TARA (Threat Analysis and Risk Assessment) — ISO 21434 Clause 15에 정의된 사이버보안 위험 분석 방법론. HARA의 보안 버전으로, 자산(Asset) → 위협 시나리오 → 공격 경로 → 리스크 값 → 처리 결정을 8단계로 수행한다. ISO 26262 HARA, SAE J3061 EVITA, STRIDE, CVSS를 통합한 개념.
전체 흐름
→ ISO 26262 HARA의 Hazard + Operational Situation → Hazardous Event → S×E×C → ASIL → Safety Goal 흐름과 평행.
1. Item Definition
TARA 입력물. 자동차 사이버보안의 Item 정의와 동일하게 차량 레벨 기능을 구현하는 컴포넌트 집합을 범위화:
- Item boundary — 시스템 경계
- Item functions — 대상 기능
- Preliminary architecture — 초기 아키텍처
- Operational environment — 사이버보안 관련 운용 환경
예시: Headlamp system의 Item Boundary — Power Switch Actuator ECU, Body Control ECU, 램프 요청 CAN 통신 등.
2. Asset Identification
Damage Scenario 식별
Damage scenario는 다음을 포함:
- 아이템 기능과 부정적 결과(adverse consequence)의 관계
- road user에 대한 harm 기술
- 관련 asset
Asset의 사이버보안 속성
Asset은 침해 시 damage scenario로 이어지는 C·I·A 속성을 가진 객체:
| Asset 예시 | 속성 | Damage Scenario 예시 |
|---|---|---|
| Data communication (lamp request) | A | 주차 중 헤드램프 기능 차단 인지 → 야간 주행 불가 |
| Firmware of body control ECU | I | 야간 주행 중 의도치 않은 헤드램프 OFF → 좁은 정지 장애물 정면 충돌 |
| Data communication (oncoming car info) | A | 야간 Low beam 전환 불가 → 반대편 운전자 눈부심 |
| Data communication (oncoming car info) | I | 자동 High beam 오작동 → 야간 주행 중 Low beam 고정 |
3. Impact Rating
Damage scenario를 4개 Impact Category에 대해 평가:
| 카테고리 | 약어 | 내용 |
|---|---|---|
| Safety | S | 인명·신체 피해 — ISO 26262 S0~S3 재사용 가능 |
| Financial | F | 재정적 손실 |
| Operational | O | 차량 기능 운용 중단·저하 |
| Privacy | P | 개인정보 침해 |
각 카테고리는 Severe / Major / Moderate / Negligible 4단계로 평가 (Annex F).
Safety impact가 severe로 평가되면, 다른 카테고리 분석을 생략하는 상위 카테고리 우선 규칙을 적용할 수 있음.
4. Threat Scenario Identification
Threat scenario는 다음 3요소 포함:
- targeted asset
- compromised cybersecurity property (C/I/A 중 어느 것)
- cause of compromise
Threat Guideword — STRIDE 6분류를 표준 도구로 활용:
| 위협 (Guideword) | 예시 |
|---|---|
| Spoofing | 브레이킹 ECU용 CAN 메시지 스푸핑 → CAN 메시지 무결성 손실 → 브레이킹 기능 무결성 손실 |
| Tampering | 공격자에 의한 Asset 변조 |
| Repudiation | 공격 후 추적 회피 |
| Information disclosure | Asset 외부 유출 |
| Denial of service | Asset 수신 차단 |
| Elevation of privilege | 비인가 권한 획득 |
5. Attack Path Analysis
Threat scenario 실현 경로를 식별. Top-down(목표→경로)과 Bottom-up(취약점→도달 가능성) 접근 조합.
각 attack path는 대응되는 threat scenario와 연결되어야 한다.
예시 — 브레이킹 ECU 스푸핑 실현 경로:
- Telematics ECU가 cellular interface를 통해 침해됨
- Gateway ECU가 Telematics ECU의 CAN 통신으로 침해됨
- Gateway ECU가 악의적 브레이킹 요청 신호 전달 (의도치 않은 급감속)
6. Attack Feasibility Rating
각 attack path에 대해 4단계 평가:
| 등급 | 설명 |
|---|---|
| High | Low effort로 수행 가능 |
| Medium | Medium effort로 수행 가능 |
| Low | High effort로 수행 가능 |
| Very Low | Very high effort로 수행 가능 |
ISO 21434는 다음 3가지 접근법 중 하나를 권장:
6-1. Attack Potential-based 접근
5가지 core factor 합산 (Common Criteria/ISO 15408 계승):
- Elapsed time
- Specialist expertise
- Knowledge of the item or component
- Window of opportunity
- Equipment
6-2. CVSS-based 접근
Base metric group의 exploitability metrics 사용:
| 지표 | 범위 |
|---|---|
| Attack Vector (V) | 0.2 ~ 0.85 |
| Attack Complexity (C) | 0.44 ~ 0.77 |
| Privileges Required (P) | 0.27 ~ 0.85 |
| User Interaction (U) | 0.62 ~ 0.85 |
Exploitability 공식:
| Exploitability 값 (E) | Attack Feasibility |
|---|---|
| 0.12 ~ 1.05 | Very Low |
| 1.06 ~ 1.99 | Low |
| 2.00 ~ 2.95 | Medium |
| 2.96 ~ 3.89 | High |
6-3. Attack Vector-based 접근
지배적 attack vector만으로 평가:
| 등급 | 기준 | 예시 |
|---|---|---|
| High | Network — 네트워크 스택에 제한 없이 바인딩 | 셀룰러로 ECU가 인터넷에 직접 노출 |
| Medium | Adjacent — 물리적·논리적으로 제한된 네트워크 | Bluetooth, VPN |
| Low | Local — 네트워크 스택과 무관, 장치 직접 접근 필요 | USB mass storage, memory card |
| Very Low | Physical — 물리적 접근 필요 | — |
7. Risk Value Determination
각 threat scenario의 리스크 값 = Impact (damage scenarios) × Attack Feasibility (attack paths).
- 값 범위: 1 ~ 5 (1 = minimal risk)
- Risk matrix 또는 risk formula 사용 가능
8. Risk Treatment Decision
리스크 값을 고려하여 4가지 옵션 중 하나 이상 선택:
| 옵션 | 내용 |
|---|---|
| Avoid | 리스크 원천 제거 — 해당 활동·기능 시작/지속 중단 |
| Reduce | 리스크 완화 — cybersecurity goal 정의·controls 적용 |
| Share | 리스크 전가 — 계약, 보험 |
| Retain | 리스크 수용 — cybersecurity claim으로 정당화 |
예시:
| Threat scenario | Risk value | Treatment |
|---|---|---|
| ”Lamp Request” 시그널 스푸핑으로 Power Switch Actuator ECU 데이터 통신 무결성 손실 | S: 5 | Reducing the risk |
| Oncoming car information DoS | O: 2 | Reducing the risk |
→ Reduce 선택 시 ISO 21434 Cybersecurity Goal → Cybersecurity Concept → Cybersecurity Requirements로 전개 (ISO 26262의 Safety Goal→FSR→TSR→SWSR 흐름과 동일). → Share·Retain 선택 시 Cybersecurity Claim으로 정당화 문서화.
HARA와의 비교
| 구분 | HARA | TARA |
|---|---|---|
| 표준 | ISO 26262 | ISO 21434 |
| 위험 원천 | 내부 Malfunction | 외부 Attacker |
| 분석 입력 | Malfunction → Hazard | Asset → Threat Scenario |
| 상황 요소 | Operational Situation | Attack Path |
| 평가 축 | S × E × C | Impact × Attack Feasibility |
| 등급 체계 | ASIL (QM/A/B/C/D) | Risk Value 1~5 |
| 산출물 | Safety Goal | Cybersecurity Goal / Claim |
두 분석은 통합 V-Model(Safety + Security) 개념 단계에서 병렬 수행 → 자동차 사이버보안 통합 V-Model 참조.
TARA Concept 통합
TARA는 기존 여러 방법론을 흡수한 통합 개념:
| 출처 | 기여 |
|---|---|
| ISO 26262 HARA | S×E×C 기반 Severity 평가 구조 |
| SAE J3061 EVITA | 자동차 전용 위협 분석 프레임워크 |
| STRIDE | Threat guideword 6분류 |
| CVSS | Attack feasibility 정량화 공식 |