ISO/SAE 21434 표준에서 CAL (Cybersecurity Assurance Level)과 위험 값 (Risk Value)은 차량의 사이버 보안을 관리하는 데 사용되는 매우 중요한 개념이지만, 그 역할과 성격이 완전히 다릅니다. 이 과정은 ISO/SAE 21434 제9절 개념(Concept) 단계의 핵심이며, 위험을 체계적으로 관리하고 불합리한 위험을 남기지 않도록 보장하는 엔지니어링 접근 방식입니다.
1. TARA: 고위험 위협 시나리오 식별 및 위험 감소 결정 (9.4절, 15절)
TARA는 위협 시나리오별로 공격 가능성과 영향을 평가하여 최종적인 위험 값을 결정하는 과정입니다.
A. 위험 값 결정 (Risk Value Determination)
위협 시나리오의 위험 값(Risk Value)은 관련 손상 시나리오의 영향(Impact)과 해당 위협 시나리오를 실현할 수 있는 공격 경로의 공격 가능성(Attack Feasibility)을 결합하여 결정됩니다. 위험 값은 1에서 5 사이의 값을 가지며, 1은 최소 위험을 의미합니다.
B. 위험 처리 결정 (Risk Treatment Decision)
위험 값이 결정되면, 조직은 각 위협 시나리오에 대해 위험 처리 옵션을 결정해야 합니다.
- 고위험 처리: 위협 시나리오의 위험 값이 높다고 판단될 경우 (예: SCC 사례에서 심각한 안전 영향과 높은 공격 가능성이 결합된 경우, 위험 값 5), 조직은 일반적으로 위험 감소(reducing the risk) 옵션을 선택합니다.
2. 사이버 보안 목표 및 개념 정의 (9.4절, 9.5절)
위험 감소를 위한 처리 결정이 내려진 후, 이는 최상위 요구사항으로 구체화됩니다.
A. 사이버 보안 목표 수립 (Cybersecurity Goals)
위험 처리 결정이 위험 감소를 포함하는 경우, 이 위협 시나리오와 관련된 하나 이상의 사이버 보안 목표를 명시해야 합니다.
- 역할: 사이버 보안 목표는 특정 위협 시나리오로부터 자산을 보호하기 위한 요구사항입니다.
- (예시): SCC의 경우, 고위험으로 판단된 “CAN 메시지 스푸핑” 위협 시나리오에 대해 “SCC의 가속/감속 제어 신호의 무결성은 스푸핑으로부터 보호되어야 한다”라는 CS Goal이 수립됩니다.
B. 사이버 보안 개념 및 통제 (CS Control) 정의
사이버 보안 목표를 달성하기 위해, 사이버 보안 개념 내에서 기술적 및/또는 운영적 사이버 보안 통제(CS Control)를 설명하고, 이에 따른 사이버 보안 요구사항을 정의해야 합니다.
- 위험 감소 구현: 이러한 CS 통제는 고위험을 초래한 공격을 실제로 완화(mitigate)하기 위한 구체적인 조치입니다.
- (예시): 위 SCC 목표를 달성하기 위해, “SCC ECU는 수신된 제어 신호의 발신자가 유효한 엔티티인지 인증해야 한다”라는 요구사항을 정의할 수 있으며, 이는 메시지 인증(M10) 통제를 구현하는 것입니다.
3. CAL 할당 및 검증의 엄격성 부여 (E.2절, E.3절)
위험 감소를 위한 사이버 보안 목표가 설정되면, 그 목표에 CAL이 할당되어 후속 개발 및 검증 활동의 엄격성을 결정합니다.
A. CAL 결정 및 할당
CAL은 위험 값으로부터 직접 결정될 수 없지만, 자산의 중요성(criticality) 및 관련된 최대 영향(Maximum Impact)을 고려하여 개념 단계에서 결정됩니다.
- CAL의 목적: CAL은 시간이 지나도 고정적으로 유지되어야 하는 보증 수준(level of assurance)을 표현합니다.
- 고위험의 영향: 위협 시나리오의 위험 값이 높다는 것은, 주로 영향(Impact)이 심각하다는 것을 의미하며, 이 심각한 영향은 사이버 보안 목표에 높은 CAL(예: CAL4)을 할당하는 근거가 됩니다. (예: SCC의 안전에 직결되는 목표는 CAL4).
B. CAL을 통한 검증의 엄격성 (Rigour) 부여
할당된 CAL은 이후의 개발 및 검증 활동의 깊이와 엄격성(depth and rigour)을 조정하는 데 사용됩니다.
- CAL 상속: 사이버 보안 목표로부터 파생된 사이버 보안 요구사항은 해당 목표의 CAL을 상속(inherit)합니다. 따라서 고위험 시나리오를 처리하기 위해 정의된 CS 통제(예: 메시지 인증)를 구현하는 모든 요구사항은 높은 CAL을 따르게 됩니다.
- 검증 활동 엄격성:
- CAL4 요구사항: 높은 CAL(예: CAL4)이 할당되면, 해당 요구사항에 대한 설계 및 개념의 검증(Verification, 9.5절/10.4.1절) 및 최종 유효성 검사(Validation, 11절) 활동은 높은 독립성 수준을 가진 인력(예: I2 또는 I3)에 의해 수행되어야 합니다.
- 테스트 강도: CAL4는 또한 침투 테스트(Penetration Testing)와 같은 테스트 활동의 매개변수를 높여, 높은 공격자 전문 지식과 자원을 가정한 상태에서 수행되도록 합니다.
결론적으로, TARA에서 높은 위험 값은 위험 감소를 위한 CS Goal 생성을 강제하고, 이 목표에 할당된 높은 CAL은 해당 목표를 달성하기 위해 구현되는 모든 CS 통제 및 그 검증 활동에 최고 수준의 엄격성을 부여함으로써 불합리한 잔존 위험이 남지 않도록 보장합니다.
위의 내용을 토대로 정리하면 위험 값과 CAL의 차이는 다음과 같이 정리할 수 있습니다.
위험 값 (Risk Value): "현재 SCC에 대한 위험이 얼마나 큰가?"
위험 값은 특정 위협 시나리오에 대해 현재의 피해 가능성과 공격 성공의 용이성을 종합적으로 측정하는 점수입니다. 이 값은 동적이며, 새로운 위협이나 설계 변경에 따라 수시로 변할 수 있습니다.
SCC 사례에서의 위험 값 결정
1. 공격 가능성 (Attack Feasibility) 결정:
- 시나리오: 공격자가 CAN 메시지 스푸핑을 통해 SCC의 제동 명령 신호를 무단으로 조작하려고 시도합니다.
- 공격 경로: 무선 인터페이스(예: 블루투스)를 통해 인포테인먼트 ECU를 침해하고, 이를 통해 CAN 통신에 접근합니다.
- 난이도/용이성: 만약 인포테인먼트 ECU의 보안 취약점이 널리 알려져 있어 공격이 쉽다면, 공격 가능성은 ‘높음 (High)’으로 평가될 수 있습니다.
2. 영향 (Impact) 결정:
- 피해 시나리오: 스푸핑 공격 성공 시, ‘앞 차량이 없음에도 긴급 제동 발생’ 또는 ‘앞 차량이 가까워져도 제동하지 않음’과 같은 손상 시나리오가 발생합니다.
- 피해 규모: 이는 운전자가 당황하거나 사고로 이어져 ‘생명을 위협하는 심각한 부상이나 사망’을 초래할 수 있습니다. 따라서 안전 영향은 ‘심각 (Severe)’으로 평가됩니다.
3. 위험 값 결정 및 역할:
- 결합: 심각한 영향 (Severe) + 높은 공격 가능성 (High)이 결합되면 일반적으로 ‘고위험(예: 5)’으로 결정됩니다.
- 조치: 이 고위험 값은 “이 위험은 불합리하므로 반드시 ‘감소(Reducing the risk)’시켜야 한다”는 위험 처리 결정을 내리게 하는 근거가 됩니다.
CAL (Cybersecurity Assurance Level): "SCC의 보안 목표 달성을 얼마나 철저히 보장해야 하는가?"
CAL은 최종 사용자에게 충분한 보호가 제공되고 있다는 확신(confidence)을 주기 위해 개발 초기(개념 단계)에 설정되는 엔지니어링 엄격성 수준(level of rigour)입니다. CAL은 정적이며, 개발 전체 단계에서 고정됩니다.
SCC 사례에서의 CAL 결정 및 역할
1. CAL 결정 (개념 단계):
- CAL은 위험 값에 직접 결정되지 않지만, 자산의 중요성(criticality)과 관련된 위험 측면을 고려하여 결정됩니다.
- SCC의 핵심 기능(예: 제동 제어 신호의 무결성)은 안전(Safety)에 직접적인 심각한 영향 (Severe)을 미칩니다.
- 따라서, 이처럼 안전에 직결되는 핵심 SCC 기능의 사이버 보안 목표에는 가장 높은 CAL (예: CAL4)이 할당될 수 있습니다.
2. CAL의 역할 (엄격성 조정):
- 개발 활동의 기준: CAL4가 할당되면, SCC의 개발자는 이후의 모든 활동을 최고 수준의 엄격성으로 수행해야 합니다.
- 검증 및 테스트의 깊이:
- 독립성: CAL4 요구사항에 따라, SCC의 사이버 보안 설계 및 개념에 대한 검증 활동은 해당 설계를 만든 팀으로부터 독립적인 인력(I2 또는 I3)에 의해 수행되어야 합니다.
- 테스트: CAL4 요구사항에 따라, 최종 차량 수준에서의 SCC 침투 테스트(Penetration Testing)는 높은 공격자 전문 지식과 자원을 가정한 상태에서 수행되어야 합니다.