본문바로가기

RESOURCES

미래 모빌리티 소프트웨어 솔루션 파트너

SCROLL DOWN



<보안고민상담소> 소개


페스카로는 자동차 산업 관계자들의 사이버보안 고민 해소를 위해 <보안고민상담소>를 운영하고 있습니다. 올해는 실시간 웨비나 형태로 아래 네 가지 주제를 다루었습니다. 실무진에서 가장 많이 하는 질문에 페스카로의 전문가 패널이 답변하는 형식으로 진행하여 좋은 반응을 얻었습니다. 혹시 관심 있는 주제를 놓쳤다면 아래 링크를 클릭하여 녹화본과 텍스트 정리본을 모두 확인할 수 있습니다.

1️⃣ 자동차 사이버보안 대응 전략

2️⃣ 사이버보안 솔루션 및 엔지니어링 전격 해부

3️⃣ [VTA 성공 사례] 자동차 사이버보안 테스트

4️⃣ 제어기 생산부터 양산 이후까지의 사이버보안





페스카로가 8월 9일 개최한 <자동차 사이버보안 솔루션 및 엔지니어링 전격 해부> 웨비나가 성황리에 마무리되었습니다. 60여 개 기업에서 100여 명이 신청해 주셨습니다. 사이버보안 솔루션 도입 전반에 걸친 고민을 실제 사례 기반으로 답변드리다 보니 많은 관심을 가져주신 것 같습니다.

이번 웨비나는 Tier가 자주 묻는 질문 & 사전 질문을 바탕으로, 총 8개의 고민을 다뤘습니다. 명확한 답변을 위하여 평균 업력 20년 이상의 전문가 패널이 모였습니다. 자동차 사이버보안 전문가 홍석민 대표, 자동차 SW 개발 전문가 구성서 이사, 자동차 엔지니어링 전문가 양희국 팀장의 속 시원한 답변, 같이 확인해 볼까요?







- 영상 Ver.




- 텍스트 Ver.

1. OEM 마다 다른 사이버보안 스펙을 어떻게 분석해야 할까요?

사이버보안 대응 전략은 다른 말로 보안 솔루션, 보안 대책(Control), 보안 요구사항이라고 부를 수 있습니다. 이러한 사이버보안 대응은 크게 두가지의 목적이 있습니다.

  • 콘텐츠 보호

  • 콘텐츠를 다루는 시스템 보호

이해를 돕기 위해 예시를 하나 들겠습니다. 넷플릭스도 보안 대응 전략을 세우는데요. 역시 두 가지 관점으로 적용됩니다. 하나는 넷플릭스가 인터넷을 통해 전파하는 콘텐츠 자체를 보호하기 위한 전략, 예를 들어 Widevine와 같은 DRM 솔루션을 적용하는 것과 다른 하나는 그 콘텐츠를 받아 재생하는 플레이어 장치가 외부 공격으로부터 안전하게 보호될 수 있도록 하는 것입니다.

차량 관점에서도 동일하게 차량 내/외부에서 처리되는 Data들, 예를 들어 CAN 통신 데이터, 제어기들의 FW 이미지 등을 보호하는 것과 이러한 Data를 처리하는 전장 제어기들을 보호하는 컨셉이 적용됩니다. 결국 모든 OEM들도 이 두가지 관점에서 보안 요구사항, 스펙을 만들게 됩니다. 이것을 기억하시면 조금씩 다른 용어, 문구, 항목들로 이루어진 OEM들의 요구사항을 분석하시는데 도움이 됩니다.







예를 들어 Secure Flash, Secure Access 등과 같은 진단 관련 요구사항은 콘텐츠 보호를, Secure Boot, Secure Debug와 같은 것들은 제어기 자체를 보호하기 위한 요구사항 이라고 보시면 됩니다. 이런 식으로 각 요구사항의 목적이 어떤 것인지를 이해하면서 분석한다면 우리 제어기가 어떠한 대응을 어떻게 해야 하는지가 보다 명확해지기 때문에, 보안 요구사항 대응 전략을 수립하시는데 도움이 될 수 있습니다.

그런데 일반적으로 OEM이 배포하는 보안 스펙이 제어기의 구분 없이 만들어져서, 어려움을 호소하는 고객사분들이 있습니다. 그래서 우리가 만드는 제어기에 맞는 요구사항인지를 파악하고, 반영해야 하는 것과 그렇지 않아도 되는 것을 구분한 후에 OEM과 협의를 통해 확정하는 것이 매우 중요합니다. 결국 이 활동은 개발 기간, 리소스, 제어기 재료비 등에 영향을 주기 때문에, 반드시 OEM과 사전에 협상을 하셔야 하는 것이 중요합니다.

지금까지 설명 드린 내용을 기억하신다면 OEM의 요구사항 파악하는데는 도움이 될 수는 있지만, 제대로 파악하고 대응하는 것은 여전히 매우 어렵습니다. OEM의 요구사항이 어떤 것인지 어떻게 대응해야 할지 판단이 되지 않는 경우, 페스카로와 같은 보안 전문가 집단에게 문의를 하신다면 보다 효율적으로 대응할 수 있습니다.


2. 어떤 제어기를 대상으로 보안 등급이 정해지고, 어떤 보안 기능을 적용해야 하나요?

페스카로는 OEM들과 협업하여 제어기 보안 등급을 정한 경험도 있고, 다양한 OEM들이 요구하는 보안 기능을 적용하는 일도 그동안 많이 해왔는데요. 이를 통해 알게 된 것은 제어기 보안 등급을 정하는 기준은 OEM마다 조금씩 상이하다는 것입니다. 하지만 공통적으로 ISO/SAE 21434 표준에 설명되어 있는 사이버보안과 관련있는 제어기인지 구분하는 방법을 참고하여 결정합니다.

  • 전기전자 제어기

  • 안전과 관련된 제어기

  • 정보 등을 수집/처리하는 제어기 (운전자나 동승자의 정보, 차량의 위치 정보 등)

  • 네트워크 기반 제어기 (차량 내부 네트워크 연결되어 있는지, 외부 통신 접점이 있는지 등)

위와 같은 기준으로 보안 제어기를 구분하며, TARA(Threat Analysis and Risk Assessment)라는 과정을 거쳐 보안 등급이 확정됩니다.







그럼 어떤 제어기들이 가장 높은 보안 등급을 받을까요? 편차는 존재할 수 있으나 큰 틀에서 의견을 드리겠습니다.

  • 가장 높은 보안 등급 : OBD-II, Telematics, WIFI, Bluetooth, USB 등 외부와 직접 맞닿는 통신 접점이 있는 제어기

  • 중간 보안 등급 : 차량의 내부 네트에 직접 연결되어 있으면서, 차량 주행에 직접적인 영향을 주거나 안전에 영향을 주는 제어기

  • 가장 낮은 보안 등급 : 차량의 내부 네트에 직접 연결되어 있지만, 주행이나 안전에 직접 영향을 주지는 않는 제어기

보안 기능은 이렇게 정해진 보안 등급과 제어기가 보유하고 있는 기능에 따라 정해지는데요. 보통 공통적으로 적용되는 것을 보면 먼저 진단과 관련된 기능들, 예를 들어 Secure Access, Secure Flash, Secure Unlock과 같은 것들이 있습니다. 그리고 제어기 시스템을 보호하는 보안 기능은 Secure Boot, Secure Debug, Secure Storage, Runtime Tuning Protection, Memory Protection 등이 있고 이것을 실현 시키는 방법으로 HSM을 요구하기도 합니다.

OEM이 정해준 보안 등급이 우리 제어기와 맞는지 그에 따라 적용해야 하는 보안 기능을 어떻게 어느 수준으로 정해야 하는지에 대한 기술 지원과 보안솔루션이 필요하시면 페스카로에 연락 주세요.


3. 기존 개발된 제어기에 사이버보안 신규 적용 시, AUTOSAR 솔루션 혹은 반도체 칩을 반드시 변경해야 할까요?





해당 질문은 최근 1년 사이에 가장 많이 받은 문의사항이기도 합니다. 유럽 규제가 22년 7월부터는 신차, 24년 7월부터 양산된 모든 차량에 적용됩니다. 22년 7월 전에 양산된 차량들은 24년 7월까지 사이버보안 규제를 적용해야 하는 것이죠. 기존 개발된 제어기에 사이버보안 기능을 신규 적용해야 하는 상황인데, 사용하는 SW플랫폼(e.g. AUTOSAR 등) 공급사 혹은 반도체 칩 제조사가 사이버보안 기능을 지원하지 않아서 어쩔 수 없이 신규로 개발해야 하는 경우가 발생합니다. 신규 개발 시 개발 기간 소요 및 비용이 추가로 발생하기 때문에 곤란할 것이라 생각합니다. 이 경우에는 SW플랫폼 공급사 및 반도체 칩 제조사 외의 기업에서 보안솔루션을 검토해보시면 좋습니다.

  • 자체 보안솔루션 보유

  • 자동차 보안 관련 전문 인력 및 조직 보유

  • 다양한 SW플랫폼과 반도체 칩들 대상 솔루션 포팅 경험 보유

위 조건을 보유한 기업과 협업하면 AUTOSAR 솔루션 변경 혹은 반도체 칩 변경 없이 사이버보안 신규 적용이 가능합니다. 페스카로는 글로벌 SW플랫폼 공급사들뿐만 아니라 차량용 반도체 칩 제조사들과도 다양한 프로젝트들을 수행한 경험을 가지고 있습니다. 페스카로 보안솔루션은 개발된 제어기 그대로 사이버보안 기능을 적용할 수 있으며, 이를 통해 신규 개발 투자비 절감과 개발/검증 기간을 효과적으로 단축하는 베네핏을 기대할 수 있습니다.


4. OEM이 요구하는 보안 기능은 무엇인가요?

OEM의 보안 요구사항을 분석해 보면, 앞서 말씀 드린 것과 같이 제어기 내/외부의 통신 데이터를 보호하는 요구사항과 제어기 자체를 보호하는 요구사항이 있습니다.

제어기 데이터 보호 요구사항에는 진단 통신의 Secure Access, Secure Flash 등의 보안 사항과, CAN/Ethernet 통신의 Secure On-Board Communication, TLS 보안 요구사항들이 있습니다. 제어기 보호 요구사항은 펌웨어 변조 방지와 변조 탐지 관점으로 나누어 볼 수 있습니다. 펌웨어 변조 방지로는 MCU 메모리를 보호하는 Memory Protection 기능과 외부 디버깅 인터페이스를 차단하는 Secure Debug 기능이 있고, Linux 등 OS가 적용된 제어기에서는 DAC/MAC 과 같은 접근 통제 기능이 포함된 OS Hardening 요구사항이 있습니다. 펌웨어 변조 탐지는 부트로더의 무결성을 탐지하는 Secure Boot 기능과 제어기 어플리케이션 동작 중 펌웨어들의 무결성을 검증하는 Run-time Tuning Protection 요구사항이 있습니다.







암호학적 보안기술 측면에서는 AES-128/256 암/복호화, AES-CMAC, SHA2 HASH등의 메시지 인증 코드, RSA기반 PKCSv1.5, v2.2, ECC기반 ECDSA 등의 서명 검증 방식, X.509 인증서 관리, NIST SP 800-90B, BSI AIS 31 기준의 난수 생성 방식 등이 요구되고 있습니다. 특히 최근 OEM들이 요구하는 보안기술 추세는 타원 곡선을 이용한 ECDSA 서명 검증 방식의 Secure Flash 기능입니다. 또한 단순 Seed & Key 인증 방식이 아닌 진단 메시지 자체에 대한 무결성을 검증하는 메시지 인증 기반의 Secure Access 같은 보다 보안이 강화된 기술을 요구하는 추세입니다.


5. HSM이 없어도 보안솔루션 적용이 가능할까요?

우선 결론부터 말씀드리자면, 가능합니다. HSM이 없는 제어기의 경우, HSM 하드웨어 코어가 있는 칩으로 변경을 해야 하는지에 대해 고민하는 고객사분들이 있습니다. 칩 변경 시 추가 개발 기간과 비용 부담에 걱정이 많으실 텐데요. 페스카로가 제공하는 보안솔루션은 진단보안, SW 특화 솔루션, HSM, HSE 솔루션, 총 네가지 형태로 구분될 수 있습니다.







'진단 보안 솔루션'은 HSM이 없어도 진단 통신 보호에 필수적으로 필요한 Secure Access, Secure Flash 기능이 제공됩니다. 'SW 특화 솔루션'은 HSM 하드웨어 코어를 소프트웨어로 가상화한 보안솔루션으로, 하드웨어 HSM 솔루션에 비해 보안 레벨이 낮기는 하지만 HSM과 동등한 보안 기능을 제공합니다. 'SW 특화 솔루션'이 제공하는 보안 기능은 AES-128 암/복호화, AES-CMAC, SHA2 메시지 인증 코드, RSA PKCSv1.5, v2.2서명 검증, X.509 인증서 관리, NIST SP 800-90B 기준의 난수 생성과 MCU내 데이터 플래시와 MPU 기능을 이용한 Secure Storage 기능을 지원하고 있습니다.

HSM 하드웨어 코어가 없는 기존 양산차 제어기에 페스카로의 'SW 특화 솔루션'을 적용하면, 기존 제어기 하드웨어를 변경하지 않아도 되는 장점이 있습니다. 이로써 개발 기간과 비용을 획기적으로 줄일 수 있습니다.


6. 전달받은 보안솔루션의 ‘배포 과정’은 어떻게 되나요? 적용 시 기존 제어기 기능에 영향이 있을까 걱정돼요.






페스카로 보안 솔루션의 대략적인 통합 절차는 다음 그림과 같습니다. 제어기 협력사는 가장 먼저 OEM과 적용해야 하는 보안 사양 및 보안 등급을 협의하셔야 합니다. 협의가 완료되면, 페스카로는 제어기에 적용해야 하는 보안 사양에 대한 보안솔루션을 개발하여 협력사에 전달하게 됩니다. 보안솔루션의 종류에 따라 SW 특화 솔루션, HSM/HSE솔루션의 두 가지 형태로 통합 절차가 분류될 수 있습니다.

'진단보안 솔루션'과 'SW 특화 솔루션'은 제어기 MCU의 데이터 플래쉬, MPU, 타이머 등의 하드웨어 리소스를 사용해야 하기 때문에 제어기 협력사에서 구현이 필요한 HAL API가 있을 수 있습니다. 페스카로는 HAL API 구현에 필요한 자세한 가이드 매뉴얼 및 검증 라이브러리를 제공해 드립니다. HAL API 구현 및 검증이 완료된 후에는 'HSM 솔루션'과 'HSE 솔루션' 통합 절차와 같이 배포된 보안솔루션을 활용하여 OEM 요구사항을 구현하시면 됩니다.

페스카로의 보안솔루션은 OEM의 보안 요구사항에 특화된 필요한 기능들만 제공되기 때문에, 제어기 협력사가 좀 더 쉽게 보안솔루션을 통합하고 사양을 구현하는데 도움을 드리고자 노력하고 있습니다. 또한, 보안솔루션이 제공하는 기능들에 대한 자세한 설명과 적용 예시가 포함된 가이드 매뉴얼이 제공되며, 개발 중 수시로 기술지원을 제공하고 있습니다.

그런데 보안솔루션 적용 시 기존 제어기 기능에 영향이 있을지 걱정하는 분들이 있습니다. '진단보안 솔루션'의 경우 UDS 진단통신 및 리프로그램과 같이 진단 장비가 연결되는 특수한 환경에서만 동작하므로 제어기 기본 동작에는 영향이 없다고 보시면 되겠습니다. 하드웨어 시큐리티 코어가 없는 MCU에 적용하는 'SW 특화 솔루션'의 경우 보안솔루션이 HOST CPU 리소스를 같이 사용해야 합니다. 물리적으로 영향이 없다고 할 수는 없지만, 제어기 기본 동작에 최대한 영향을 주지 않도록 보안솔루션이 설계 되었습니다. 70종 이상의 양산 제어기 MCU에 적용되어 검증된 안전한 솔루션이라고 보시면 되겠습니다. 'HSM 솔루션'이나 'HSE 솔루션'과 같이 하드웨어 시큐리티 코어를 가지고 있는 MCU의 경우는 Secure Boot 기능 활성화에 따른 HOST 부트 로더가 론치 되기까지 약 10ms의 부팅 타임이 증가 되는 것 이외에 거의 영향이 없다고 보시면 되겠습니다.


7. 사이버보안 솔루션 자체는 어떻게 검증되었나요? 사이버보안 기능이 적용되면 해킹으로 뚫리는 일은 없나요?

지금 현재 기준에서 강력한 해킹 방어 방안, 다른 말로 사이버보안 솔루션을 만든다 하더라도 해킹 기술은 계속해서 발전하기 때문에 100% 안전한 사이버보안 솔루션은 없다고 볼 수 있습니다. 많은 사이버보안 전문가들이 유사한 의견을 냅니다. 그래서 UNR 155에서도 차량 출시 이후에도 발생 할 수 있는 사이버보안 사고에 대하여 대응할 수 있는 조직적, 절차적 체계 수립을 요청하고 있는 것이고, 이를 인증 받도록 하고 있습니다. 이것이 바로 CSMS(사이버보안 관리체계, Cyber Security Management System) 인증입니다.

그렇다고 해서 사이버보안 솔루션을 아무렇게 만드는 것을 허용하고 있는 것은 아닙니다. 법에서는 사이버보안 솔루션이 국제적으로 그 안정성을 인정받고 통용되는 암호화 알고리즘 표준을 사용하고 그렇게 사용하고 있음을 소명해야 한다고 되어 있습니다. 앞에서 설명한 다양한 암호화 알고리즘들이 그에 해당 합니다.

페스카로의 보안솔루션(FAST HSM)의 경우 미국 국가 기관인 NIST에서 발급해 주는 FIPS 140-2 인증을 획득한 보안 모듈이 포함되어 있어 신뢰할 수 있습니다. 뿐만 아니라 150 여개의 제어기에 적용되어 양산화까지 추진되고 있어 안정성까지 확보 되었습니다.

이렇게 믿을 수 있는 보안 솔루션을 적용하여 제어기를 보호한다 하더라도 보안 이벤트는 발생할 수 있기에 지속적으로 모니터링하면서 대응안을 마련해 나아가야 합니다. 이런 모니터링 활동은 지속적으로 진행되어야 하는 것이므로 보통 운영 시스템을 도입하게 되는데요. 이런 시스템을 SIEM(Security Information & Event Management) 시스템 또는 SOC (Security Operation Center)라고 부릅니다.

페스카로는 이러한 보안과 관련된 일련의 활동을 원활하게 하는 운영 시스템을 자동차 OEM에 납품을 했고, 그 결과 UNR 155 CSMS와 UNR 156 SUMS 인증을 받고 VTA까지 획득하는 데 기여를 했습니다. OEM 뿐만 아니라 Tier 입장에서도 이런 보안 이벤트 관리를 효과적으로 할 수 있는 시스템 도입을 점점 구체적으로 요구 받으실 것으로 예상되는데요. 이런 고민 페스카로와 함께 하시면 좋을 듯 합니다.


8. 사이버보안 기능을 양산 적용한 이후에는 자동차 보안을 어떻게 관리해야 하나요?





고객사 뿐만 아니라 공급 협력사와 긴밀한 보안 관리 체계가 수립되고 운영되어야 합니다. 상세하게 설명 드리자면, 사이버보안 관련 정보 수집을 통해 보안 이벤트를 감지합니다. 감지된 보안 이벤트는 취약점 관리 프로세스에 따라 평가됩니다. 취약점 관리 프로세스에서는 "TARA방법론"을 참조하여, 식별된 보안취약점을 분석하고 위험을 평가하여 처리 방안을 결정합니다. 그리고 전체 차량 라이프 사이클에 걸쳐 식별된 취약점의 처리를 추적 및 관리합니다. 이렇게 평가된 보안 이벤트는 사고 대응 프로세스에 따라 완화 조치가 이행됩니다. 사고 대응 계획을 수립하고 보안 패치 업데이트 등과 같은 이행 조치가 수행됩니다.

현재 페스카로는 승용 차량 제작사와 함께 7개 차종들 대상, 사이버보안 모니터링 및 사고 대응 IT시스템을 구축하고 지속적인 운영을 담당하고 있습니다. 또한, 상용 트럭 차량 제작사와 함께 2개 차종들 대상 사이버보안 모니터링 및 사고 대응 IT시스템을 구축하고 있습니다. 페스카로는 보안솔루션 자체의 신뢰성도 확보되었지만, 위와 같은 ‘IT 관리 시스템’을 보유하고 있습니다. 이를 통해 지속적인 보안 모니터링 및 최신 보안 패치와 같은 유지보수를 안정적으로 제공할 수 있습니다.






페스카로가 자체 개발한 보안솔루션은 내연기관차/전기차 총 7대의 제어기를 전체 분석했으며, 그 중 150개 이상의 제어기에 보안솔루션을 양산 적용했습니다. 또한 글로벌 반도체 제조사 10곳, 총 70종 이상의 모델에 호환되며 벡터(VECTOR), 이타스(ETAS), 일렉트로비트(Elektrobit) 등 글로벌 오토사 벤더와 긴밀하게 협업하고 있습니다. 다양한 반도체 제조사 및 글로벌 오토사 벤더와 협업하며, 자동차에 특화된 엔지니어링 전문 역량을 인정받고 있습니다.


혹시 OEM 보안 요구사항을 직접 대응하기 어렵거나, 자동차 사이버보안 관련 전문 인력과 조직 운영에 대한 어려움이 있으시다면, 페스카로와의 협업을 통해 해결할 수 있을 것 같습니다.






​<웨비나 소감 이벤트 당첨자>

웨비나 소감 이벤트를 통해 총 8명에게 <신세계 상품권>을 드립니다. 귀한 의견들을 참고하여 더 발전하여 찾아오겠습니다. 아래에 이벤트 당첨자의 소감을 일부 공유합니다. ■ 10만원권 (1명) 노*훈 "패널들의 다양하고 전문적인 경험을 공유해 주셔서 많은 영감을 받을 수 있었습니다."

5만원권 (2명) 이*준 "사전 질문을 미리 받고 답변을 준비해서 설명해주는 형식이 좋았으며, 각 분야 전문가께서 상세히 설명해주셔서 많은 도움이 되었습니다." 송*기 "질의응답 중심으로 실무에 도움이 많이 되는 웨비나였습니다."

3만원권 (5명)

최*일 "요구사항의 목적을 이해하려는 관점으로 분석하라는 내용이 와닿았고, OEM에서 요구하는 보안 기능 정보를 알 수 있어 좋았습니다." 승*미 "사이버보안 업무를 하면서 정보가 많지 않아 막막하고 답답했는데 세미나를 통해 다양한 내용들을 접하며 조금씩 해소되었습니다." 이*근 "사이버보안 대응 목적과 배경, HSM 없이 보안솔루션 적용 가능한 점, OEM 요구사항 등 잘 알지 못했던 부분에 많은 도움을 얻었습니다." 김*탁 "온라인이라 부담없이 참여할 수 있었고, 평소 헷갈렸던 부분들을 재정의할 수 있는 시간이었습니다." 이*용 "QnA 시간에 문의드린 질문에 친절한 답변 감사드리며, 덕분에 업계현황 및 사이버보안을 이해할 수 있는 유익한 시간이었습니다."


CONTACT USquestion_mark

SITEMAP