Replicated

용어Audit (감사)- 조직의 사이버보안 관리 체계(보안 정책, 기준, 절차 포함)가 적절하게 구현되어 있으며, 이에 따라 관리되고 있음을 확인하는 활동- 조직 내부, 외부 감사인이 수행- 조직 단위 Assessment (평가)- 모든 사이버보안 활동이 의도한 대로 수행되었는지 여부를 확인하는 활동 (사이버보안 계획 참조)- 조직 내부의 프로젝트 관리, 검증 부서가 수행- 프로젝트 단위 Component- 시스템을 구성하는 단위 * 시스템: 여러 컴포넌트들의 조합, 의도한 기능 동작을 위해 구성됨- 재사용이 가능하고 독립적인 기능을 수행- 소프트웨어 컴포넌트와 하드웨어 컴포넌트로 구분- 소프트웨어 컴포넌트: 라이브러리, Application Software(ASW), Basic Software (BS..

용어AUTOSAR(AUTomotive Open System ARchtecture)- 전 세계 차량 제조사, 부품사, 툴 및 소프트웨어 공급업체가 차량 소프트웨어 개발을 위해 조직한 개발 파트너십 SecOC (Secure on-board communication)- 오토사 사양으로 캔 기반 안전한 통신을 위한 보안 모듈 CAN-IDS (Controller Area Network - Intrusion Detection System)- 캔 기반 네트워크 이상 탐지 솔루션 HSM (Hardware Security Module) / SHE (Secure Hardware Extension)- 독립적인 코어, 램, 롬 공간을 가지고 암호화 키를 안전하게 보관하고 빠르게 암/복호화 기능을 돕는 MCU on-chip 형..

TARA?- 위협 식별, 분석 및 평가를 위한 총괄적인 프로세스- 차량 라이프사이클 전반에 걸쳐서 수행될 수 있는 방법론- 다양한 용어.. RA(Risk Assessment), SRA(Security Risk Assessment), TRA, HEAVENS(HEAling Vulnerablilities to ENhance Software Security and Safety) ISO 21434는 총 15장 5개 그룹으로 구분그 중 15장에 TARA 명시최초 타라는 다 하고, 나중엔 필요한 모듈(TARA Method)만 사용How는 없어서 산출물이 각기 다르게 나올 수 있음TARA는 차량 라이프 사이클 각 단계(컨셉/제품개발/개발후)에서 활용됨 ISO 21434의 TARA는 특정 라이프 사이클에 종속되지 않으며..

용어 정의DETA(Database for the Exchange of Type Approval)- 형식 승인된 문서를 공유하기 위한 데이터베이스 ISO- 국제 표준화 기관 SAE International- 국제 자동차 기술 협회, 자동차 관련 분야 기술자 단체로 1905년 설립된 비영리 단체가 제정한 표준 규격 SDV(Software Defined Vehicle)- 소프트웨어가 하드웨어를 제어하는 차량- 소프트웨어를 통해 차량의 주행 성능, 편의 기능 등을 개선 가능 TARA(Threat Analysis and Risk Assessment)- 차량 라이프사이클 전반에 걸쳐 사용되어지는 방법론- 아이템에 존재하는 위협을 분석, 위험을 정량화 개발 단계- 새로운 차종, 모델의 기획, 설계, 시험까지의 단계-..

자동차와 이동 통신의 융합외부 네트워크와 연결된 자동차 내부 네트워크Before Market- BMW: Conneted Drive- GM: OnStar- 현대: BlueLink- KIA: UVO After Market- CCC (Car Connectivity Consortium)- 스마트폰을 이용한 커넥티드 카 구축- 스마트폰과 자동차 연결에 대한 표준 KIA UVO 서비스- 진저브레드 OS (안드로이드 2.3)- 정보 제공: Safety(도난), Info(인터넷), Assist(음성지원, 전화)- 차량 제어: Smart Control, Car Care Smart Updater- 기아 자동차에서는 UVO 시스템의 펍웨어 업데이트를 제공- 공격자 -> 분석 기회 배경- CAN 사용의 증가- 차량용 텔레메..

CAN 취약점- 브로드캐스트 - 누구나 통신 내용 확인 가능- 접근제어 x - 누구나 통신에 참여 가능- 기밀성 x - 누구나 패킷의 의미 분석 가능- 인증 x - 누구나 패킷 위조 가능 CAN 버스 리버스 엔지니어링 -> 사이버 킬 체인 정찰 단계에 해당 위협 식별: STRIEDSpoofing 인증이 없는 CAN 대상으로 통신에 참여 MAC 등 데이터 인증 추가Tampering Repudiation Information disclosure자동차 내부 네트워크 정보 유출암호화Denial of service자동차 내부 네트워크 대상 DoS 공격 수행IPS(침입 방지 시스템)Elevation of privilege자동차 정비 기기의 권한을 얻어서 공격 수행정비 시 역할 기반 접근제어(RBAC) 위협 등급..

보쉬가 만든 효율적인 차량 통신 기술버스 기반으로 두 개의 선 사용 장점- Reliability: 에러 및 잡음에 견고- Economy: 싸다 (1:1 연결보다 당연히 버스가 구리가 덜 듦)- Availiability: CAN 지원하는 칩이 많음- Scalability: 쉬운 확장성 단점- Broadcast : 누구나 통신 내용 확인 가능한 환경- 접근제어 x : 누구나 통신에 참여 가능한 환경- 기밀성 x : 누구나 패킷의 의미 분석이 가능한 환경- 인증 x : 누구나 패킷을 위조 가능한 환경 과거의 폐쇄망 시절 약점이 네트워크 연결되면서 취약점이 된 것 CAN 네트워크 구성- 여러 개의 ECU + 구리선 2줄(CAN_Hign, CAN_Low)- ECU 내부엔 MCU(CPU Core, CAN Cont..

차량의 발전과거- 기본적인 차량 제어- 기계식 메커니즘- 폐쇄망 현재- 전자제어장치(ECU)의 증가- 텔레메틱스 서비스- 제한적 자율주행 미래- 완전 자율 주행- 차량과 모든 것이 연결 Level0 -> 어떠한 자율주행 기능도 지원 안함Level1 -> 차량의 방향 or 감가속 기능Level2 -> 차량의 방향 or 감가속 기능 (현 시점?)Level3 -> 제한된 조건에서 자율주행 (운전자 대기, 손은 떼도 발은 못 뗌)Level4 -> 특정 환경에서 완전 자율 주행 (발 떼도 됨)Level5 -> 완전 자율주행 예시- 자율주행택시 웨이모- 서울 청계천 자율주행셔틀 42dot  ECU (Electronic Control Unit)- 차량 내의 전기 시스템 및 서브 시스템 중 하나 이상을 제어하는 필수적..