ISO/SAE 21434 표준에서 제시하는 TARA(Threat Analysis and Risk Assessment)는 자동차 사이버 보안의 핵심으로, 차량의 전체 생명주기에 걸쳐 발생할 수 있는 잠재적 위협을 체계적으로 분석하고 위험도를 평가하여 보안 대책을 수립하는 과정입니다.
이 절차는 단순히 기술적인 취약점을 찾는 것을 넘어, 공격자의 관점에서 자산을 식별하고, 가능한 모든 공격 시나리오를 도출하여 위험을 정량적으로 평가하는 데 중점을 둡니다. 절차는 크게 다음과 같은 단계로 구성됩니다.
1단계: 아이템 정의 (Item Definition)
가장 먼저 분석의 대상과 범위를 명확히 합니다. 무엇을 보호할 것인지 정의하는 단계입니다.
주요 활동:
대상 시스템 식별: 분석할 차량의 특정 시스템(예: 인포테인먼트 시스템, ADAS)이나 전자제어장치(ECU)를 선정합니다.
- 기능 및 아키텍처 분석: 대상 시스템의 기능, 구성 요소, 데이터 흐름, 외부 통신 인터페이스 등을 파악하여 시스템의 동작 방식을 이해합니다. 이를 통해 공격이 발생할 수 있는 지점(공격 표면)을 예측합니다.
2단계: 자산 식별 및 영향 평가 (Asset Identification & Impact Rating)
시스템 내에서 공격자에게 가치가 있거나, 손상되었을 때 심각한 피해를 유발할 수 있는 **핵심 자산(Asset)**을 식별하고, 해당 자산이 침해되었을 때의 영향도를 평가합니다.
주요 활동:
자산 목록화: 보호해야 할 모든 유·무형 자산을 목록으로 만듭니다. (예: 개인정보, 인증키, 제어 신호, ECU 펌웨어 등)
손상 시나리오(Damage Scenario) 정의: 자산이 훼손되었을 때 발생할 수 있는 최악의 피해 상황을 가정합니다.
영향도 평가: 각 손상 시나리오가 안전(Safety), 재무(Financial), 운영(Operational), 개인정보(Privacy) 측면에 미치는 심각도를 '높음', '중간', '낮음' 등으로 평가합니다.
3단계: 위협 시나리오 식별 (Threat Scenario Identification)
식별된 자산에 대해 발생 가능한 구체적인 위협 시나리오를 도출합니다. 이 단계에서는 공격자의 동기, 목표, 사용 가능한 기술 등을 고려합니다.
주요 활동:
위협 모델링: STRIDE나 HEAVENS와 같은 알려진 위협 모델링 기법을 활용하여 체계적으로 위협을 식별합니다.
공격 경로(Attack Path) 분석: 공격자가 자산에 도달하기까지 거칠 수 있는 잠재적인 침투 경로를 단계별로 상세하게 분석합니다.
4. 단계: 공격 가능성 평가 (Attack Feasibility Rating)
도출된 공격 경로를 기반으로, 해당 공격이 실제로 성공할 가능성이 얼마나 되는지를 평가합니다.
주요 활동:
평가 기준: 공격에 필요한 전문 지식 수준, 경과 시간, 공격 장비의 필요성, 시스템에 대한 사전 지식, 창문 효과(공격 가능 시간) 등 다양한 요소를 고려하여 공격의 난이도를 평가합니다.
등급 산정: 평가 기준에 따라 공격 성공 가능성을 '매우 낮음'부터 '매우 높음'까지의 등급으로 산정합니다.
5. 단계: 위험 값 결정 및 처리 (Risk Value Determination & Treatment)
앞서 평가한 영향도와 공격 가능성을 종합하여 최종 위험 등급을 결정하고, 이에 대한 처리 방안을 수립합니다.
주요 활동:
위험 값 산정: 영향도와 공격 가능성을 조합한 위험 매트릭스를 사용하여 각 위협 시나리오의 최종 위험 등급을 결정합니다.
사이버 보안 목표(Goal) 수립: 위험 등급이 높은 위협에 대해 달성해야 할 보안 목표를 설정합니다. (예: "비인가된 사용자는 차량 제어 네트워크에 접근할 수 없어야 한다.")
위험 처리 결정: 산정된 위험 등급에 따라 완화, 회피, 전가, 수용 중 가장 적절한 처리 전략을 선택하고, 이를 바탕으로 구체적인 보안 요구사항과 대책을 설계에 반영합니다.
댓글
댓글 쓰기