9.12 사이버 보안(Cybersecurity) 요구사항

9.12 사이버 보안(Cybersecurity) 요구사항

Level 4 자율주행 시스템은 무선 통신, 원격 운영, 소프트웨어 갱신, 클라우드 데이터 교환을 광범위하게 사용하므로 사이버 위협의 표면이 전통적인 자동차에 비하여 현저히 확장된다. 사이버 보안은 차량의 자산을 비인가 접근, 변조, 부인, 정보 유출, 서비스 거부로부터 보호하기 위한 일련의 기술적·조직적 통제로 정의된다. 이 절에서는 자율주행 시스템에 적용되는 사이버 보안의 표준 체계, 위협 분석 절차, 보호 메커니즘, 갱신 절차, 보안 모니터링, 검증 방법을 학습 순서에 따라 기술한다.

1. 자동차 사이버 보안의 학술적 정의와 표준

ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering은 자동차 사이버 보안을 “도로 차량의 전기·전자 시스템 자산에 영향을 미치는 사이버 위협으로부터의 자유의 정도“로 정의한다. 동 표준은 사이버 보안을 차량의 전체 수명주기에 걸쳐 다루어야 하는 공학적 활동으로 규정하며, 다음의 단계를 포함한다.

  1. 개념 단계: 항목 정의, 자산 식별, 위협 분석 및 위험 평가(Threat Analysis and Risk Assessment, TARA), 사이버 보안 목표 도출
  2. 제품 개발: 사이버 보안 요구사항의 도출, 아키텍처 설계, 구현, 검증
  3. 생산: 사이버 보안 통제의 정착
  4. 운용 및 유지: 사고 대응, 갱신, 모니터링
  5. 폐기: 자산의 안전한 폐기

UNECE Regulation No. 155, Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system은 사이버 보안 관리 체계(Cyber Security Management System, CSMS)의 인증을 요구하며, 이는 EU와 일본 등 다수의 국가에서 형식 승인의 전제 조건으로 채택되어 있다. 또한 UNECE Regulation No. 156은 소프트웨어 갱신 관리 체계(Software Update Management System, SUMS)의 인증을 요구한다.

이 외에 다음 문서가 자동차 사이버 보안의 학술적 기반으로 자주 참조된다.

  • NIST SP 800-30 Rev. 1, Guide for Conducting Risk Assessments
  • NIST SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations
  • ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements
  • SAE J3061_201601, Cybersecurity Guidebook for Cyber-Physical Vehicle Systems

2. 위협 분석 및 위험 평가(TARA)

TARA는 차량의 자산을 식별하고 그에 대한 위협을 도출하며, 위험을 정량적으로 평가하여 사이버 보안 요구사항을 도출하는 절차이다. ISO/SAE 21434는 TARA의 기본 절차를 다음과 같이 규정한다.

  1. 자산 식별(asset identification): 보호해야 할 자산과 그 보안 속성(기밀성, 무결성, 가용성, 진위, 부인 방지)을 식별한다.
  2. 위협 시나리오 식별(threat scenario identification): 자산에 대한 손상 시나리오를 도출한다.
  3. 영향 평가(impact rating): 안전, 재정, 운용, 사생활의 네 축에 대하여 영향을 평가한다.
  4. 공격 경로 분석(attack path analysis): 위협이 실현되는 경로를 도출한다.
  5. 공격 실현 가능성 평가(attack feasibility rating): 공격에 요구되는 시간, 전문성, 기회, 장비, 지식을 평가한다.
  6. 위험 결정(risk determination): 영향과 실현 가능성을 결합하여 위험 수준을 산출한다.
  7. 위험 처리(risk treatment): 위험을 회피, 감소, 이전, 수용 중 하나로 처리한다.

위협 모델링을 보조하기 위하여 STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege) 분류가 자주 사용된다. 자동차 환경에서는 EVITA 프로젝트의 위협 모델과 자동차 ISAC (Auto-ISAC)의 위협 정보 공유가 추가적으로 활용된다.

3. 보호 메커니즘

자율주행 시스템의 사이버 보안 보호 메커니즘은 다음의 계층에서 구현된다.

3.1 하드웨어 신뢰의 근원

각 컴퓨팅 노드는 하드웨어 신뢰의 근원(Hardware Root of Trust)을 가져야 한다. 일반적인 구현은 하드웨어 보안 모듈(Hardware Security Module, HSM) 또는 신뢰 실행 환경(Trusted Execution Environment, TEE)이며, 이는 측정된 부팅(measured boot), 검증된 부팅(verified boot 또는 secure boot), 키 보관, 암호 연산 가속을 제공한다. 자동차용 HSM은 EVITA Light/Medium/Full 사양과 ISO/IEC 11889 Trusted Platform Module Library가 정의하는 신뢰 플랫폼 모듈의 개념을 결합하여 구현된다.

3.2 인증과 권한 부여

차량 내 노드 간의 통신은 상호 인증을 요구하며, 메시지 무결성 보호와 재전송 공격 방지를 위한 메시지 인증 코드(Message Authentication Code, MAC)가 적용된다. AUTOSAR Secure Onboard Communication (SecOC)은 CAN/CAN FD/이더넷 메시지에 대한 메시지 인증과 신선도(freshness) 보호를 제공하는 표준 모듈이다. 차량과 백엔드 사이의 통신에는 TLS 1.3 (RFC 8446)이 사용된다.

3.3 망 분리

차량 내 망은 도메인 분리, VLAN, 방화벽, 침입 검출 시스템(Intrusion Detection System, IDS)에 의하여 분리된다. 안전 관련 도메인과 정보 오락 도메인을 물리적·논리적으로 분리하여 한 도메인의 침해가 다른 도메인으로 확산되지 않도록 한다.

3.4 데이터 보호

저장된 데이터는 디스크 암호화와 키 분리에 의하여 보호되며, 사용자 사생활을 다루는 데이터는 ISO/IEC 27701:2019 Privacy Information Management 등의 사생활 표준에 의하여 추가로 보호된다.

3.5 안전한 코드 작성

소프트웨어는 메모리 안전성을 가지는 언어 또는 메모리 안전 코딩 가이드라인(MISRA C:2012, CERT C/C++)에 의하여 작성되며, 정적 분석과 퍼지 시험(fuzz testing)을 통하여 검증된다.

4. 무선 갱신(OTA)

UNECE R156은 차량의 소프트웨어 갱신 관리 체계의 인증을 요구한다. 무선 갱신(Over-the-Air, OTA) 절차에는 다음의 보안 요구사항이 적용된다.

  • 갱신 패키지의 진위(authenticity)와 무결성(integrity) 보호: 디지털 서명과 해시 검증
  • 갱신 패키지의 출처 검증: 발급자의 인증서 검증
  • 다운그레이드 공격 방지: 단조 증가하는 버전 번호와 롤백 제한
  • 차량 상태의 검증: 갱신 전과 후의 차량 상태 검증과 실패 시 안전한 롤백
  • 사용자 통지와 동의: 갱신 시점, 차량 사용 가능성, 사용자 동의 절차

이러한 절차는 The Update Framework (TUF)와 그 자동차 적용판인 Uptane 1.2.0이 정의하는 구조에 부합하도록 설계된다.

5. 침입 검출과 사고 대응

자율주행 시스템은 운용 중에 차량 내 침입 검출과 차량 외부 보안 운영 센터(Security Operations Center, SOC)와의 연계를 통하여 위협을 모니터링한다. 침입 검출은 다음의 형태로 구현된다.

  • 시그니처 기반 검출: 알려진 공격 패턴의 검출
  • 이상 기반 검출: 통계적 또는 학습 기반 모형에 의한 이상 탐지
  • 사양 기반 검출: 사전 정의된 메시지 사양 또는 동작 사양으로부터의 이탈 검출

사고 대응 절차는 ISO/SAE 21434와 ISO/IEC 27035 Information security incident management가 정의하는 식별, 봉쇄, 근절, 복구, 사후 분석의 단계를 따른다. 자동차 ISAC의 정보 공유는 동일 위협이 다수의 제조사에 미치는 영향을 완화하는 절차로 학술적으로 권고된다.

6. 사이버 보안과 기능 안전의 통합

사이버 보안과 기능 안전은 서로 다른 표준 체계에 의하여 다루어지지만, Level 4 자율주행 시스템에서는 통합적으로 다루어져야 한다. 사이버 위협이 안전 관련 기능의 결함을 유도할 수 있고, 안전 메커니즘이 사이버 위협의 영향을 완화할 수도 있기 때문이다. ISO/TR 4804는 두 분야의 통합적 접근을 권고하며, 양 분야가 공유하는 위험 관리, 검증, 사고 대응 절차를 제시한다.

7. 검증과 평가

사이버 보안의 검증은 다음의 활동으로 구성된다.

  • 정적·동적 분석: 코드 정적 분석, 의존성 검사, 동적 분석
  • 퍼지 시험: 입력 필드, 통신 메시지, 인터페이스에 대한 퍼지 시험
  • 침투 시험: 차량 내부 망, 외부 인터페이스, OTA 채널, 백엔드에 대한 침투 시험
  • 보안 사례(security case): 식별된 위협, 적용된 통제, 그에 대한 증거를 통합하는 문서

평가의 결과는 형식 승인(type approval)에 제출되며, 보안 사례는 차량의 운용 수명 동안 지속적으로 갱신된다.

8. 출처 및 버전 정보

  • ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering, International Organization for Standardization 및 SAE International
  • UNECE Regulation No. 155, Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system, United Nations Economic Commission for Europe
  • UNECE Regulation No. 156, Uniform provisions concerning the approval of vehicles with regards to software update and software update management system, United Nations Economic Commission for Europe
  • SAE J3061_201601, Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, SAE International
  • ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection — Information security management systems — Requirements, International Organization for Standardization 및 International Electrotechnical Commission
  • ISO/IEC 27701:2019, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines, International Organization for Standardization 및 International Electrotechnical Commission
  • ISO/IEC 27035-1:2023, Information security incident management — Part 1: Principles and process
  • NIST SP 800-30 Rev. 1, Guide for Conducting Risk Assessments, National Institute of Standards and Technology
  • NIST SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations, National Institute of Standards and Technology
  • IETF RFC 8446, The Transport Layer Security (TLS) Protocol Version 1.3, Internet Engineering Task Force
  • AUTOSAR Classic Platform R22-11, Specification of Module Secure Onboard Communication, AUTOSAR Consortium
  • Uptane Standard for Design and Implementation 1.2.0, Uptane Alliance