Skip to main content

TARA, 자동차 사이버 보안의 나침반: 복잡계 시스템 개발의 핵심

점차 소프트웨어 정의(Software-Defined)로 진화하는 자동차 산업에서 사이버 보안은 더 이상 선택이 아닌 필수적인 경쟁 우위이자 법규 준수 요건이 되었습니다. UN Regulation No. 155 (UN R155)와 같은 국제 법규는 차량 형식 승인을 위한 필수 조건으로 사이버 보안 관리 시스템(CSMS)의 수립과 그 핵심 활동으로서 위협 분석 및 위험 평가(TARA) 수행을 명문화하고 있습니다. 이는 단순히 법규를 준수하는 것을 넘어, “Cybersecurity by Design” 원칙에 따라 개발 초기 단계부터 잠재적 위협을 식별하고 대응하여, 궁극적으로 양산 후 발생할 수 있는 보안 이슈와 그로 인한 막대한 리콜 및 개발 비용을 최소화하는 전략적 접근을 의미합니다.


본 글에서는 TARA의 본질적인 중요성을 되짚고, ISO/SAE 21434와 같은 국제 표준 및 UN R155의 요구사항을 반영하여 TARA의 핵심 단계를 조명하며, 스마트 크루즈 컨트롤(SCC) 시스템을 예로 들어 실제 적용 방안을 공유하고자 합니다.

TARA: 왜 자동차 사이버 보안의 첫 단추인가?

과거 물리 보안이나 기능 안전(Functional Safety)에 주력했던 자동차 산업은 이제 해킹과 같은 사이버 공격으로부터 차량을 보호하는 복합적인 과제에 직면했습니다. TARA는 이러한 패러다임 전환의 중심에 서 있습니다.

  • 법규 준수의 핵심: UN R155는 OEM에게 개발, 생산, 생산 후 단계 등 차량 수명 주기 전반에 걸쳐 사이버 보안 위험을 관리할 수 있는 CSMS를 요구하며, 이 시스템 내에 위험 식별 및 평가 프로세스가 포함되어야 함을 명시합니다. 특히 R155 Annex 5 Part A에 명시된 위협뿐만 아니라 모든 관련 위협을 고려한 철저한 위험 평가(exhaustive risk assessment)를 요구합니다.
  • 표준 기반 방법론: ISO/SAE 21434는 사이버 보안 엔지니어링의 표준으로서 TARA 방법론을 상세히 제시하며 (ISO/SAE 21434 8장), 이는 업계가 일관된 기준과 절차로 TARA를 수행할 수 있는 기반을 제공합니다.
  • 사이버 보안 목표 도출: TARA는 보호 대상(자산)을 식별하고, 해당 자산의 손상 시 발생할 피해를 평가하며, 이를 유발할 수 있는 위협과 공격 가능성을 분석하여, 궁극적으로 시스템에 필요한 사이버 보안 목표(Cybersecurity Goals)를 도출하는 과정입니다.

TARA의 핵심 단계: 분석에서 의사결정까지

TARA는 시스템의 특성과 개발 단계에 따라 반복적으로 수행될 수 있는 일련의 체계적인 프로세스입니다.

자산 식별 (Asset Identification):

대상 시스템(아이템)의 기능을 수행하기 위해 저장되거나 수신되는 데이터, 또는 관련 구성 요소들이 주요 자산이 됩니다.
기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 CIA 3원칙 관점에서, 이 속성들이 침해되었을 때 안전(Safety), 재정(Financial), 운영(Operational), 프라이버시(Privacy) 측면에서 피해 시나리오를 유발할 수 있는 대상을 자산으로 정의합니다.


피해 시나리오 및 영향 평가 (Damage Scenario & Impact Rating):

  • 식별된 자산의 CIA 속성이 손상될 경우 발생 가능한 구체적인 피해 시나리오를 정의합니다.
  • 각 피해 시나리오가 현실화되었을 때 SFOP 4가지 척도에 따라 영향 등급(Impact Rating)을 산정합니다. 이때 자동차의 특성상 4가지 척도 모두 중요하게 고려되며, 일반적으로 가장 심각한 피해 수준을 최종 영향 등급으로 결정합니다. 안전 관련 영향은 ISO 26262-3:2018의 기준을 참조할 수 있습니다.


위협 시나리오 식별 (Threat Scenario Identification):

  • 피해 시나리오를 발생시킬 수 있는 잠재적인 위협 유형을 식별합니다. 이 과정에서 STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege)와 같은 위협 모델이 효과적으로 활용됩니다.


공격 경로 분석 및 공격 가능성 평가 (Attack Path Analysis & Attack Feasibility Rating):

  • 각 위협 시나리오가 실제로 발생하기 위해 공격자가 거칠 수 있는 구체적인 공격 경로(Attack Path)를 분석합니다. 이때 UN R155 Annex 5 Part A에 명시된 위협뿐만 아니라, 해당 차량 및 운영 환경에 특화된 모든 잠재적 위협을 종합적으로 고려해야 합니다.
  • 각 공격 경로의 성공 가능성은 공격 가능성 등급(Attack Feasibility Rating)으로 평가되며, 주로 Heavens 모델 (공격자의 지식, 필요한 장비, 전문성, 공격 기회)을 기반으로 정량화됩니다.


위험 결정 (Risk Determination):

  • 영향 등급(피해의 심각도)과 공격 가능성 등급(공격 성공 가능성)을 조합하여 최종 위험 수준(Risk Value)을 결정합니다 (예: 1~5단계).


위험 처리 의사결정 (Risk Treatment Decision):

  • 식별된 위험에 대해 수용(Accept), 완화(Mitigate), 전가(Transfer), 회피(Avoid) 중 적절한 처리 옵션을 선택합니다. 특히 위험 수용의 경우, ALARP (As Low As Reasonably Practicable) 개념에 따라 합리적으로 실행 가능한 수준으로 위험을 낮춘 후, OEM의 상위 결재권자의 승인이 필수적이며, 이에 대한 명확한 사유와 증적 자료를 요구합니다.

스마트 크루즈 컨트롤(SCC) 예제로 보는 TARA 심층 분석

스마트 크루즈 컨트롤(SCC)은 레이더, 카메라 센서, ECU, 차량 통신 네트워크 등 여러 Critical Elements가 복합적으로 연동되는 시스템으로, 사이버 보안 취약점은 직접적인 안전 위협으로 이어질 수 있습니다.


A. 자산 식별 & 피해 시나리오 및 영향 평가:

  • 자산:
    • SCC 센서 데이터: (레이더/카메라) 전방 차량의 거리 및 속도 정보 (무결성, 가용성)
    • SCC 제어 로직 소프트웨어: 가속/감속 명령 결정 알고리즘 (무결성)
    • CAN 통신 메시지: ECU 간 제어 명령 데이터 (무결성)
    • SCC ECU: 제어 명령 실행 하드웨어 및 펌웨어 (무결성, 가용성)
  • 피해 시나리오 및 영향:
    • 센서 데이터/ECU 소프트웨어 변조: 잘못된 전방 정보 인식 또는 악성 제어 로직 실행 → 안전 (Severe): 불필요한 급제동/급가속, 충돌 위험, 차량 통제 불능.
    • CAN 메시지 스푸핑: 위조된 제동/가속 메시지 주입 → 운영 (Severe): SCC 오작동, 기능 마비.


B. 위협 시나리오 및 공격 경로 & 공격 가능성 평가:

  • 위협 1: 센서 데이터 변조 (Tampering)
    • 위협 시나리오: 외부 장치로 SCC 센서(레이더/카메라)에 오탐지 신호 주입.
    • 공격 경로: 특정 신호 발생 장치를 차량 전방에 설치하여 간섭.
    • 공격 가능성: Medium (특정 장비 및 기술 지식 필요)
  • 위협 2: ECU 소프트웨어 변조 (Tampering)
    • 위협 시나리오: 진단 포트(OBD-II) 또는 무선 통신(셀룰러/블루투스)을 통해 SCC ECU에 접근하여 악성 펌웨어 주입.
    • 공격 경로: (1) 진단 포트 연결 후 펌웨어 변경. (2) 원격에서 무선 통신 모듈 해킹 후 SCC ECU 소프트웨어 조작.
    • 공격 가능성: High (진단 포트 접근 용이성, 무선 통신 취약점 이용 시 높은 전문성 요구)
  • 위협 3: CAN 통신 스푸핑 (Spoofing)
    • 위협 시나리오: 차량 내부 네트워크에 접근하여 악의적인 제동/가속 명령 메시지 주입.
    • 공격 경로: 다른 취약한 ECU(예: 인포테인먼트) 해킹 후 CAN 버스 접근.
    • 공격 가능성: Medium-High (차량 내부 네트워크 접근을 위한 초기 침투 지점 확보 필요)


C. 위험 결정 및 처리:

SCC의 핵심 기능과 관련된 위협들은 대부분 영향(Severe) 등급과 공격 가능성(Medium-High) 등급을 가지므로, 위험 수준은 4~5 (Red Zone)으로 분류되어 절대 수용 불가합니다. 이에 대한 위험 완화(Risk Mitigation) 조치로는 다음과 같은 사이버 보안 컨트롤이 적용됩니다:

  • 데이터 무결성 및 인증 강화:
    • 센서/CAN 데이터: 암호화 및 전자서명, MAC(Message Authentication Code) 적용.
  • 접근 제어 및 소프트웨어 보호:
    • ECU 접근: 진단 포트 접근에 강력한 인증 절차, 무선 통신 인터페이스 보안 취약점 관리.
    •  펌웨어/소프트웨어: 시큐어 부트(Secure Boot), 펌웨어 업데이트 시 암호화 및 전자서명된 버전만 허용.
  • 지속적인 모니터링 및 복구 기능:
    • IDS(침입 탐지 시스템): 차량 내 악의적인 통신 패턴 및 비정상 행위 탐지.
    • 데이터 포렌식: 시스템 로그 및 차량 데이터 수집을 통한 공격 분석 및 재발 방지.
    • 안전 상태(Safe State) 전환: 시스템 오류/공격 시 SCC 기능을 안전하게 중단하고 차량을 안전 상태로 전환.

TARA 구현의 도전과 효율화 방안

복잡한 차량 시스템에서 TARA를 수행하는 것은 방대한 공수를 요구합니다. 단일 제어기만 해도 수천 개 이상의 공격 경로를 분석해야 하는 상황에서, ‘무엇을 해야 하는지’만 제시하는 표준의 한계는 ‘어떻게 해야 하는지’에 대한 구체적인 방법론 개발의 필요성을 더욱 부각시킵니다. OEM은 이러한 도전에 대응하기 위해 다음과 같은 전략을 추진하고 있습니다:

  • 제어기 단위 TARA 방법론: 기능 단위가 아닌 제어기 단위로 TARA를 수행하는 내부 방법론을 개발하여, 현장 개발팀의 구성 및 업무 방식에 부합하도록 최적화합니다.
  • 다단계 검토 절차: 평가 항목의 주관성을 최소화하기 위해 설계팀 내부의 1, 2차 검토와 사이버 보안 전문팀의 리뷰를 거치는 다단계 검토 절차를 운영하여 객관성을 확보합니다.
  •  OEM-Tier 1 협력: Tier 1 협력사는 ‘아이템 정의’, ‘자산 식별’, ‘피해 시나리오 및 영향 등급 평가’ 등 아이템에 대한 상세하고 정확한 정보를 OEM에 제공하는 핵심적인 역할을 수행합니다. OEM은 이를 기반으로 ‘위협 시나리오 도출’ 및 ‘공격 경로 분석’ 등 전문적인 사이버 보안 활동을 수행하여 효율적인 공급망 위험 관리를 가능하게 합니다. 이는 ISO/SAE 21434의 ‘분산된 사이버 보안 활동(Distributed Cybersecurity Activities)’ 장 (ISO/SAE 21434 15장)에서도 강조되는 부분입니다.

TARA를 넘어선 지속적인 사이버 보안 관리

TARA는 일회성 활동이 아닌, 차량의 수명 주기 전반에 걸쳐 지속적으로 관리되어야 하는 프로세스의 시작점입니다.

  •  문서화 및 추적성: TARA 결과물뿐만 아니라, 모든 단계별 결과물(위험 평가, 보안 기술 적용, 테스트 결과, 위험 수용 결정 등)에 대해 명확한 리비전 히스토리, 담당자, 승인자 정보를 포함한 철저한 문서화와 증적 관리가 필수적입니다. 이는 Automotive SPICE의 ACQ.4 (Supplier Monitoring) 및 MAN.5 (Risk Management)와 같은 프로세스와도 긴밀하게 연계됩니다.
  • 지속적인 모니터링 및 대응: R155는 제조사가 사이버 공격, 위협 및 취약점을 지속적으로 모니터링, 감지, 대응하는 프로세스를 갖추고, 그 결과를 최소 연 1회 승인 기관에 보고하며, 완화 조치의 효과성을 확인하도록 요구합니다. 이는 TARA에서 식별되지 않은 새로운 위협에 대한 선제적 대응을 가능하게 합니다.
  • 소프트웨어 업데이트 관리 (UN R156): TARA를 통해 식별된 취약점에 대한 패치 또는 기능 개선을 위한 소프트웨어 업데이트는 UN R156 및 ISO 24089 (Software Update Engineering)의 엄격한 요구사항에 따라 관리되어야 합니다. 업데이트의 무결성, 인증, 안전한 설치 조건, 사용자 고지 등이 핵심입니다.

결론

TARA는 단순한 위험 분석을 넘어, 자동차 사이버 보안 설계의 청사진이자 지속적인 위험 관리 활동의 기반을 다지는 핵심적인 프로세스입니다. 업계 관계자 여러분이 TARA를 법규 준수의 수단으로만 볼 것이 아니라, 궁극적으로 안전하고 신뢰할 수 있는 미래 모빌리티를 구현하기 위한 전략적 투자로 인식하고 체계적인 수행 역량을 강화해야 할 때입니다. 이는 차량 개발의 복잡성을 관리하고, 변화하는 사이버 위협 환경에 유연하게 대응하며, 고객에게 최고의 가치를 제공하는 데 필수적인 요소가 될 것입니다.

목록