차량 사이버보안 국제 기준에 명시된 위험 평가, 보안 테스팅에 대한 기본 개념을 설명한다.
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는...
차량 사이버보안 요구사항
차량 사이버보안 국제 기준 7장에는 사이버보안 관리체계와 차량 형식에 대한 요구사항이 나열되어 있다. 사이버보안 관리체계는 위험을 식별하고, 식별된 위험을 평가, 분류 및 처리하는데 사용되는 프로세스와 보안 테스팅에 관한 프로세스를 요구하고 있다. 차량 형식에는 사이버보안 관리체계에 정의된 프로세스를 기반으로 차량 형식 별 위험 평가 및 보안 테스팅 수행 결과를 요구하고 있다. 이어서 ‘사이버보안 관리체계 요구사항’과 ‘차량 형식 요구사항’을 설명한다.
사이버보안 관리체계 요구사항
자동차 제조사는 전사적 차원에서 위험 평가 및 보안 테스팅을 위한 프로세스를 수립해야 한다. 차량 사이버보안 국제 기준은 ‘How’의 관점보다는 ‘What’의 관점에서 자동차 제조사가 수행해야 하는 요구사항만 나열하고 있기 때문에 ‘How’에 대한 의문이 생길 수 있다. 이를 해결하기 위해 UNECE WP. 29는 차량 사이버보안 국제 기준 해설서를 제공하고 있으며, 여기에는 해당 요구사항의 설명과 더불어 프로세스 수립의 증거(evidence)의 예와 적용할 수 있는 표준을 설명한다. 자동차 제조사는 위험 평가 및 보안 테스팅 프로세스 정의에 차량 사이버보안 국제 표준(ISO/SAE 21434)을 사용할 수 있다.
▲사이버보안 관리체계 요구사항–위험 평가 및 보안 테스팅[출처=에스크립트]
위험 평가
위험 관리 국제 표준(ISO 31000)에 따르면, 위험 평가는 위험 식별, 위험 분석 및 위험 판정의 총괄적인 프로세스를 의미한다. 위험 식별 단계에서는 조직의 목표 달성을 방해할 수 있는 위험 또는 이해당사자에게 피해를 줄 수 있는 위험을 발견, 인식 및 기술한다. 위험 분석 단계에서는 식별된 위험의 특성을 파악하고, 위험의 수준을 판단하며, 위험 판정 단계에서는 판단된 위험의 수준에 따른 의사 결정을 수행한다. 마찬가지로 차량 사이버보안 국제 표준에서도 위험 관리 국제 표준에 부합하는 7단계의 위험 평가 단계를 정의하고 있다.
▲위험 평가 방법[출처=에스크립트]
자산 식별(Asset identification) 단계는 위험 평가의 시작이면서, 가장 중요한 단계이기도 하다. 이 단계에서는 위험 평가 대상의 명세서 분석을 통해 자산, 사이버보안 속성, 데미지 시나리오를 식별하는데, 이는 이후 위험 평가 단계의 기반이 된다. 만약 자산 식별 단계에서 식별되지 않은 자산이 존재한다면, 해당 자산은 이후 모든 위험 평가 단계에서 고려 대상이 되지 않는다. 그러므로 중요하게 생각하는 자산이 누락되지 않도록 각별히 신경 써야 한다.
위협 시나리오 식별(Threat scenario identification) 단계는 이전 단계에서 식별된 데미지 시나리오를 발생시킬 수 있는 공격자의 의도된 행위를 식별하는 단계이다. 사이버 보안의 측면에서 공격자의 의도된 행위 즉, 위협 원의 행동은 통제되지 않으며, 모든 경우의 수를 100% 예측하기에는 현실적인 어려움이 있다. 이에 해당 단계에서는 일반화된 위협 모델을 이용하는 것이 좋은 방법이 될 수 있다.
영향 평가(Impact rating) 단계에서는 식별된 데미지 시나리오가 이해 관계자에게 미칠 수 있는 영향을 안전(Safety), 재정(Financial), 운영(Operational), 개인정보(Privacy)의 관점에서 평가한다. 이 평가는 전문가 평가의 영역이며, 더 의미 있는 평가를 위해서는 사이버보안 전문가, 기능 안전 전문가, 개인정보보호 책임자 등 평가 관점별 전문가의 참석이 도움이 될 수 있다.
공격 경로 분석(Attack path analysis) 단계에서는 공격자의 관점에서 위협 시나리오를 실현하기 위해 가능한 모든 방법을 식별한다. 이를 위해 위험 평가 대상의 명세서 내용 중 외부 시스템과의 인터페이스 또는 상호 작용 기능에 대한 내용을 참고하게 된다. 더 의미 있는 평가를 위해서는 모의 해킹 전문가가 이 단계에 공격자의 관점에서 공격 경로에 대한 조언이 도움이 될 수 있다.
공격 실현 가능성 평가(Attack feasibility rating) 단계에서는 공격 경로에 대한 실현 가능성을 평가하게 된다. 평가를 통해 공격자의 입장에서 위협 시나리오를 달성하기 위한 가장 손쉬운 방법을 식별할 수 있으며, 이는 위험 계산시 활용된다. 공격 실현 가능성 평가를 위해 사용되는 평가 접근법은 조직 정책에 따라 각기 다른 평가 접근법이 선택될 수 있다.
위험 계산(Risk determination) 단계에서는 공격 실현 가능성 평가 결과와 영향 평가 결과를 기반으로 위협 시나리오별 위험도를 계산한다. 이 단계에서도 위험도 계산을 위한 매트릭스는 조직 정책에 따라 선택될 수 있다.
위험 처리 결정(Risk treatment decision) 단계에서는 위협 시나리오별 위험도, 평가 대상의 명세서 등을 기반으로 해당 위협을 어떻게 처리할 것인지 판단한다. 위험 처리 결정은 자동차 제조사와 협력 업체 간의 협의를 통해 결정될 수 있으며, 동일 위험 평가 대상에 대한 이전 위험 평가 결과가 있다면, 참고자료로 활용할 수 있다.
보안 테스팅
차량 사이버보안 국제 기준 해설서에 의하면, 자동차 제조사는 보안 테스팅을 위해 표1과 같은 항목을 고려할 수 있다. 모든 사이버보안 프로세스 및 규칙은 조직내 정책에 의거하여 작성되어야 한다.
개발 단계에서는 시스템, 소프트웨어, 하드웨어, 통합 테스트뿐만 아니라 테스트 전략과 실행 그리고 계획 프로세스를 고려할 수 있다. 소프트웨어 테스팅 국제 표준(ISO/IEC/IEEE 29119)에 따르면, 테스트 전략은 전반적인 테스트에 대한 리스크 관리, 테스트 우선순위 관리, 결과물 형상 관리 등과 같은 내용을 포함하며, 테스트 계획은 프로젝트 단위로 개발 적용되는 항목으로 테스트 범위, 목적, 가정 및 제약 조건 등이 내용이 포함된다.
또한, 개발 단계에서는 테스트 결과를 문서화하고, 테스트 도중 식별된 취약점을 처리하기 위한 프로세스도 고려할 수 있다. 테스트 도중 식별된 취약점이 발견된 경우, 해당 취약점에 관한 내용이 위험 평가 단계에서 다루어 졌는지 확인하고, 취약점의 발생 빈도와 영향 정도, 개발 진행 정도에 따른 처리 프로세스가 정의되어야 한다.
양산 단계에서는 양산된 차량 형식이 의도된 모든 사이버보안 사양이 활성화되어 정상 동작하는지 테스트하기 위한 프로세스와 테스트 결과를 문서화하고, 테스트 결과에 따른 후속 처리 프로세스가 포함된다.
▲보안 테스팅 고려사항[출처=차량 사이버보안 국제 기준 해설서]
차량 형식 요구사항
차량 형식 요구사항은 형식 승인 대상이 되는 차량 형식별로 준수해야 하는 내용을 의미하는데, 자동차 제조사는 사이버보안 관리체계에 명시된 프로세스대로 위험 평가와 보안 테스팅을 수행해야 한다.
자동차 제조사는 차량 형식별 주요 구성요소를 식별하고, 이에 대한 위험 평가를 수행해야 한다. 여기서 주요 구성요소는 차량 수준에서 차량의 안전, 환경 보호, 도난 방지와 관련되거나 차량 내·외부 간 연결성을 제공하는 구성요소가 될 수 있다. 여기서 중요한 점은 자동차 제조사는 식별된 구성요소가 왜 중요하다고 판단했는지(또는 왜 중요하지 않다고 판단했는지)에 대한 근거를 기록해야 한다는 것이다.
자동차 제조사에 의해 주요 구성요소가 식별되면, 해당 구성요소에 대한 위험 평가를 수행한다. 위험 평가는 평가 대상의 자산을 식별하는 것부터 시작되는데, 자산은 차량 형식별로 유사할 순 있으나, 모두 동일하지는 않다. 자산은 기밀성, 무결성, 가용성으로 대변되는 사이버보안 속성(Cybersecurity properties)의 손상으로 인해 이해 당사자에게 피해를 줄 수 있는 모든 것이 될 수 있다. 여기서 이해 당사자는 사이버보안 위협으로 인해 피해를 볼 수 있는 모든 개인 또는 조직이 되므로, 자동차 제조사, 협력업체 그리고 차량 소유자가 될 수 있다.
자동차 제조사는 위험 평가의 결과를 기반으로 사이버보안 목표(Cybersecurity goals)와 사이버보안 컨셉(Cybersecurity concept)를 도출할 수 있으며, 위험 평가를 통해 식별된 위험은 지속적으로 관리해야 한다. 차량 사이버 보안은 사이버 물리 시스템(Cyber-Physical System)의 특성 상 시간의 흐름에 따라 기술의 발전 및 새로운 취약점의 발견으로 인해 보안의 강도가 저하될 수 있으므로, 지속적인 모니터링과 위험 평가가 필요시 된다.
▲차량 형식 요구사항–위험 평가 및 보안 테스팅[출처=에스크립트]
자동차 제조사는 형식 승인을 위해 구현된 보안 대책의 효과를 검증하기 위해 보안 테스팅을 수행해야 하며, 확인 및 검증(Verification & Validation) 리포트를 작성해야 한다. 여기에는 테스트 대상 및 이유, 테스트 방법 및 이유, 테스트 수행자 정보 및 이유, 테스트 결과 등이 포함될 수 있다.
보안 테스팅의 종류는 코드 감사(Code Audits), 보안 기능 테스팅(Security Function Testing), 퍼징, 사이드 채널 공격, 침투 테스팅 등이 있다. 특히, 공격자의 관점에서 수행되는 침투 테스팅과 퍼징은 매우 중요하다고 할 수 있다.
침투 테스팅은 공격자의 관점에서 테스팅 대상의 보안 기능을 무력화 또는 회피하여 의도된 행위를 수행하는데 초점을 맞추고 있다. 이러한 공격은 공격자의 경험 및 지식의 수준과 창의성에 기반하므로, 고도로 훈련된 전문가에 의해 수행되어야 한다. 즉, 침투 테스팅의 경우, 누구에 의해 테스팅이 수행되느냐가 핵심 관건이라고 할 수 있다.
퍼징은 침투 테스팅의 일부로 진행되거나 단독으로 진행 될 수 있다. 무작위로 생성된 유효하지 않거나 예상치 못한 입력을 주입하여, 테스팅 대상의 의도하지 않은 동작 여부를 확인한다. 퍼징의 경우, 효과적인 주입 데이터 생성 및 모니터링 여부가 핵심 관건이라고 할 수 있다.
▲보안 테스팅의 종류[출처=에스크립트]
라이프 사이클의 관점에서 위험 평가와 보안 테스팅은 서로 연관되어 있다. 전술한 바와 같이 위험 평가 결과를 기반으로 보안 위협에 대응하기 위한 보안 대책이 선택되며, 보안 테스팅을 통해 선택된 보안 대책이 정상 동작함을 확인 할 수 있다. 보안 테스팅 과정 중 확보한 취약점 정보, 공격 경로가 있다면, 이는 위험 평가 시 활용될 수 있다. 이러한 선순환 구조를 통해 더욱 안전한 차량 사이버보안을 구축할 수 있다.
오늘날 차량 사이버보안은 선택이 아닌 필수가 되었다. 자동차 제조사는 개발, 양산, 양산 후에 이르기까지 차량의 모든 라이프 사이클에 걸친 사이버보안을 고려해야 한다. 특히, 양산 후에도 지속적인 필드 모니터링을 통해 차량에 발생 가능한 취약점 및 위협 사례를 수집하여 이를 위험 평가와 보안 테스팅 시 적용해야 한다. 위험 평가와 보안 테스팅은 일회성이 아닌 일정 주기 또는 보안 이벤트 발생 시마다 반복적으로 수행되어야 하는 활동이므로, 자동차 제조사에서는 관련 사례와 노하우를 축작하고, 이를 활용하여 더욱 효과적이고 효율적인 사이버보안 활동을 할 수 있도록 준비해야 할 것이다.
이후 기고에서는 현재까지 연재된 기고 내용에 대한 요약과 삼정KPMG와 ETAS Korea가 제공하는 서비스에 대해서 설명할 예정이다. 삼정KPMG와 차량 임베디드 솔루션 선도기업인 ETAS Korea는 지난 2020년 10월 ‘차량 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 차량 사이버 보안에 대한 전문적인 서비스를 제공하고 있다.
[글_이타스코리아 사이버보안사업팀 송윤근 매니저]
[보안뉴스= 송윤근 이타스코리아 사이버보안사업팀 매니저] 지난 2020년 6월 채택된 차량 사이버보안 국제 기준(UNR No.155)에는 차량 사이버보안을 보장하기 위해 자동차 제조사가 준수해야 하는 요구사항이 규정되어 있다.
[이미지=utoimage]
이 요구사항은 크게 2가지로 구분되는데, 첫 번째는 전사적 차원에서 구축해야 하는 사이버보안 관리체계(Cyber Security Management System)에 대한 요구사항이고, 두 번째는 형식 승인(Type Approval) 대상이 되는 차량 형식(Vehicle Type)에 대한 요구사항이다. 자동차 제조사는 형식 승인(Type Approval) 획득을 위해 사이버보안 관리체계를 수립해야 하며, 차량 형식별 위험 평가(Risk Assessment) 및 보안 테스팅(Security Testing) 결과를 문서화해 형식승인기관(Type Approval Authorities) 또는 기술 서비스 기관(Technical Services)에 제출해야 한다. 이번 연재에서는 차량 사이버보안 국제 기준에 명시된 위험 평가, 보안 테스팅에 대한 기본 개념을 설명한다.
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는...
차량 사이버보안 요구사항
차량 사이버보안 국제 기준 7장에는 사이버보안 관리체계와 차량 형식에 대한 요구사항이 나열되어 있다. 사이버보안 관리체계는 위험을 식별하고, 식별된 위험을 평가, 분류 및 처리하는데 사용되는 프로세스와 보안 테스팅에 관한 프로세스를 요구하고 있다. 차량 형식에는 사이버보안 관리체계에 정의된 프로세스를 기반으로 차량 형식 별 위험 평가 및 보안 테스팅 수행 결과를 요구하고 있다. 이어서 ‘사이버보안 관리체계 요구사항’과 ‘차량 형식 요구사항’을 설명한다.
사이버보안 관리체계 요구사항
자동차 제조사는 전사적 차원에서 위험 평가 및 보안 테스팅을 위한 프로세스를 수립해야 한다. 차량 사이버보안 국제 기준은 ‘How’의 관점보다는 ‘What’의 관점에서 자동차 제조사가 수행해야 하는 요구사항만 나열하고 있기 때문에 ‘How’에 대한 의문이 생길 수 있다. 이를 해결하기 위해 UNECE WP. 29는 차량 사이버보안 국제 기준 해설서를 제공하고 있으며, 여기에는 해당 요구사항의 설명과 더불어 프로세스 수립의 증거(evidence)의 예와 적용할 수 있는 표준을 설명한다. 자동차 제조사는 위험 평가 및 보안 테스팅 프로세스 정의에 차량 사이버보안 국제 표준(ISO/SAE 21434)을 사용할 수 있다.
▲사이버보안 관리체계 요구사항–위험 평가 및 보안 테스팅[출처=에스크립트]
위험 평가
위험 관리 국제 표준(ISO 31000)에 따르면, 위험 평가는 위험 식별, 위험 분석 및 위험 판정의 총괄적인 프로세스를 의미한다. 위험 식별 단계에서는 조직의 목표 달성을 방해할 수 있는 위험 또는 이해당사자에게 피해를 줄 수 있는 위험을 발견, 인식 및 기술한다. 위험 분석 단계에서는 식별된 위험의 특성을 파악하고, 위험의 수준을 판단하며, 위험 판정 단계에서는 판단된 위험의 수준에 따른 의사 결정을 수행한다. 마찬가지로 차량 사이버보안 국제 표준에서도 위험 관리 국제 표준에 부합하는 7단계의 위험 평가 단계를 정의하고 있다.
▲위험 평가 방법[출처=에스크립트]
자산 식별(Asset identification) 단계는 위험 평가의 시작이면서, 가장 중요한 단계이기도 하다. 이 단계에서는 위험 평가 대상의 명세서 분석을 통해 자산, 사이버보안 속성, 데미지 시나리오를 식별하는데, 이는 이후 위험 평가 단계의 기반이 된다. 만약 자산 식별 단계에서 식별되지 않은 자산이 존재한다면, 해당 자산은 이후 모든 위험 평가 단계에서 고려 대상이 되지 않는다. 그러므로 중요하게 생각하는 자산이 누락되지 않도록 각별히 신경 써야 한다.
위협 시나리오 식별(Threat scenario identification) 단계는 이전 단계에서 식별된 데미지 시나리오를 발생시킬 수 있는 공격자의 의도된 행위를 식별하는 단계이다. 사이버 보안의 측면에서 공격자의 의도된 행위 즉, 위협 원의 행동은 통제되지 않으며, 모든 경우의 수를 100% 예측하기에는 현실적인 어려움이 있다. 이에 해당 단계에서는 일반화된 위협 모델을 이용하는 것이 좋은 방법이 될 수 있다.
영향 평가(Impact rating) 단계에서는 식별된 데미지 시나리오가 이해 관계자에게 미칠 수 있는 영향을 안전(Safety), 재정(Financial), 운영(Operational), 개인정보(Privacy)의 관점에서 평가한다. 이 평가는 전문가 평가의 영역이며, 더 의미 있는 평가를 위해서는 사이버보안 전문가, 기능 안전 전문가, 개인정보보호 책임자 등 평가 관점별 전문가의 참석이 도움이 될 수 있다.
공격 경로 분석(Attack path analysis) 단계에서는 공격자의 관점에서 위협 시나리오를 실현하기 위해 가능한 모든 방법을 식별한다. 이를 위해 위험 평가 대상의 명세서 내용 중 외부 시스템과의 인터페이스 또는 상호 작용 기능에 대한 내용을 참고하게 된다. 더 의미 있는 평가를 위해서는 모의 해킹 전문가가 이 단계에 공격자의 관점에서 공격 경로에 대한 조언이 도움이 될 수 있다.
공격 실현 가능성 평가(Attack feasibility rating) 단계에서는 공격 경로에 대한 실현 가능성을 평가하게 된다. 평가를 통해 공격자의 입장에서 위협 시나리오를 달성하기 위한 가장 손쉬운 방법을 식별할 수 있으며, 이는 위험 계산시 활용된다. 공격 실현 가능성 평가를 위해 사용되는 평가 접근법은 조직 정책에 따라 각기 다른 평가 접근법이 선택될 수 있다.
위험 계산(Risk determination) 단계에서는 공격 실현 가능성 평가 결과와 영향 평가 결과를 기반으로 위협 시나리오별 위험도를 계산한다. 이 단계에서도 위험도 계산을 위한 매트릭스는 조직 정책에 따라 선택될 수 있다.
위험 처리 결정(Risk treatment decision) 단계에서는 위협 시나리오별 위험도, 평가 대상의 명세서 등을 기반으로 해당 위협을 어떻게 처리할 것인지 판단한다. 위험 처리 결정은 자동차 제조사와 협력 업체 간의 협의를 통해 결정될 수 있으며, 동일 위험 평가 대상에 대한 이전 위험 평가 결과가 있다면, 참고자료로 활용할 수 있다.
보안 테스팅
차량 사이버보안 국제 기준 해설서에 의하면, 자동차 제조사는 보안 테스팅을 위해 표1과 같은 항목을 고려할 수 있다. 모든 사이버보안 프로세스 및 규칙은 조직내 정책에 의거하여 작성되어야 한다.
개발 단계에서는 시스템, 소프트웨어, 하드웨어, 통합 테스트뿐만 아니라 테스트 전략과 실행 그리고 계획 프로세스를 고려할 수 있다. 소프트웨어 테스팅 국제 표준(ISO/IEC/IEEE 29119)에 따르면, 테스트 전략은 전반적인 테스트에 대한 리스크 관리, 테스트 우선순위 관리, 결과물 형상 관리 등과 같은 내용을 포함하며, 테스트 계획은 프로젝트 단위로 개발 적용되는 항목으로 테스트 범위, 목적, 가정 및 제약 조건 등이 내용이 포함된다.
또한, 개발 단계에서는 테스트 결과를 문서화하고, 테스트 도중 식별된 취약점을 처리하기 위한 프로세스도 고려할 수 있다. 테스트 도중 식별된 취약점이 발견된 경우, 해당 취약점에 관한 내용이 위험 평가 단계에서 다루어 졌는지 확인하고, 취약점의 발생 빈도와 영향 정도, 개발 진행 정도에 따른 처리 프로세스가 정의되어야 한다.
양산 단계에서는 양산된 차량 형식이 의도된 모든 사이버보안 사양이 활성화되어 정상 동작하는지 테스트하기 위한 프로세스와 테스트 결과를 문서화하고, 테스트 결과에 따른 후속 처리 프로세스가 포함된다.
▲보안 테스팅 고려사항[출처=차량 사이버보안 국제 기준 해설서]
차량 형식 요구사항
차량 형식 요구사항은 형식 승인 대상이 되는 차량 형식별로 준수해야 하는 내용을 의미하는데, 자동차 제조사는 사이버보안 관리체계에 명시된 프로세스대로 위험 평가와 보안 테스팅을 수행해야 한다.
자동차 제조사는 차량 형식별 주요 구성요소를 식별하고, 이에 대한 위험 평가를 수행해야 한다. 여기서 주요 구성요소는 차량 수준에서 차량의 안전, 환경 보호, 도난 방지와 관련되거나 차량 내·외부 간 연결성을 제공하는 구성요소가 될 수 있다. 여기서 중요한 점은 자동차 제조사는 식별된 구성요소가 왜 중요하다고 판단했는지(또는 왜 중요하지 않다고 판단했는지)에 대한 근거를 기록해야 한다는 것이다.
자동차 제조사에 의해 주요 구성요소가 식별되면, 해당 구성요소에 대한 위험 평가를 수행한다. 위험 평가는 평가 대상의 자산을 식별하는 것부터 시작되는데, 자산은 차량 형식별로 유사할 순 있으나, 모두 동일하지는 않다. 자산은 기밀성, 무결성, 가용성으로 대변되는 사이버보안 속성(Cybersecurity properties)의 손상으로 인해 이해 당사자에게 피해를 줄 수 있는 모든 것이 될 수 있다. 여기서 이해 당사자는 사이버보안 위협으로 인해 피해를 볼 수 있는 모든 개인 또는 조직이 되므로, 자동차 제조사, 협력업체 그리고 차량 소유자가 될 수 있다.
자동차 제조사는 위험 평가의 결과를 기반으로 사이버보안 목표(Cybersecurity goals)와 사이버보안 컨셉(Cybersecurity concept)를 도출할 수 있으며, 위험 평가를 통해 식별된 위험은 지속적으로 관리해야 한다. 차량 사이버 보안은 사이버 물리 시스템(Cyber-Physical System)의 특성 상 시간의 흐름에 따라 기술의 발전 및 새로운 취약점의 발견으로 인해 보안의 강도가 저하될 수 있으므로, 지속적인 모니터링과 위험 평가가 필요시 된다.
▲차량 형식 요구사항–위험 평가 및 보안 테스팅[출처=에스크립트]
자동차 제조사는 형식 승인을 위해 구현된 보안 대책의 효과를 검증하기 위해 보안 테스팅을 수행해야 하며, 확인 및 검증(Verification & Validation) 리포트를 작성해야 한다. 여기에는 테스트 대상 및 이유, 테스트 방법 및 이유, 테스트 수행자 정보 및 이유, 테스트 결과 등이 포함될 수 있다.
보안 테스팅의 종류는 코드 감사(Code Audits), 보안 기능 테스팅(Security Function Testing), 퍼징, 사이드 채널 공격, 침투 테스팅 등이 있다. 특히, 공격자의 관점에서 수행되는 침투 테스팅과 퍼징은 매우 중요하다고 할 수 있다.
침투 테스팅은 공격자의 관점에서 테스팅 대상의 보안 기능을 무력화 또는 회피하여 의도된 행위를 수행하는데 초점을 맞추고 있다. 이러한 공격은 공격자의 경험 및 지식의 수준과 창의성에 기반하므로, 고도로 훈련된 전문가에 의해 수행되어야 한다. 즉, 침투 테스팅의 경우, 누구에 의해 테스팅이 수행되느냐가 핵심 관건이라고 할 수 있다.
퍼징은 침투 테스팅의 일부로 진행되거나 단독으로 진행 될 수 있다. 무작위로 생성된 유효하지 않거나 예상치 못한 입력을 주입하여, 테스팅 대상의 의도하지 않은 동작 여부를 확인한다. 퍼징의 경우, 효과적인 주입 데이터 생성 및 모니터링 여부가 핵심 관건이라고 할 수 있다.
▲보안 테스팅의 종류[출처=에스크립트]
라이프 사이클의 관점에서 위험 평가와 보안 테스팅은 서로 연관되어 있다. 전술한 바와 같이 위험 평가 결과를 기반으로 보안 위협에 대응하기 위한 보안 대책이 선택되며, 보안 테스팅을 통해 선택된 보안 대책이 정상 동작함을 확인 할 수 있다. 보안 테스팅 과정 중 확보한 취약점 정보, 공격 경로가 있다면, 이는 위험 평가 시 활용될 수 있다. 이러한 선순환 구조를 통해 더욱 안전한 차량 사이버보안을 구축할 수 있다.
오늘날 차량 사이버보안은 선택이 아닌 필수가 되었다. 자동차 제조사는 개발, 양산, 양산 후에 이르기까지 차량의 모든 라이프 사이클에 걸친 사이버보안을 고려해야 한다. 특히, 양산 후에도 지속적인 필드 모니터링을 통해 차량에 발생 가능한 취약점 및 위협 사례를 수집하여 이를 위험 평가와 보안 테스팅 시 적용해야 한다. 위험 평가와 보안 테스팅은 일회성이 아닌 일정 주기 또는 보안 이벤트 발생 시마다 반복적으로 수행되어야 하는 활동이므로, 자동차 제조사에서는 관련 사례와 노하우를 축작하고, 이를 활용하여 더욱 효과적이고 효율적인 사이버보안 활동을 할 수 있도록 준비해야 할 것이다.
이후 기고에서는 현재까지 연재된 기고 내용에 대한 요약과 삼정KPMG와 ETAS Korea가 제공하는 서비스에 대해서 설명할 예정이다. 삼정KPMG와 차량 임베디드 솔루션 선도기업인 ETAS Korea는 지난 2020년 10월 ‘차량 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 차량 사이버 보안에 대한 전문적인 서비스를 제공하고 있다.
[글_이타스코리아 사이버보안사업팀 송윤근 매니저]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
