[법규] ISO/SAE 21434 CSMS , TARA

출처: https://www.igloo.co.kr/security-information/csmsiso-sae-21434%EC%9D%B8%EC%A6%9D%EC%9C%BC%EB%A1%9C-%EC%82%B4%ED%8E%B4%EB%B3%B4%EB%8A%94-%EC%B0%A8%EB%9F%89-%EB%B3%B4%EC%95%88%EC%9D%98-%ED%98%84%EC%9E%AC%EC%99%80-%EB%AF%B8%EB%9E%98/

CSMS(ISO/SAE 21434)인증으로 살펴보는 차량 보안의 현재와 미래

 

TARA 방법론

자산 정의 -> 위협 시나리오 식별 (위협 분석) -> 영향도 측정 -> 공격 경로 분석 -> 실현 가능성 측정 -> 위험도 측정 -> 위험 관리 방법 결정

 

1. 자산 정의

분석 대상(차량)에서 가치있는 모든 아이템들을 지켜야할 자산으로 정의하고, 그 중 사이버보안이 필요한 자산에 대한 리스트를 구성하여 사고가 발생했을 때의 피해를 예측하여 피해 시나리오 작성(Damage scenario)

피해 시나리오를 기반으로 위협 분석을 구체화한다.

 

분류의미 설명

Safety	사람의 생명이나 신체에 영향을 줄 수 있는가? (예: 브레이크 시스템)
Financial	금전적인 손실이나 법적 책임을 유발할 수 있는가? (예: 과금 시스템, 보험 관련)
Operational	차량의 기능적 성능이나 운행 가능성에 영향을 미치는가? (예: ECU, 센서)
Privacy	사용자 정보나 민감한 데이터를 포함하고 있는가? (예: 위치 정보, 생체 정보 등)

 

2. 위협 분석

아이템에 대한 잠재적 위협 시나리오를 구체화하여 식별하는 과정으로, 공격자의 동기, 공격 경로, 공격 방법을 정의

공격자(Actor)	공격의 주체 (외부자, 내부자 등)	해커, 내부 직원, 경쟁 기업 등
공격 동기(Motivation)	공격자가 공격을 수행하는 목적	금전적 이득, 차량 제어권 탈취
공격 대상(Target)	공격자가 영향을 미치고자 하는 대상 자산	브레이크 ECU, 차량 내 민감 정보
공격 방법(Method)	공격 수행 시 사용하는 구체적인 방법 또는 기술	원격 접근, 물리적 접근, 네트워크 스니핑
공격 경로(Path)	공격이 진행되는 경로 및 접근 방법	OBD-II 포트, 무선 통신 채널
공격 조건(Condition)	공격이 성공할 수 있는 조건 또는 환경	차량이 특정 모드에 있을 때

[ 위협 시나리오 주요 사항 ]

예시 위협 시나리오
『외부 공격자가 무선 네트워크(Wi-Fi)를 통해 차량의 인포테인먼트 시스템에 접근한 뒤, 차량 CAN 버스로 명령을 주입하여 주행 안전 시스템을 무력화시킨다.』

 

- 위협의 분류 및 상세화

STRIDE 모델을 기반으로 발생할 수 있는 위협을 명확히 구분하고, 상세화한다.

 

3. 위험도 평가

앞서 작성한 위협 시나리오가 발생했을 때의 피해 결과를 토대로 영향도 평가한다.

 

4.공격 경로 식별

작성한 위협 시나리오를 기반으로 공격 경로를 세부적으로 정의하고 공격 경로와 위협 시나리오와의 관계를 정의한다.

예시 공격 경로

• 외부 → 차량 Wi-Fi 인터페이스 접근 → 인포테인먼트 시스템 침투 → 내부 CAN 네트워크 접근 → 브레이크 ECU 명령 위조 및 송신 → 브레이크 기능 방해

5. 실현 가능성 평가

작성된 시나리오 상의 공격이 실현될 수 있는 환경과 실제 자산의 환경에 대한 비교, 사이버 공격의 난이도 등을 기반으로 실현 가능성을 평가한다.

 

6. 위험도 결정

앞서 작성한 위협 시나리오가 발생했을 때의 피해 결과를 토대로 영향도 평가한다.

 

7. 위험관리 방법 결정

 

 

분류의미 설명

Safety	사람의 생명이나 신체에 영향을 줄 수 있는가? (예: 브레이크 시스템)
Financial	금전적인 손실이나 법적 책임을 유발할 수 있는가? (예: 과금 시스템, 보험 관련)
Operational	차량의 기능적 성능이나 운행 가능성에 영향을 미치는가? (예: ECU, 센서)
Privacy	사용자 정보나 민감한 데이터를 포함하고 있는가? (예: 위치 정보, 생체 정보 등)