자동차 기능안전 및 사이버보안을 위한 종속 공격 분석

Abstract

차량에 사용되는 ECU의 개수가 많아지고 연결성이 높아지며 악의적인 공격으로 인한 위험이 커지고 있다. 악의적인 공격으로 인한 위험을 줄이기 위해 차량의 사이버보안 시스템을 체계적인 프로세스를 통해 설계하고 검증하는 것이 요구되었다. 이러한 요구사항에 따라 미국자동차공학회(SAE)에서는 자동차 사이버보안 표준인 SAE J3061을 발간했다. SAE J3061은 사이버보안 위협을 식별 및 평가하고 사이버보안 시스템을 설계하기 위한 사이버보안 프로세스 프레임워크와 가이드라인을 제공한다. SAE J3061의 프로세스는 자동차 기능안전을 위한 표준인 ISO 26262의 프로세스와 유사하며 여러 단계가 서로 대응된다. 예를 들어, ISO 26262에서는 위험 분석 및 위험 평가를 수행하여 잠재적인 위험, 안전 목표, 안전 요구사항을 식별한다. 이와 대응되게 SAE J3061에서는 위협 분석 및 위험 평가를 통해 잠재적인 위협, 사이버보안 목표, 사이버보안 요구사항을 식별한다. 그러나 자동차 기능안전에서는 고려되었지만 자동차 사이버보안에서는 고려되지 않는 개념도 존재한다. ISO 26262에서는 안전 분석의 결과로 종속 고장을 식별하고 고려한다. 종속 고장은 공통 원인 고장과 연계 고장이 포함된다. 대조적으로, SAE J3061에서는 종속 고장과 대응되는 개념이 존재하지 않는다. 그러나 사이버보안 시스템에서 하나의 특정 자산 공격으로 인해 두 가지 이상의 공격이 발생할 수 있다. 이러한 공격의 영향은 분석되기 전까지는 확인되지 않는다. 그렇기 때문에 종속 공격을 정의하고 분석하는 방법이 논의되어야 한다. 본 논문에서는 종속 고장과 대응되는 개념인 종속 공격을 정의한다. 또한 SAE J3061에서 소개된 위협 분석 및 위험 평가 방법 중 하나인 HEAVENS security model에서 종속 공격 분석을 추가하는 방법을 제안한다. HEAVENS security model에 종속 공격 분석을 적용한 사례를 통해 종속 공격 분석의 필요성을 설명한다.; The risk of malicious attacks on the vehicle system has increased due to connectivity and a large number of ECUs in the vehicle. It was required to verify and validate cybersecurity systems of the vehicle through a systematic process. In accordance with these requirements, SAE J3061 was published by society of automotive engineers. SAE J3061 provides the cybersecurity process framework and guidance for identifying and assessing cybersecurity threats and designing of cybersecurity systems. The process of SAE J3061 is similar to the process of ISO 26262 which supports functional safety. Several phases of them correspond with each other. For example, a hazard analysis and risk assessment can be used to identify potential hazards, safety goals and safety requirements in ISO 26262. Likewise, a threat analysis and risk assessment can be used to identify potential threats, cybersecurity goals and cybersecurity requirements in SAE J3061. However, there are concepts that have been considered in automotive safety but not in automotive cybersecurity. In ISO 26262, dependent failures shall be identified from the results of safety analysis and considered. Dependent failures include cascading and common cause failures that cannot be represented by a simple product of the probability of occurrence. In contrast, it is not considered to any concept for SAE J3061 corresponding to dependent failures. However, there can be distinctly two or more higher attacks resulting directly from a single specific asset attack in the cybersecurity system. Such dependent attacks should be considered. Because any impact of dependent attacks is unidentified until an analysis of dependent attacks. This paper describes the definition of dependent attacks which is a concept corresponding to dependent failures. We also propose the process of dependent attacks analysis on the HEAVENS security model, one of the threat analysis and risk assessment techniques in SAE J3061. describe examples of application of dependent attacks through HEAVENS security model. We explain the need for the dependent attacks analysis through the application of dependent attack analysis on the HEAVENS security model.