위협 모델링은 시스템에 가해질 수 있는 잠재적 보안 위협을 체계적으로 식별하고 분석하는 활동입니다. 대표적인 방법론인 STRIDE와 자동차 분야에 특화된 HEAVENS에 대해 간략히 설명해 드립니다.
STRIDE: 범용 소프트웨어 위협 모델링
STRIDE는 마이크로소프트(Microsoft)에서 개발한 위협 모델링 방법론으로, 시스템이 직면할 수 있는 위협을 6가지 카테고리로 분류하여 개발 초기 단계부터 보안 취약점을 식별하고 예방하는 데 사용됩니다.
각 글자는 다음과 같은 위협 유형을 의미합니다.
- Spoofing (스푸핑, 신원 위장)
- 내용: 공격자가 다른 사용자나 시스템인 것처럼 신원을 위장하는 행위입니다.
- 예시: 가짜 로그인 페이지를 만들어 사용자의 계정 정보를 탈취하는 것.
- 보안 목표: 인증 (Authentication)
- Tampering (템퍼링, 변조)
- 내용: 데이터나 코드를 허가 없이 수정하는 행위입니다.
- 예시: 통신 중인 데이터를 가로채 내용을 바꾸거나, 데이터베이스의 값을 임의로 변경하는 것.
- 보안 목표: 무결성 (Integrity)
- Repudiation (부인)
- 내용: 사용자가 자신이 수행한 행위를 부인하는 것입니다.
- 예시: 상품을 주문하고 결제까지 마친 후, 주문한 사실이 없다고 주장하는 것.
- 보안 목표: 부인 방지 (Non-Repudiation)
- Information Disclosure (정보 노출)
- 내용: 허가되지 않은 사용자에게 민감한 정보가 노출되는 것입니다.
- 예시: 에러 메시지를 통해 시스템 내부 정보가 노출되거나, 개인정보가 암호화되지 않은 채 저장되어 유출되는 것.
- 보안 목표: 기밀성 (Confidentiality)
- Denial of Service (서비스 거부, DoS)
- 내용: 악의적인 트래픽 등을 통해 시스템의 리소스를 고갈시켜 정상적인 사용자가 서비스를 이용할 수 없게 만드는 공격입니다.
- 예시: 서버에 대량의 요청을 보내 웹사이트를 마비시키는 것.
- 보안 목표: 가용성 (Availability)
- Elevation of Privilege (권한 상승)
- 내용: 낮은 권한을 가진 공격자가 더 높은 권한(예: 관리자 권한)을 획득하는 것입니다.
- 예시: 시스템의 취약점을 이용해 일반 사용자 계정으로 관리자만 접근 가능한 파일에 접근하는 것.
- 보안 목표: 권한 부여 (Authorization)
HEAVENS: 자동차 산업 특화 위협 모델링
HEAVENS는 자동차 환경의 특성을 고려하여 개발된 위협 분석 및 위험 평가 방법론입니다. STRIDE를 기반으로 하지만, 자동차 시스템의 안전(Safety)과 관련된 고유한 위협을 평가하는 데 더 중점을 둡니다.
HEAVENS는 특히 ISO/SAE 21434와 같은 자동차 사이버 보안 표준의 요구사항을 충족시키기 위해 사용되며, 다음과 같은 추가적인 고려사항을 포함하는 경우가 많습니다.
- 공격 경로(Attack Vector) 중심 분석: 차량의 외부 통신 인터페이스(블루투스, Wi-Fi, 셀룰러 등)를 통한 공격 경로를 구체적으로 식별하고 분석합니다.
- 안전(Safety) 영향 평가: 사이버 공격이 차량의 물리적 안전(예: 브레이크, 조향 장치 오작동)에 미치는 영향을 중요하게 평가합니다.
- 공격 가능성(Attack Feasibility) 세분화: 공격에 필요한 전문 지식, 시간, 장비 등 자동차 환경에 맞는 기준으로 공격 가능성을 더 상세하게 평가합니다.
요약하자면,
- STRIDE: 모든 종류의 소프트웨어 시스템에 적용할 수 있는 범용적인 위협 분류 프레임워크
- HEAVENS: STRIDE의 개념을 차용하되 자동차의 안전과 직결되는 특수한 환경에 맞춰진 보다 전문화된 위협 모델링 방법론
댓글
댓글 쓰기