위협분석기반 자동차내부네트워크 기본 보안요구사항 도출
초록/요약
오늘날 자동차 산업의 패러다임은 전통적으로 기계적 장치였던 자동차에서 정보통신기술(ICT, Information and Communication Technology)과 융합된 자동차로 변화하고 있다. 특히 가장 주목 받는 화두는 자율주행자동차(Autonomous Driving car)이다. 자율주행자동차란 운전자 또는 승객의 조작 없이 스스로 운행이 가능한 자동차를 의미하는데, 이미 미국 고속도로교통안전청(NHTSA, National Highway Traffic Safety Administration)과 국제자동차기술자협회(SAE, Society of Automotive Engineers)에서는 주행 자동화를 기준으로 자율주행자동차의 수준을 정의하고 있다. 운전자 또는 승객의 개입이 전혀 필요 없는 완전한 자율 주행이 실현되기 위해서는 자율주행(Autonomous driving) 기술과 커넥티드(Connected) 기술의 조화가 필수적이다. 자율주행기술은 센서를 통해 주변 환경을 인지하고, 인지된 정보를 바탕으로 주행 상황을 판단하여 자동차를 제어하는 것이고, 커넥티드 기술은 자동차가 주행과 관련된 정보를 활용할 수 있도록 다른 자동차나 기반시설(Infrastructure)과의 연결성을 제공하는 것이다. 자동차가 자율 주행을 위한 새로운 기능을 가지게 됨에 따라 전장 부품의 수뿐만 아니라 전장 부품 내부 소프트웨어의 양과 복잡성도 늘어났다. 이로 인해 공격의 접근 점이 되는 공격 표면(attack surface)이 확대되고, 소프트웨어 보안취약점이 증가되었다. 실제로 다양한 연구자들에 의해 커넥티드 기능을 가진 자동차의 보안 취약점을 악용하여 자동차를 제어할 수 있음이 증명되기도 했다. 이처럼 자율주행자동차는 기능의 편의만 증대 되는 것이 아니라 운전자 또는 승객의 생명을 위협하는 다양한 위험 또한 증대될 것이다. 본 논문에서는 자동차를 대상으로 한 다양한 사이버 공격 사례 분석을 통해 자율주행자동차의 자산을 식별하고, 해당 자산에 대한 위협을 도출하였다. 그리고 defense-in-depth approach를 기반으로 자율주행자동차에 필요한 보안요구사항을 정의 하였고, 위협 분석(Threat analysis)를 통해 자동차 운전자 또는 승객의 안전을 위해 기본적으로 적용되어야 하는 보안요구사항을 도출하였다.
more목차
제 1 장 서 론 1
제 2 장 배경 지식 3
2.1 자동차 시스템 아키텍처 3
2.1.1 On-board IT Systems 3
2.1.2 On-board IT Data 4
2.1.3 On-board IT Communication 4
2.2 자동차 내부 통신 프로토콜 5
2.3 자동차 외부 인터페이스 6
제 3 장 자동차 사이버 공격 사례 분석 8
3.1 공격 사례 설명 8
3.1.1 OBD-II를 통한 자동차 제어 공격(RPM게이지, 대시보드, 가속) (2010) 8
3.1.2 Wireless를 통한 자동차 제어 공격(엔진정지, RPM게이지, 차량 가속)공격 (2011) 9
3.1.3 AVN시스템을 변조하여 자동차 제어 공격 (2014) 10
3.1.4 커넥티드 카 환경에서 안드로이드 앱 리패키징을 이용한 자동차 제어 공격 (2015) 11
3.1.5 테슬라에 대한 원격 제어 공격 (2016) 11
3.1.6 진단모드에서의 펌웨어 업데이트를 통한 공격 (2016) 12
3.1.7 RF 신호 증폭을 통한 도어락 해제 공격 (2016) 13
3.1.8 초기 Wi-Fi패스워드 취약성을 이용한 공격 (2016) 13
3.1.9 펌웨어 조작을 통한 원격에서 자동차 제어 공격 (2015) 14
3.1.10 무선 신호 도청 및 메시지 재전송 공격 (2015) 15
3.1.11 OBD-II를 통한 프리우스 제어 공격 (2013) 15
3.1.12 악성 코드가 담긴 CD/USB를 통한 펌웨어 변조 (2013) 16
3.1.13 TPMS 센서 오동작 및 위치 추적(2010) 16
3.1.14 랜섬웨어 감염을 통한 차량 제어 불가 (2017) 17
3.2 공격 사례별 취약점 분석 18
제 4 장 공격 사례 별 보안요구사항 도출 20
4.1 자산, 취약점, 위협원 그리고 위험 20
4.2 자산 식별 21
4.2.1 자산 생성 주체: 차량 제조사(OEM) 23
4.2.2 자산 생성 주체: 차량(Vehicle) 23
4.2.3 자산 생성 주체: 차량 소유자(Vehicle Owner) 23
4.3 위협 분석 24
4.4 공격 사례 별 보안요구사항 25
4.4.1 커뮤니케이션 데이터는 암호화 되어야 한다. (SR.01) 25
4.4.2 커뮤니케이션 데이터는 위/변조방지 대책을 적용해야 한다. (SR.02) 25
4.4.3 커뮤니케이션 데이터는 상대방에 대한 개체 인증 또는 출처 인증을 수행해야 한다. (SR.03) 25
4.4.4 인증되고 인가된 개체에 의해서만 자산에 접근 할 수 있어야 한다. (SR.04) 26
4.4.5 ECU소프트웨어는 공격자에 의해 쉽게 분석되지 않도록 난독화 되어야 한다 (SR.05) 26
4.4.6 Cryptographic material은 외부로 유출되지 않고, 안전하게 관리되어야 한다. (SR.06) 26
4.4.7 프라이버시 데이터는 암호화 되어야 한다. (SR.07) 26
4.4.8 ECU소프트웨어는 기동 시 변조 여부를 확인해야 한다. (SR.08) 27
4.4.9 인증되고 인가된 개체에 의해서만 자산이 변경 되어야 한다 (SR.09) 27
4.4.10 차량 외부로부터 유입되는 커뮤니케이션 데이터는 개체 인증 또는 출처 인증을 수행해야 한다. (SR.10) 27
4.4.11 Cryptographic material에 대한 정책은 주기적 확인을 통해 최신 상태(state-of-the-art)를 유지해야 한다. (SR.11) 27
4.4.12 데이터의 전달(relay)여부를 판단하여 차단해야 한다. (SR.12) 28
4.4.13 정상적인 데이터라 할지라도 재전송(replay)여부를 판단하여 차단해야 한다. (SR.13) 28
4.4.14 사용하지 않는 내부/외부 포트는 제거해야 한다. (SR.14) 28
4.4.15 피해확산 방지를 위하여 외부인터페이스에 대해서는 내부네트워크와 격리(Isolation)기술을 적용해야 한다. (SR.15) 28
제 5 장 공격 사례 별 위험도 산출 31
5.1 D.R.E.A.D 31
5.2 위험도 산출 32
제 6 장 자동차 내부네트워크 기본 보안요구사항 도출 40
6.1 기본(Basic) 보안요구사항 40
6.2 강화된(Enhanced) 보안요구사항 41
제 7 장 보안요구사항에 대한 검증 42
7.1 사이버 킬 체인(Cyber Kill Chain) 42
7.2 사이버 킬 체인 관점에서의 보안 요구사항 42
제 8 장 결론 45
참고문헌 46
Abstract 47
