자동차 사이버보안

자동차 전장 시스템이 외부 공격(Attack)으로부터 받는 위협을 관리하고, 위협이 Safety 사고로 전이되지 않도록 예방·대응하는 활동.

CIA Triad — 정보보안 3요소

정보보안의 기본 원칙은 세 가지 보호 속성(Security Property)으로 표현된다. Cybersecurity는 이 속성들이 “asset에 대해 충분히 보호되는 condition”으로 정의(ISO 21434).

속성	정의	예시 (자동차 맥락)
Confidentiality (기밀성)	비인가(Unauthorized) 접근으로부터 정보를 보호. 권한 부여자만 정보에 접근	진단 통신 암호화, 개인정보(위치·주행 기록) 보호
Integrity (무결성)	정보가 정확·일관성 있게 유지. 저장·전송·수정 과정에서 변경 방지. 인가된 접근/사용/전송을 모니터·제어	OTA 펌웨어 무결성, CAN 메시지 변조 방지
Availability (가용성)	필요할 때 언제 어디서나 정보 사용 가능. 시스템 모든 구성요소 정상 작동	DoS 공격 방어, ECU 서비스 지속성

→ 실현 수단은 암호 기술 참조 (대칭·비대칭 암호, 해시, MAC, 디지털 서명).

ISO 21434 표준 용어

ISO 21434는 Safety 용어 계층(Item/Element)을 이어받아 사이버보안 용어 체계를 정의. TARA 수행의 공통 어휘.

용어	정의
Asset	가치를 가지거나 가치에 기여하는 객체
Item	차량 레벨의 기능을 구현하는 컴포넌트(들)의 집합
Component	논리적·기술적으로 분리 가능한 부품
Threat Scenario	하나 이상의 asset의 cybersecurity property가 손상되어 damage scenario로 이어질 수 있는 잠재적 원인
Damage Scenario	차량·차량 기능에 관련되어 road user에 영향을 미치는 부정적 결과

계층 관계

→ HARA의 Hazard + Operation Situation = Hazardous Event → Accident → Harm 계층과 평행 구조 (Attack ↔ Hazard, Damage Scenario ↔ Hazardous Event).

일반 사이버보안 위협

ENISA Threat Landscape 기준 Top Threats — 자동차 역시 바퀴 달린 IT 인프라로서 동일 위협에 노출.

위협	개요
Malware	악성 SW 총칭 — 바이러스(프로그램 감염), 웜(네트워크 자가 전파), 트로이 목마(정상 프로그램 가장), 스파이웨어(정보 탈취), 애드웨어(광고), 랜섬웨어 (파일 암호화·금품 요구)
Phishing	신뢰할 만한 주체로 가장해 비밀번호·신용카드 정보 등을 부정 취득하는 소셜 엔지니어링. 변종: 스피어 피싱(특정 대상), 스미싱(SMS), 큐싱 (QR 코드)
DoS (Denial of Service)	시스템 리소스 고갈로 정상 서비스 거부. 대량 패킷·접속 시도로 차량 서비스 일시·영구 중단 유발
기타	Web-based attacks, Web application attacks, Spam, Identity theft, Data breach, Insider threat, Information leakage

위험 관리 프로세스

ISO 31xxx 기반의 사이버 위험 관리 사이클:

단계	내용
Describe Context	범위·자산·환경 정의. 입력: 신규 개발/환경
Identification	취약점·발생 가능성·위협/Damage 시나리오(What·When·How·Why·Whom·Where) 식별
Analysis	위험의 구조 분석
Evaluation	위험 수준 평가 및 영향도 분석 — 얼마나 치명적인가
Treatment	위험 처리 우선순위 결정, Mitigate 전략 식별, Risk별 접근법 할당
Monitor & Report	사건 모니터·보고 → 잔여 위험(Residual Risk) 재평가 → 반복

→ UN R155 CSMS의 “사이버 보안 관리 / 위험 식별 / 평가·분류·처리 / 관리 검토 프로세스” 요구와 직접 맵핑.

Security 기본 개념

표준 보안 모델 (Common Criteria 기반):

Owners value / wish to minimise / impose countermeasures to reduce vulnerabilities leading to risk to assets. Threat agents give rise to threats that exploit vulnerabilities.

핵심 관계식:

$\text{Threat}+\text{Vulnerability}=\text{Risk}$

Spoofing vs Sniffing

기법	뜻	대표 사례
Spoofing	’속이다’ — 가장을 이용한 공격	ARP Spoofing (IP→MAC), Man-in-the-Middle, E-mail Spoofing (Spam)
Sniffing (Snooping)	다른 상대방의 패킷 교환을 엿듣기	Eavesdropping, Wiretapping, Hijacking

보안의 정의

Security: “Freedom from or resilience against potential harm from external forces”

Cybersecurity

The protection of computer systems:

• from theft of or damage to their hardware, software or electronic data
• from disruption or misdirection of the services they provide

Computer Security, IT Security, InfoSec와 같은 의미.

Software Security

To protect software against malicious attack and other hacker risks so that the software continues to function correctly under such potential risks.

Safety vs Security

기존 기능 안전은 시스템 내부의 Malfunction으로부터 야기될 수 있는 안전 사고에 집중. 그러나 외부 공격으로 야기된 보안 문제가 안전 사고를 유발할 수 있으므로 함께 다루어야 함.

구분	Safety (기능 안전)	Security (사이버보안)
위험 원인	내부 Malfunction	외부 Attack
정의	”Hazard: People and environment can be harmed by malfunctions"	"Attack: People and environment attack the system thus creating harm or unintended behavior”
대표 표준	ISO 26262	ISO/SAE 21434

Secure Software

Software developed or engineered in such a way that its operations and functionalities continue as normal even when subjected to malicious attacks.

보안 용어와 결함 전파의 매핑

결함 전파 모델(Mistake → Defect/Fault → Failure)을 보안 관점으로 재해석:

결함 전파 단계	보안 용어	의미
Mistake	보안 약점 (Weakness)	사람의 실수에 의한 잠재적 보안 결함
Defect (Fault, Bug)	Secure Software 영역	코드 내 보안 결함 (Secure Coding으로 예방)
Failure (Problem)	보안 취약점 (Vulnerability)	실행 시 공격에 노출되는 결함

Note

안전·테스팅·보안 관점은 동일한 결함 전파 용어를 서로 다른 매핑으로 사용한다 → 결함 전파와 소프트웨어 안전 확보 / 소프트웨어 테스팅 비교.

자동차 보안 위협 시나리오

커넥티드 차량의 잠재적 침입 경로

영역	침입 경로
Wireless Interfaces	Bluetooth, Cellular, WiFi, GPS
Cloud Platform	V2X (Vehicle-to-vehicle Connectivity)
Physical Ports	USB, OBD II
In-vehicle Networks	ECU, CAN buses, TCU

자동차 구조에 따른 보안 위협

계층	구성 요소	주요 경로
내부 시스템	ECU, Sensor, Actuator, 내부 네트워크	CAN, LIN, FlexRay, MOST, Ethernet
외부 시스템	Connected Car (V2V), Infra (V2I), Network (V2N), Device (V2D)	WAVE·LTE V2X (V2V/V2I), 3G/LTE/5G (V2N), WiFi/Bluetooth/USB (V2D)
안전·보안 진단	온보드진단포트 (OBD)	물리 포트

공격 경로별 특성:

• 보안 설계가 미흡한 내부 네트워크 프로토콜 특성을 이용한 임의 접근, Spoofing, 악의적 데이터 주입 — 공격 탐지 한계.
• ECU·Sensor·Actuator에 대한 물리 공격, 펌웨어 위변조, 메모리 공격으로 임베디드 장치 오작동 유발.
• 표준화된 보안성 시험·진단 시스템 부재 — 사이버공격 사고 원인분석 미흡.

대표 공격 유형

• Spoofing of messages
• Denial of service
• Malicious remote controls

대표 사례

• 테슬라 자율주행차 해킹 사고 (中 해커)
• USB/OTA를 통한 악성 코드 주입 (3rd party device 업그레이드 → Media player → Instrument cluster 등으로 전파)

보안 결함으로 인한 리콜 사례

• C사: 원격제어 (2015·2016)
• H사: 커넥티드 서비스 (2017), 이모빌라이저 (2022)
• T사: 원격제어 (2016·2017), 후미등 (2022·2023)

초기 해킹 사례 (2015–2016)

과거의 자동차는 독립적 시스템(self-contained system)이었으나, 현대의 자동차는 본질적으로 바퀴 달린 IT 인프라(full IT infrastructure on Wheels)가 되면서 공격 표면이 급증. 2015~2016년 주요 사건이 법·표준 제정을 촉발.

Markey Report (2015.02)

미국 상원의원 에드워드 J. 마키가 자동차·트럭의 보안·개인정보 보호를 위한 표준 필요성을 제시한 보고서.

• 시중 차량의 거의 100%가 해킹·개인정보 침입에 취약한 기술을 적용.
• 대부분의 자동차 제조업체는 과거 해킹 사건을 인지·보고하지 못함.
• 원격 접근 방지를 위한 보안 조치가 일관성 없음.
• 실시간 침투 진단·대응이 가능한 업체는 단 두 곳.
• 주행 기록·차량 성능 데이터 수집 관행이 광범위하나, 데이터 보호 수단 명시가 부족하고 저장 기간이 업체마다 상이.
• 고객이 데이터 수집을 명시적으로 인지하지 못하며, 내비게이션 등 핵심 기능 사용 시 선택 해제 불가인 경우가 많음.

Jeep 해킹 시연 (2015.08)

보안 연구원 찰리 밀러·크리스 발라세크가 Jeep Fiat Chrysler 차량을 원격 해킹하여 와이퍼 이상 동작·엔진 정지를 시연. 차량 140만대 리콜 및 미 의회의 자동차 사이버보안법 제정 준비 촉발.

2016년 연쇄 사례

시점	대상	내용
2016.02	Nissan Leaf	NissanConnect EV앱을 통한 브라우저 기반 공격으로 난방·에어컨 시스템 도용
2016.08	대형 트럭	내부 네트워크에 디지털 신호 주입 → 계기판 판독값 변경, 의도치 않은 가속, 브레이크 무력화
2016.09	Tesla Model S	웹 브라우저·WiFi 핫스팟 연결 시 취약성 이용 → 브레이크·사이드 미러·와이퍼 작동

결론: ‘사이버보안이 확보되지 않으면’ 자율주행 자동차 산업의 미래가 없다.

자동차 사이버공격 연구 동향

연도	연구진	성과	발표
2010	University of Washington	실제 차량 대상 해킹 수행	Security & Privacy
2014–2015	Miller and Valasek	다양한 차량의 Remote Attack Surface 공개, JEEP 무선 해킹	Black Hat
2017	Tencent Keen Security Lab	테슬라 차량 원격 제어 Phantom Attack	Black Hat USA
2020	B. Nassi et al.	AI 시스템 기만 Phantom Attack	ACM CCS
2023	S. Kohler et al.	신호 주입으로 전기차 충전 중단 DoS	NDSS

자동차 센서 해킹에 대한 연구가 지속 증가 중.

소프트웨어 취약점 비중

공격의 약 75%가 소프트웨어 취약점을 악용하여 발생.

대표 취약점 유형: Buffer overflow, Error handling, Command injection, Unnecessary code, Malicious code, Broken threads, Invalidated parameters, Cross-site scripting.

→ 코딩 표준(MISRA-C 등) 준수가 1차 방어선.

국제 대응 전략 기관·가이드

사이버보안 사고 증가(2010→2020 공개 보고 사고 약 8.5배)와 커넥티드 차량 급증(2018 3.3억 대 → 2023 7.75억 대, 134% 증가 예측)에 대응하여 주요 기관이 가이드·표준을 제시.

기관	결과물	핵심
SAE (미국 자동차 기술학회)	SAE J3061, ISO/SAE 21434 공동	Product Lifecycle Framework. ISO 26262의 HARA→TARA, FTA→ATA로 대응. 흐름: Feature Definition → TARA·Cybersecurity Goals → Concept·Requirement 개발 → Vulnerability Analysis → Vulnerability·Penetration Testing → V&V. ISO 21434의 전신
NHTSA (미국 도로 교통 안전국)	Cybersecurity Best Practices for Modern Vehicles	System Engineering Approach 기반 Robust Product Process(예: SAE J3061) 적용, Leadership Priority on Product Cybersecurity, Information Sharing (Auto-ISAC), Vulnerability Reporting·Disclosure, Incident Response, Self-Auditing
ENISA (유럽 네트워크 정보보호원)	Cyber Security and Resilience of smart cars	스마트카 자산(Assets) 분류: Body, Infotainment, Diagnostic, Communications, Powertrain, Chassis Control. 위협·보안 조치 도출
KISA (한국인터넷진흥원)	스마트 교통 사이버보안 가이드	스마트교통 서비스 모델(V2V·V2I·V2N·V2D), 보안 위협, 요구사항·대응 방안 제시
과기정통부 / KISA	스마트교통 사이버보안 가이드	국내 스마트교통 제품·서비스 대상 보안 내재화 촉진
UNECE (유엔 유럽 경제 위원회)	UN R155, UN R156	법규 수준에서 CSMS·SUMS 의무화 — 아래 섹션 참조

ISO/SAE 21434

자동차에 탑재되는 전기전자시스템의 위협(Threat)으로 인한 사고를 방지하기 위한 기준을 제공하는 사이버보안 국제 표준 (‘21.8월 제정).

ISO 26262가 Fault 기반 안전 표준이라면, SAE 21434는 Threat 기반 보안 표준. SOTIF(의도된 기능의 한계)와 함께 자동차 안전·보안 3대 표준을 구성.

상세 구조(36개월 제정, TC22/SC32/WG11 조직, 4 PG, RQ 101·RC 12·PM 4, Supply Chain 맵핑, Reference Documents)는 ISO 21434 참조.

3대 안전·보안 표준 비교

구분	ISO 26262	ISO 21448	ISO/SAE 21434
개요	기능 안전 (Functional Safety) — E/E 시스템 결함	의도된 기능으로부터의 안전 — 결함 없는 기능에서 발생하는 위험	외부 위협으로부터의 안전 — 차량 생명주기 기준 사이버보안 방법론
내용	정의된 기능(요구사항) 충실 구현 검증	정의된 기능 자체의 의도치 않은 결함 발생 가능성 검증	의도성 있는 외부 위협으로부터의 안전 검증
중점	Safety (안전)	Safety (안전)	Security (보안)

UNECE WP.29 — 사이버보안 의무화

UNECE WP.29 (World Forum for Harmonization of Vehicle Regulations)는 유엔 산하 자동차 법규 조화 포럼. 2020년 6월 25일 사이버보안·소프트웨어 업데이트 UN 법규가 제정되어 2022년 7월부터 UN R155 사이버보안 규정 의무 적용.

4 Disciplines (법규 요구 4분야)

1. 차량의 사이버 위험 관리.
2. 위험 완화를 위해 차량을 설계로 보호 (security by design).
3. 차량 전체의 보안 사고에 대한 감지 및 대응.
4. 안전하고 보안이 적용된 소프트웨어 업데이트(OTA)에 대한 법적 근거.

사이버보안 12조항

UN R155는 12개 조항으로 구성:

1. Scope, 2. Definition, 3. Application for approval, 4. Marking, 5. Approval, 6. Certificate of Compliance for CSMS, 7. Specifications, 8. Modification and extension of the vehicle type, 9. Conformity of production, 10. Penalties for non-conformity of production, 11. Production definitively discontinued, 12. Names and addresses of Technical Services.

CSMS 프로세스 요구사항

차량 제조업체가 CSMS(Cybersecurity Management System) 구축 시 포함해야 할 프로세스:

• 사이버 보안 관리 / 위험 식별 / 식별된 위험의 평가, 분류, 처리 및 관리 검토 프로세스.
• 사이버 보안 테스트 및 위험 평가 최신 상태 유지 프로세스.
• 사이버 공격·위협·취약성 모니터링, 탐지, 대응 프로세스.
• 사이버 공격 시도 분석을 지원하기 위한 관련 데이터 제공 프로세스.
• 차량 형식 승인을 위해 CSMS 유효 준수 인증서 보유 필수.

CSMS 지원을 위해 차량 라이프사이클 전반의 사이버보안 활동 관리 필요 → TARA 수행.

차량 형식 승인 절차 (Type Approval)

단계	주체
① 형식 승인 신청	OEM (제조사)
② 심사·평가	Technical Service (TS)
③ 최종 승인	Approval Authority (AA)

조직 단위 CSMS 인증과 차종별 Type Approval이 모두 필요 (상세는 UN R155).

ISO/PAS 5112 — 심사 가이드라인

UN R155 CSMS 심사의 공학적 근거는 ISO/PAS 5112 (Guidelines for auditing cybersecurity engineering).

• 심사 영역: 사이버보안 관리(조직·프로젝트), 지속적 사이버보안 활동, 분산개발, 위험 평가 방법론, 엔지니어링 프로세스(개념·개발·생산·운영유지보수·폐기).
• 운영 절차: Managing Audit Program, Conducting Audit, Competence and Evaluation of auditors, General Considerations, Audit Questionnaire.

배경

시스템 오동작, Sensor Spoofing, 차량 해킹 등 차량 안전·보안 위협 증가. 커넥티드 카·자율주행차 외에도 UAV 등 유사 자율주행체가 같은 문제를 공유.

UNECE (What) vs ISO (How)

UNECE 규제와 ISO 표준은 보완 관계로, “Safety & Security” for Automated Driving을 함께 지탱한다.

구분	역할	예시
UNECE (What)	요구사항 준수·인증을 증명하기 위해 어떠한 평가·증거가 필요한지 규정 (what assessments or evidence may be required to demonstrate compliance)	UN R155(Cybersecurity), UN R156(SW Update), WP.29 GRVA TFCS
ISO (How)	해당 규제를 어떻게 준수할 것인지 요구사항·방법론·기술·프로세스 관점에서 제공	ISO 21434, ISO 26262, ISO 21448, ISO 24089, ISO/PAS 5112, ISO TR 4804

자율주행차 관련 주요 표준은 다음과 같이 유기적 관계를 형성:

• ISO TR 4804 — 자율주행 설계·검증 프레임워크
• ISO 21448(SOTIF) — 의도된 기능의 한계로부터의 안전
• ISO 26262
• ISO 21434
• ISO/PAS 5112 — Cybersecurity 심사 가이드
• ISO 24089
• UNECE CS/OTA TF — 법규 측 대응

A-SPICE for Cybersecurity

2021.7월 발행된 Automotive SPICE for Cybersecurity PRM/PAM(2021.8월 Assessment Guideline). 기존 A-SPICE 프로세스 그룹에 사이버보안 전담 프로세스를 추가:

그룹	약어	보안 관련 추가
Acquisition	ACQ	ACQ.2 공급사 사이버보안 평가 반영
Cybersecurity Engineering	SEC	SEC.1 ~ SEC.4 신규 프로세스 그룹
Management	MAN	MAN.7 Cybersecurity Risk Management 신규

Risk Treatment 4분류 중 SEC Process는 Risk Reduction에 집중. 각 프로세스의 Purpose·Base Practice·Work Product 상세는 A-SPICE 페이지 참조.

MAN.7 ↔ TARA 매핑

MAN.7 8 Base Practice는 TARA 8단계와 거의 1:1 대응:

MAN.7	TARA	비고
BP1 Scope	Item Definition	—
BP2 Practices	(방법론 채택)	FMEA/TARA/HARA/FTA 중 선택
BP3 Identify	Asset + Threat Scenario	STRIDE 기반
BP4 Prioritize	Impact Rating (S/F/O/P)	—
BP5 Analyze	Attack Path + Feasibility	ATA(Attack Tree Analysis) 기법 가능
BP6 Treatment	Risk Treatment Decision	Accept/Share = Cybersecurity Claim
BP7·8	(지속 활동)	TARA 재수행 트리거

UNECE 법규

2020년 6월 24일 UN 유럽경제위원회(UNECE)가 사이버보안 및 커넥티드카의 SW 업데이트에 대한 새로운 법규를 채택 — UN R155(Cybersecurity) / UN R156(Software Update). 2021년 1월 22일 발효.

4 Disciplines

1. 차량의 사이버 위험 관리
2. 가치 사슬(Value Chain)에 따른 위험 완화 (설계를 통한 차량 보안)
3. 차량 전체에 대한 침입 탐지 및 보호
4. 안전한 소프트웨어 업데이트 제공 및 **OTA**(Over-the-Air) 업데이트에 대한 법적 근거 마련

TARA (Threat Analysis and Risk Assessment)

HARA의 보안 버전. 자동차 시스템에 대한 위협을 분석하고 리스크를 평가하는 ISO 21434 Clause 15 방법론.

8단계 프로세스: Item Definition → Asset Identification → Impact Rating(S/F/O/P) → Threat Scenario(STRIDE) → Attack Path Analysis → Attack Feasibility Rating(Attack Potential / CVSS / Attack Vector) → Risk Value Determination(1~5) → Risk Treatment Decision(Avoid/Reduce/Share/Retain). 상세는 TARA 페이지 참조.

Threat Modelling 기법 스펙트럼

업계에서 쓰이는 주요 위협 모델링 기법:

기법	출처	특징
STRIDE	Microsoft	위협 6분류 — ISO 21434 TARA에 실무 표준으로 활용
DREAD	Microsoft	위협 정량 평가(Damage/Reproducibility/Exploitability/Affected users/Discoverability)
PASTA	—	Process for Attack Simulation and Threat Analysis
OCTAVE Allegro	CERT	자산 기반 위험 평가
ETSI TVRA	ETSI	Threat, Vulnerability, Risk Analysis (통신 시스템)
Intel TARA	Intel	Threat Agent Risk Assessment
Cyber Kill Chain	Lockheed Martin	공격 단계 모델 (정찰→무기화→전달→악용→설치→C&C→목표 달성)
OODA Loop	John Boyd	Observe-Orient-Decide-Act 대응 루프

자동차 도메인에서는 STRIDE가 가장 널리 채택.

STRIDE

위협	보안 속성	정의
Spoofing identity	Authentication	자신 아닌 무언가·다른 사람으로 가장
Tampering with data	Integrity	디스크·네트워크·메모리·기타 저장소의 데이터 변조
Repudiation	Non-repudiation	행위·책임 부인 (정직·거짓 둘 다)
Information Disclosure	Credential	비인가자에게 정보 제공
Denial of Service (DoS)	Availability	서비스 제공에 필요한 리소스 고갈
Elevation of Privilege	Authorization	비인가 권한 행사

예시: ADAS 시스템에 STRIDE의 Tampering을 적용하여 Impact Level × Threat Level 매트릭스 도출.

Secure Coding 사례

에러 메시지를 통한 정보 노출 취약점

1. 오류 유발 입력값 전달 (예: 123' or 'a'='a)
2. 입력값 처리 중 오류 발생 (executeQuery)
3. 오류 메시지에 시스템 정보 노출 (MyBatis, MySQL, dbname is dwas)
4. 노출된 시스템 정보로 추가 공격 시도

→ 대응: web.xml 파일을 이용해 오류 시 지정된 페이지가 응답하게 함 (정보 노출 차단).

보안 테스팅 단계별 활동

V-Model 단계에 보안 활동을 매핑:

단계	보안 활동
요구사항 분석	요구사항 중 보안 항목 식별, 보안 요구사항 명세서
설계	위협모델링, 보안설계 검토, 보안설계서 작성, 보안 통제 수립
구현	표준 코딩 정의서 / SW 개발보안 가이드 준수, 소스코드 보안 약점 진단 및 개선
테스트	모의침투 테스트, 동적 분석을 통한 보안 취약점 진단 및 개선
유지보수	지속적 개선, 보안 패치

통합 V-Model

자동차 분야의 기능 안전과 사이버 보안 프로세스의 통합 — 동일한 V 위에 다중 레이어:

레이어	표준	활동 흐름
Security	ISO/SAE 21434	Define Security Goals → … → Validate Security Goals
Safety	ISO 26262	Define Safety Goals → … → Validate Safety Goals
Nominal Function	A-SPICE	Design Function → … → Verify/Validate Function

→ Iterative process, Re-design, Re-verify를 중심축으로 3개 레이어가 동시 진행.

SOTIF(ISO 21448) — 의도된 기능의 한계 영역까지 포함하면 4개 레이어로 확장.

같이 보기

• TLS Handshake