위협 분석 및 리스크 평가를 위한 종속 공격 분석

Abstract

차량에 인터넷 연결이 가능해지면서 사이버보안의 위협이 증가하고 있다. ISO 26262를 통해 차량의 기능안전을 인증한 것처럼 사이버보안에 대한 인증 방법 역시 그 필요성이 대두되고 있다. 미국자동차공학회(SAE)가 발표한 자동차 사이버보안 가이드라인 SAE J3061에 따르면 차량을 개발할 때에는 사이버보안 수명주기 프로세스에 따라 개발해야 한다. J3061의 사이버보안 프로세스는 ISO 26262와 비슷한 구조를 가지며 개념 단계에서 기능안전의 위험원 분석 및 리스크 평가(HARA) 대신에 위협 분석 및 리스크 평가(TARA)를 수행한다. ISO 26262에서는 하나의 원인으로부터 동시에 혹은 연이어 고장이 일어나는 Dependent Failures의 위험성을 인식하고 안전 분석 이후에 추가적으로 Dependent Failures Analysis(DFA)를 수행하고 있지만, J3061에서는 TARA 이후의 Dependent Attacks를 정의하거나 분석하는 과정이 존재하지 않는다. 이에 본 논문에서는 하나의 공격으로 인해 여러 개의 공격 목표가 달성되는 것을 Dependent Attacks라 정의하고 TARA 이후의 추가 분석으로 Dependent Attacks Analysis(DAA)를 제안한다. 또한 J3061에 수록된 TARA 기법 중 하나인 EVITA 방법을 통해 DAA 프로세스 단계와 적용 사례를 함께 제시하여 Dependent Attacks가 실제 TARA 결과에 미치는 영향을 평가하고, DAA가 보다 더 정확하게 차량에 사이버보안을 적용하는 데에 필수적으로 고려해야 함을 보인다.