TUF (The Update Framework) — 소프트웨어 업데이트 시스템의 보안을 위한 프레임워크. 다양한 OTA 해킹 대응 시나리오와 Private Key 유출 등 사고 대응 시나리오를 포함하는 사양. 차량용으로 확장된 사양이 Uptane이다 (https://uptane.github.io/).
TUF는 업데이트 프레임워크 기반 연구 분야의 대표 주자로, 다양한 소프트웨어 업데이트 시스템과 통합 가능한 유연한 프레임워크로 설계되었다.
설계 4원칙
1. Trust (신뢰)
- 정상적으로 신뢰된 파일만 다운로드되어야 한다.
- 파일에 대한 신뢰성은 영구적이면 안 되고, 갱신되지 않으면 소멸되어야 한다.
- 파일 신뢰성은 오직 인증기관만 부여할 수 있다.
2. Mitigating Key Risk (Compromise-Resilience)
- 암호화에 사용되는 키에 대한 보안.
- 안전한 키 교체 및 폐기와 같은 보안 기능 제공.
- 키 노출을 최소화하고, 키가 노출되더라도 시스템을 복구할 수 있어야 한다.
3. Integrity (무결성)
- Server에 저장된 파일의 무결성 보장.
- Server 저장소 자체의 무결성 보장.
4. Freshness (최신성)
- SW Update는 대부분 Bug 또는 취약점 보완이 목적.
- Client가 Update 요청 시 공격자가 구 version으로 client를 update하게 하는 공격 = Rollback Attack에 대한 방어.
- TUF는 Update 시 현재 version 정보를 확인하여 Rollback Attack을 차단.
Uptane — 차량용 확장
Uptane은 TUF를 자동차용으로 확장한 사양. 다수 ECU를 지속적으로 업데이트해야 하는 자동차 환경의 특성을 반영한다.
대표 연구: Kuppusamy et al. “Uptane: Security and customizability of software updates for vehicles.” IEEE Vehicular Technology Magazine 13.1 (2018): 66–73.
OTA 보안 요구사항과의 매핑
TUF의 4원칙은 OTA 보안 5요소와 다음과 같이 대응된다:
| TUF 원칙 | OTA 보안 요구사항 |
|---|---|
| Trust | 인증(Authentication) |
| Mitigating Key Risk | 기밀성(Confidentiality) — 키 노출 관리 |
| Integrity | 무결성(Integrity) |
| Freshness | 최신성(Freshness) |
TUF에 직접 대응이 없는 가용성(Availability)은 운영·인프라 계층에서 확보.
관련 연구
- Upkit(Langju et al., ICDCS 2019) — 제약이 있는 IoT 디바이스를 위한 업데이트 프레임워크. Uptane과 유사한 경량 방향.