Reliably Detecting and Defending Against Attacks - Requirements for Automotive Intrusion Detection Systems
신뢰성 높은 침입 감지와 침입 방어
자동차 침입 감지 시스템 요구사항
2020년 07월호 지면기사  /  글|에두아르드 메츠커(Eduard Metzker) 박사, Vector Informatik



오늘날 차량에 탑재된 탑승자를 위한 다양한 편의기능은 온보드/오프보드 서비스의 광범위한 연결성에 기초한다. 이는 또한 사이버 공격으로부터 차량을 보호해야 하는 문제를 초래한다. 현재 업계 전문가들은 기존의 보안 메커니즘과 함께 침입 탐지 시스템(Intrusion Detection System, IDS)의 사용에 대해 집중적으로 논의하고 있다. 하지만 자동차 환경에서 침입 탐지 시스템이 사용될 경우 극복해야할 문제가 발생한다.

글|에두아르드 메츠커(Eduard Metzker) 박사,  Vector Informatik 




사이버 보안은 차량의 연결성을 위한 길을 열어주는 중요한 선행과제이다. 과거에 자동차 산업은 보안 메커니즘이 포함된 차량의 E/E 아키텍처를 장착하기 위해 엄청난 노력을 기울였다. 예를 들면 소프트웨어 업데이트 보안 서명, 보안 부팅 및 보안 온보드 통신이 더욱 확립되고 있다. 현재 침입 탐지 시스템(IDS)은 추가 보안 메커니즘으로 자동차 OEM 및 공급업체의 주목을 받고 있다. 침입 탐지는 기존 IT 시스템에서 오랫동안 일반적으로 사용되는 보안 메커니즘이었지만 위 시스템은 현재까지 차량에서 광범위하게 사용되지는 않았다.


표준화 부족

표준화 부족의 한 가지 원인은 기술의 표준화 부족에서 기인한다. 보안 이벤트(SEvs), 차량에서의 처리 및 보고 그리고 효율적인 스토리지를 규정하는 표준은 존재하지 않는다. 또한 IDS를 구현하기 위한 온보드 인프라를 정의하는 사양도 존재하지 않는다. 그리고 IDS 공급업체의 개발 프로세스는 종종 자동차 OEM 및 공급사의 기존 시스템 개발 프로세스에 통합하기가 매우 어렵다. 이미 안전 프로세스를 완료했거나, 자동차 OEM과 공급사 간의 현재 업무 분담에 맞지 않는 일부 경우에는 ECU 소프트웨어에서 이를 조정해야 한다. 일부 IDS 접근방식은 IDS 비용이 증가하는 독점 하드웨어 구성품을 사용해야 한다.

이와 동시에 ISO 21434 표준(도로 차량 - 사이버 보안 엔지니어링)이 작성되고 있다. 무엇보다도 사전 정의된 이벤트 대응 프로세스가 필요하다(그림 1). 이벤트 대응 프로세스는 자동차 OEM이 차량에서 발생하는 보안 취약점에 대응해야 한다고 명시한다. 하지만 OEM은 이러한 취약점을 인식할 경우에만 대응할 수 있다. 자동차 IDS 시스템은 이러한 대응에 도움이 될 수 있다. 자동차 IDS 시스템은 차량의 온보드 IDS로 구성되고, 백-온보드 IDS 시스템은 차량의 잠재적 보안 이벤트를 감지하여 자동차 OEM의 보안 운영 센터(SOC)에 신속하게 전송하는 데 도움을 준다. 보안 운영 센터의 보안 전문가는 온보드 IDS가 제공한 데이터에 대한 타당성 검사를 수행하고, 이를 다른 유사한 유형의 차량 데이터와 통합한다. 이를 통해 이벤트를 심층 분석하고 다음 단계를 결정할 수 있는 기반을 제공한다. 예를 들면 이러한 지식은 탐지된 취약점을 제거하는 대책을 이행하고 테스트하기 위한 기초를 형성한다. 소프트웨어 업데이트를 통해 영향을 받는 플릿에 속한 자동차에 필요한 컴포넌트를 설치할 수 있다. 이를 통해 향후 유사한 침입에 대한 방어 기능이 개선된다.



그림 1|AUTOSAR Crypto Stack의 목적은 키를 모델링하고 암호화 서비스를 사용하는 것이다.


자동차 IDS의 요구사항

자동차 IDS에는 수많은 특수한 문제가 존재한다. 우선, 차량의 E/E 아키텍처는 분산 시스템이다. 잘 알려진 차량 기능들의 대부분은 두 개 이상의 ECU의 상호작용을 통해서만 구현될 수 있다. 이러한 특성은 잠재적인 온보드 IDS 아키텍처에 영향을 미친다. 중앙 노드에는 다른 노드의 모든 보안 이벤트에 대한 정보가 없으므로 IDS 자체는 분산 시스템이어야 한다. 

분산된 온보드 IDS를 선호하는 또 다른 이유는 단일 장애 지점을 방지할 수 있다는 것이다. “센서”로 알려진 탐지 알고리즘은 ECU 소프트웨어에서 구현된다. 센서는 해커 침입의 결과로 발생하는 프로토콜 위반을 탐지한다. 한 개의 ECU에 있는 보안 센서가 고장 날 경우에도 나머지 IDS는 사실상 아무런 제한 없이 계속 작동해야 한다. 따라서 IDS의 분산 시스템 간의 인터페이스를 명확하게 정의해야 한다.
자동차 IDS의 또 다른 문제는 소프트웨어/하드웨어 플랫폼이 다르다는 점이다. 또한 AUTOSAR Adaptive 플랫폼의 도입으로 소프트웨어 솔루션의 다양성이 증가했다. 하지만 자동차 OEM의 관점에서 전체 시스템 설계가 불필요하게 복잡해지지 않도록 인터페이스와 보안 이벤트 정의는 가능한 일관성이 있어야 한다.

또한 ECU에는 컴퓨팅 성능과 메모리 용량 등의 리소스가 매우 제한되어 있다. 개발자는 특히 RAM에서 보안 이벤트를 처리하여 비휘발성 메모리(NVRAM)에 저장할 때 이를 고려해야 한다. 이를 위해서는 기존 IT 시스템에는 일반적으로 필요하지 않은 최적화가 요구된다. 따라서 자동차 IDS 시스템은 전처리 단계를 사용하여 보고된 보안 이벤트를 수집하고 확립된 기준이 충족될 때까지 이들 이벤트의 자격을 부여한다. 이러한 자격 부여를 통해 관련이 없는 보안 이벤트에 리소스가 낭비되는 것을 방지한다. 이는 특히 차량 네트워크의 보안 이벤트가 전송 스테이션인 침입탐지 리포터(IdsR)를 통해 백엔드로 라우팅되어야 할 경우 해당된다. 따라서 한 가지 중요한 제약사항은 불필요한 네트워크 로딩을 방지하는 것이다. 물론 자격 부여는 일반적으로 실시간 조건에서 발생하며 SOC의 세심한 분석을 대체하지 않는다는 점을 고려해야 한다.
결국 IDS 자체에 수많은 보안 요구사항이 적용된다. 예로, 분산 IDS의 각 요소는 서로 신뢰할 수 있어야 한다. 우선, 이는 차량 네트워크의 IdsR로 전송되는 승인된 보안 이벤트(QSEv)에 적용된다. 

IdsR은 수신된 QSEv가 인증된 발신자에게서 왔으며 수정되지 않은 상태로 수신되었는지 확인해야 한다. 침입자가 QSEv를 가로채 실행하면 (재생 침입) IdsR이 이를 탐지할 수 있어야 한다. 백엔드의 SOC 또한 연결된 차량으로부터 수신된 데이터를 신뢰할 수 있어야 한다. 이는 IdsR이 데이터를 전송하기 전에 차량별 키로 데이터에 서명을 추가하여 달성된다. 또한 NVM의 IDS에 의해 영구적으로 저장된 QSEvs와 보안 이벤트의 자격 부여 규칙이 있는 IDS 구성 모두 보호할 가치가 있다.


AUTOSAR의 침입 탐지 표준화

표준화를 향한 첫 번째 단계는 2018년 AUTOSAR 4.4에서 보안 이벤트 정의를 통해 이루어졌다. 이러한 이벤트는 이제 AUTOSAR 문서에서 사양 요소로 제공된다. 이를 통해 각 AUTOSAR 베이직 소프트웨어 모듈에 대한 표준에서 보안 이벤트를 정의하기 위한 기초가 형성된다. 또한 Dem(진단 이벤트 관리자)는 Sem(보안 이벤트 메모리) 구현 기능을 포함하도록 확장되었다. 이제 표준 진단 메모리와 함께 Sem을 구성할 수 있다(그림 2). 이를 통해 별도의 그리고 특별한 보호 영역에 보안 이벤트를 저장할 수 있다. 기존 툴 및 프로세스 체인은 여전히 보안 이벤트를 관리하는 데 사용된다.



그림 2|Sem(보안 이벤트 메모리)을 내장한 AUTOSAR 소프트웨어 스택


곧 출시될 AUTOSAR 버전 20/11에서는 보안 이벤트의 표준화가 재작업 되어 침입 탐지 시스템 관리자(IdsM)에 대한 개념의 프레임워크에 자세히 기술되어 있다. 여기에서 초점은 부분은 다음과 같은 측면이다.

> 분산 온보드 IDS를 위한 하이 레벨 아키텍처의 표준화
> 베이직 소프트웨어 모듈 및 어플리케이션 소프트웨어 컴포넌트의 보안 이벤트를 IdsM에 보고하기 위한 인터페이스 표준화
> 승인 필터의 표준화. 센서에서 보고된 보안 이벤트를 승인된 보안 이벤트로 변환한다.
> IdsM과 IdsR 모듈 간 통신 표준화
> 선택된 베이직 소프트웨어 모듈에 대한 특정 보안 이벤트 유형의 표준화


AUTOSAR에 IdsM 모듈 통합하기

IdsM의 원리는 하이 레벨 아키텍처를 통해 가장 잘 설명된다(그림 3). E/E 아키텍처의 각 노드에는 별도의 로컬 IdsM이 포함될 수 있다. AUTOSAR Classic과 AUTOSAR Adaptive ECU 모두에 IdsM이 포함될 수 있다. 개별 IdsM 장치 사이에는 계층적 종속성이 존재하지 않는다. 각 로컬 IdsM은 로컬 보안 센서의 보안 이벤트를 수신한다. 이들 센서는 호스트 기반 또는 네트워크 기반 센서이다.



그림 3|ECU로 예시 모듈을 배포하는 온보드 IDS의 하이 레벨 아키텍처


호스트 기반 센서의 한 가지 예는 주요 자료를 담당하는 키 관리자(KeyM) 모듈이다. 보안 센서로서 어떤 사람이 유효 기간이 만료되었거나 서명이 유효하지 않은 루트 인증서를 설치할 경우 KeyM 모듈은 보안 이벤트를 생성한다. 게이트웨이 ECU의 네트워크 기반 센서는 예를 들면 통신 정의에 따라 대상 네트워크에 도달해서는 안 되는 CAN ID가 수신되었는지를 확인한다.
로컬 IdsM은 관련 보안 이벤트를 IdsR로 라우팅한다. IdsR은 보안 이벤트를 보안 운영 센터로 전송한다. IdsM이 있어야 하는 E/E 아키텍처 노드에 대한 결정은 보안 엔지니어링 프로세스의 과정에서 자동차 OEM에 의해 내려진다.

더 나은 이해를 위해 AUTOSAR Classic 아키텍처로의 IdsM의 통합을 살펴 볼 가치가 있다(그림 4). 파란색 화살표는 보안 센서가 있는 예시 모듈에서 IdsM으로의 연결을 나타낸다. IdsM의 보안 이벤트에 자격을 부여한 후 QSEv는 구성에 따라 ECU의 비휘발성 메모리에 저장되거나 IdsR을 통해 SOC에 전송된다. 이벤트는 Sem(주황색 화살표)에 저장된다. 데이터를 저장하기 위해 Sem 모듈은 비휘발성 RAM 관리자(Nvm)를 사용한다. 옵션으로 Nvm 은 IdsM에서 조작을 감지할 수 있도록 데이터를 암호화하여(녹색 화살표) 저장할 수 있다. 로컬 메모리 스토리지 이외에 QSEv는 PduR을 통해 IdsR(갈색 화살표)로 전송될 수 있다.



그림 4|AUTOSAR Classic 아키텍처에 IdsM 통합


이러한 기본 아키텍처에 기초하여 리소스 가용성과 필요한 보안 이벤트 데이터 사이에서 적절하게 균형을 맞추는 온보드 IDS 시스템이 개발될 수 있다. 이를 위해 IDS는 예를 들어 각 보안 이벤트에 대해 다음과 같은 요소를 적용하여 높은 수준의 구성 가능성을 가져야 한다.

> 자격 부여 규칙
> 비휘발성 메모리의 QSEv의 로컬 스토리지 - 예 또는 아니오
> QSEv를 IdsR로 라우팅 - 예 또는 아니오


전망

제시된 요구사항에 기초하여 벡터는 AUTOSAR의 표준화를 위해 분산형 자동차 온보드 IDS에 대한 설계 제안서를 제시했다. 이 설계 제안서는 기술된 제약사항과 기능 요구사항을 설명한다. AUTOSAR의 이러한 표준화와 함께 벡터는 AUTOSAR 베이직 소프트웨어인 MICROSAR의 일부로, 표준 준수 IDS 솔루션을 개발하고 있다. 이러한 구현은 AUTOSAR 20/11이 출시되기 전에 이미 사용이 가능하다.

자동차 온보드 IDS의 표준화는 자동차 보안에 많은 부가 가치를 제공한다. 이를 통해 OEM, 공급업체 및 보안 전문가가 자신들만의 강점을 제공하는 자동차 IDS를 위해 지속가능하고 견고한 생태계를 달성할 수 있다. 자동차 OEM은 보안 요구사항을 정의한다. 기본 소프트웨어 생산업체는 IdsM, IdsR 및 보안 센서와 관련된 기술 인프라를 베이직 소프트웨어 모듈에 효율적으로 구현하는 데 전문 지식을 제공한다. 그리고 보안 전문가는 예를 들면 보안 이벤트에 대한 혁신적인 자격 부여 규칙뿐만 아니라 자신의 역량을 통해 인공 지능(AI) 기반 센서 등의 고급 보안 센서를 정의하는 데 참여한다. 이러한 협력은 AUTOSAR 표준화 프레임워크에 정의된 SecXT (Security Extract) 교환 형식에 의해 단순화된다. SecXT를 사용하면 개발 툴 간에 데이터를 쉽게 교환하고 회사 간 보안 프로세스 구현을 단순화할 수 있다. 예를 들면 보안 영역의 자동차 OEM과 공급업체 간의 업무 분산이 새로운 차원까지 향상되었다.
 

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>


  • 100자평 쓰기
  • 로그인



TOP