커넥티비티와 자율차 위한 사이버 시큐리티
2018년 11월호 지면기사  / 글│한 승 용 과장, 한컴MDS SES 사업부 _ seungyong@hancommds.com



자동차의 사이버 공격의 주된 목표는 외부 망과 연결 가능한 V2E 관련 소프트웨어가 될 확률이 높다. 따라서 ISO 26262 Part 4에 명시된 Cyber Security Requirement의 수립 시에는 악의적인 공격에 대응을 하기 위한 소프트웨어적인 방어 대책을 Requirement의 형태로 도출할 필요가 있으며, 이에 대해 CERT C나 MISRA C Secure 등과 같은 검증된 보안 코딩 표준을 적용할 필요가 있다. 또한 Open Source나 상용 Code에 대해서도 충분한 검증이 반드시 필요하다.



커넥티드 카와 ISO 26262 2ndEdition

커넥티비티, V2E(Vehicle to Everything)로 대표되는 자율주행차가 시장에 속속 등장하고 있다. SAE Level 3 수준의 자율주행차는 상용화를 위한 준비가 완료된 상태이며, Level 4 수준의 자동차 역시 세계 각국에서 테스트되고 있다.

이와 궤를 같이 하여 ISO 26262:2011도 곧 개정이 될 것으로 알려졌다. 현재 발표 직전인 60.00 under Publication 단계로 해당 단계가 완료되면 정식 발표가 이뤄진다.

공차 중량의 제약이 사라지고, 소프트웨어에 대한 내용이 강화되는 등의 변화가 예상되는데, 이 밖에도 커넥티드 카를 비롯한 V2E 대응을 위한 사이버 보안에 대한 내용이 추가된다. 특히 사이버 보안에 대한 내용은 ISO/DIS 26262:2018 Part 4에 명시되는데, 기능안전성 컨셉(Functional Safety Concept)과 함께 사이버 보안 컨셉(Cyber Security Concept)을 명시하도록 제시될 예정이다.



사이버 보안과 SAE J3061


‘SAE J3061 - Cybersecurity Guidebook for Cyber-Physical Vehicle Systems’는 지난 2016년 1월에 발표된 미국 자동차 공학회의 가이드로 현재 ISO에서도 ‘ISO/SAE CD 21434 - Road Vehicles: Cybersecurity engineering’ 제정을 준비하고 있는 것으로 밝혀졌다.

SAE J3061에서는 사이버 보안 부분에 대해 현재까지 이뤄진 주요 접근 방법론 3가지를 명시하고 있다. 볼보를 중심으로 수행된 HEAVENS를 비롯해 CMMI로 유명한 미국의 카네기 멜론(Carnegie Mellon) 대학에서 제시한 OCTAVE, 그리고 BMW, 보쉬, 콘티넨탈, 프라운호퍼(Fraunhofer)등 독일의 주요 OEM, 티어가 공동 참여한 EVITA¹(E-Safety Vehicle Intrusion Protected Applications) 프로젝트를 통한 사이버 보안 확보 방안이 SAE J3061에 소개돼 있다.

명시된 3가지의 방법론 모두 자동차 분야에 적용이 가능할 것으로 예상되며, 특히 EVITA의 경우 OEM 및 주요 티어 업체 등이 대거 참여한 유럽연합의 FP7-ICT 프로젝트로 진행됐다는 점에서 유럽연합 차원에서의 적용이 점쳐진다.

EVITA 방법론은 전체적으로 ISO 26262와 유사한 형태로 진행이 되며, SAE J3061에서도 유사한 방향성을 보여주고 있다. SAE J3061에서는 ISO 26262 Part 3: Concept Phase에서의 활동을 세이프티 프로세스(Safety Process)와 사이버 보안 프로세스(Cybersecurity Process)로 구분해 수행할 것을 제안하는데 방식은 그림 2와 같다.



차량 레벨에서의 기능안전성과 사이버 보안


자동차 분야에 대한 사이버 보안 접근 방식은 현재까지 국제표준 등을 통해 확립된 규정이나 표준이 없는 관계로 OEM이나 티어 수준에서 다양한 방법들이 적용되고 있는 상황이며, 장기적인 측면에서 EVITA 방식의 분석 방법이 가장 적합한 방식이 될 것으로 조심스럽게 예상되고 있다.

ISO 26262의 산출물 관점에서 OEM의 가장 중요한 산출물 중 하나는 세이프티 골(Safety Goal)과 ASIL이라고 할 수 있으며, 모든 협력업체들은 OEM에서 도출한 Safety Goal을 충족하기 위한 개발 활동을 전개하게 된다. 사이버 보안 역시 유사한 맥락으로 진행이 돼야 하며, 이를 위해서는 Safety Goal과 비슷한 개념인 시큐리티 골(Security Goal)을 수립하는 활동이 필요하다.

ISO 26262에서는 위험 분석 및 리스크 평가(Hazard Analysis and Risk Assessment, HARA)라는 필수 활동을 통해 ASIL을 결정하는데, SAE J3061에 명시된 EVITA 방법론 역시 위협분석 및 리스크 평가(Threat Analysis and Risk Assessment, TARA)를 통해 Security Goal을 도출하도록 제시하고 있다.

단, Security Goal과 Safety Goal의 도출은 그림 2에 언급한 바와 같이 Safety Process와 Security Process를 병행하는 형태로 진행이 되지만, Security Goal을 통해 발생할 수 있는 위험(가령, 뛰어난 해커가 차량 내 안전과 관련된 주요 제어기를 해킹해 운전자의 의도와는 관계없이 해커의 의지대로 제어하는 경우) 역시 Safety Goal을 위배할 수 있는 요소로 고려할 수 있기 때문에 Security Goal은 Safety Goal을 위배하는 하나의 하위 요구사항이라고 할 수 있다(그림 3).



Security Goal 도출을 위한 분석: TARA


ISO 26262에 따른 개발 프로세스는 모두 Safety Goal과 Safety Goal에 부여된 ASIL 충족을 목적으로 진행된다고 해도 무방하다. Safety Goal은 차량 레벨에서 발생할 수 있는 위험(Hazard)의 방지를 위해 수립되며, Hazard는 ISO 26262 Part 1.57에 명시된 바와 같이 “Potential source of harm caused by malfunctioning behavior of the item”으로 정의된다.

이러한 Hazard를 식별하기 위해 ISO 26262에서는 Part 3.7에 따라 HARA 수행을 제시하며, HARA 수행 시에는 각각의 Malfunctioning behavior와 Hazard가 가지고 있는 Severity, Exposure 및 Controllability를 통해 최종적으로 ASIL을 결정하게 된다.

Cyber Security 역시 유사한 결정 흐름을 갖는다. 다만, Hazard의 경우 의도하지 않은 고장으로 인한 위험 발생이 초점이라면, Cyber Security의 경우에는 공격자(해커 등)에 의한 의도된 공격으로 차량이 수행해야 하는 의도된 기능의 오작동을 발생시킨다는 점이 상이하다고 할 수 있다.

바꾸어 말하면, 의도하지 않은 고장(Unintended Malfunction)이나 공격으로 인한 의도된 고장(Intended Malfunction)은 모두 Malfunction으로 귀결 되는데, 앞서 언급한 바와 같이 ISO 26262에서 정의한 위험(Hazard)의 범위 내에 포함된다. 의도되지 않은 기능으로 인한 위험을 식별하는 방식이 HARA라고 한다면, Cyber Attack을 통한 의도된 고장은 TARA를 통해 식별이 가능하다.

그림 2에서와 같이 HARA와 TARA는 각각 Safety Process와 Security Process에 따라 진행이 되며, TARA 수행을 위해서는 HARA를 수행한 이후 도출된 Safety Goal을 기반으로 Cyber Security 측면에서의 위협 요소를 파악하고 이에 대한 Risk를 판단하게 된다.



TARA를 수행하기 앞서 차량의 기능을 의도적으로 방해 또는 저해할 수 있는 잠재적인 공격 경로(시나리오)를 식별해야 한다(이는 HARA 과정 중 진행되는 Operational Situation과 유사하다). 나쁜 의도를 가지고 있는 공격자(Attacker)가 달성하고자 하는 목표를 Attack Goal로 정의하는 Attack Tree Analysis(ATA)를 수행해 공격 방법(Attack Method), 공격 성공 확률(Asset Attacks) 등에 대해 EVITA 프로젝트에서 제시하는 기준을 적용해 최종적으로 Risk를 결정한다.

AT(Attack Tree)가 완성되면 FTA의 Cut-Set 분석과 같이 Attack Path(공격 경로)를 파악하며, 식별된 공격 경로를 기반으로 모든 공격 경로의 위험 수준을 평가하게 되는데, 모든 공격 경로는 선(先)수행된 HARA에서 식별된 위험과 Mapping이 돼야 한다.

Risk 평가

공격 경로에 대한 Risk 평가를 위해서 EVITA에서는 ‘ISO/IEC 18045:2008 - Information technology - Security techniques - Methodology for IT security evaluation’²에서 제시하는 5개의 Common Criteria Factor를 적용하며, 이는 다음과 같다.

- Elapsed time
- Attacker expertise
- System knowledge required
- Window of opportunity
- Equipment required

자동차 도메인이 아닌 다양한 도메인에 대해서 사이버 보안을 적용하는 경우에는 안전과 관련된 Severity, 개인정보/차량정보 등 Data 손실에 대한 Severity, 경제적 가치 손실에 따른 Severity나 운영상의 Severity와 Controllability가 필요하지만, ISO 26262에서는 이미 Severity와 Controllability에 대한 정의 및 Rating 기준이 포함돼 있어 생략이 가능하다(단, Severity나 Controllability의 경우 모두 보수적인 접근 방식을 따른다).

상기 5개의 Common Criteria에 부여된 Rating 기준을 기반으로 공격이 가진 잠재 위험성 (Attack Potential)과 공격 확률(Attack Probability)을 계산한 이후 Risk Graph에 따라 위험 수준을 결정하게 된다(그림 5).



결론


Cyber Attack은 주로 외부 네트워크에서 침투해 소프트웨어를 해킹해 조작하는 방식으로 공격이 될 것으로 예상되며, 주된 공격 목표는 외부 망과 연결이 가능한 V2E와 관련된 소프트웨어가 될 확률이 높다.

따라서 ISO 26262 Part 4에 명시된 Cyber Security Requirement의 수립 시에는 악의적인 공격에 대응을 하기 위한 소프트웨어적인 방어 대책을 Requirement의 형태로 도출할 필요가 있으며, 이에 대해 CERT C나 MISRA C Secure 등과 같은 검증된 보안 코딩 표준을 적용할 필요가 있다. 또한 Open Source나 상용 Code에 대해서도 충분한 검증이 반드시 필요하다.

물론 Coding이나 검증 이전 단계에서 다양한 악의적인 공격 시나리오(e.g. Dark-side Scenario)에 대한 위협을 분석하고, (Threat Analysis)이에 대한 리스크를 평가하는 (Risk Assessment) 단계가 반드시 선행되어야 할 것이며, 차량 레벨에서 도출되는 Safety Goal과의 Traceability를 통해 Security에 대한 강건성은 물론 높은 Safety 역시 확보해야 한다.



<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP