위협모델링을 이용한 보안 목표 및 요구사항 정의와 차량어플리케이션에 적용하기 위한 사례연구

Abstract

차량 보안은 잠재적 위협, 의도하지 않은 오작동 및 불법 튜닝으로 부터 차량을 보호하는 것을 의미한다. 이는 운전자와 보행자의 생명과 연관되므로 차량 시스템에서 매우 중요한 고려사항이 되고 있다. 그러므로, 자동차 산업은 해커의 공격에 대해 방어하기 위한 보안 정책을 강화해야 한다. 그러나, 일부 시스템에서는 보안 기능 구현시 보안수준과 함께 수행성능을 반드시 고려해야한다. 차량 엔진 관리 시스템 (Engine Management System)의 경우 주행 성능은 안전과 관계된다. 이는 무결성을 보장하는 보안 기능이 고려되어야 하고, 차량 성능을 위한 빠른 보안 수행성능도 요구된다. 차량 네트워크는 자율 주행과 Connectivity의 요구로 인해 점차 복잡한 구조로 발전하고 있다. 이와 같이 데이터의 증가와 복잡성으로 인해 보다 높은 통신대역폭이 요구되고 자동차 제조사는 이를 위해 이더넷 기반 통신을 사용하고 있다. 기존 차량내부 통신과 고속의 이더넷 통신을 함께 사용하기 위해, 차량에서는 확장된 게이트웨이 시스템이 사용된다. 이 시스템은 내부 컨트롤러 간의 통신을 위해 CAN을 사용하고, 이더넷을 외부 통신용 제어기와 게이트웨이의 인터페이스용 통신으로 사용한다. 차량 게이트 웨이는 기존 CAN네트워크 프로토콜과 외부 이더넷 프로토콜의 이종 통신 환경에서 차량의 데이터를 교환하고 실시간 연결하기 위한 인터페이스를 제공한다. 이러한 라우팅 작업에서는 시간지연이 발생하게 되고, 통신시간이 중요한 차량내 네트워크 환경에서 이러한 지연시간이 개발과정에서 고려되고 계측되어야 한다. 또한 외부통신 네트워크의 개입은 보안상의 취약점을 야기시키기 때문에, 사이버 보안 위험에 대한 메시지의 무결성을 보장하는 보안 기능이 고려되어야 한다. 본 논문은 위와 같은 차량 시스템들에 보안 기능을 적용하기에 앞서 적용 사례에서의 위협 모델링 (Threat Modeling)을 기반으로 한 시스템 구성 요소를 정의하고. 위협 식별 및 위험 평가를 실행한다. 이어서 각 구성 요소의 보안 목표 및 요구 사항이 정의된다. 두번째 단계에서는 EMS를 위한 효율적인 보안 부팅 구현의 설계방법을 보여준다. 보안 부팅의 개념을 설명하고 포 그라운드 및 백그라운드 보안 부팅 모드와 같은 실행 모드에 따른 몇 가지 사용 사례를 소개한다. 다음 단계로 EMS에 의한 엔진 시동 과정이 설명된다. 엔진 동기화 후 순차적으로 이루어지는 연료 분사 및 점화 과정이 설명된다. 또한 엔진 작동 중 EMS 의 전기적 리셋으로 엔진동기화를 재시작할 때 발생할 수 있는 문제들을 설명한다. 어느 경우에도 차량 엔진은 안정적으로 구동되어야 한다. 본 논문은 안정적인 엔진 재시작 및 재 동기화에 중점을 둔 효율적인 보안 부팅 구현 전략을 제안한다. 이와 같은 전략에는 운영 체제에서의 작업 할당, 여러 코어를 기반으로하는 작업 분할 및 메모리 할당등이 포함된다. 세번째단계는 보안시스템을 포함한 CAN 프레임과 이더넷프레임에 대한 게이트웨이 라우팅이 지연되는 영향을 보여준다. 위 연구를 위해 CAN 프레임에서 이더넷프레임으로 라우팅시 데이터 수정없는 전송하는 직접 라우팅 방법과, 필요한 데이터를 선별하여 전송하는 간접 라우팅 방법등 두 가지 라우팅 방법을 사용하여 정량적으로 비교 및 분석을 한다. 보안의 경우 CAN 네트워크 메시지 및 이더넷 메시지의 무결성을 보장하기 위해 CMAC을 사용한다.