문의하기

Industry Issue

최신 차량용 보안 소프트웨어

Business Guide
작성자
관리자
작성일
2024-03-11 13:06
조회
80

최신 차량용 보안 소프트웨어 개발

타깃이 지정된 소프트웨어 보안 사례는 자동차 산업에서 새로운 사이버 보안 표준을 충족하는 데 따른 문제를 해결하는 데 도움이 될 수 있습니다.


오늘날 자동차 산업에서는 소프트웨어 정의 차량(SDV), 전기 자동차(EV), 커넥티드 및 자율 주행 차량의 인기가 점점 높아지고 있습니다. 개선된 안전 기능, 작동법 그리고 사용자 경험을 갖춘 차량 개발이 진행됨에 따라 더 향상되고 복잡한 소프트웨어가 필요하다는 점을 인식하는 것이 중요합니다. 그렇지 않을 경우, 결국 공격면을 증가시켜 취약점 발생 위험이 증가할 수 있습니다. 또한 이러한 차량에는 귀중한 자산이 포함되어 있어 빈번하게 사이버 공격 타깃이 되고 있습니다.

사이버 보안 동향 및 표준

최근 몇 년 동안 자동차 산업에는 ISO/SAE 21434 사이버 보안 엔지니어링, 사이버 보안을 위한 Automotive SPICE, UN-R155 사이버 보안 및 사이버 보안 관리 시스템을 포함한 몇 가지 새로운 표준과 규정이 도입되었습니다. 더 많은 조직이 제품 개발을 위한 사이버 보안 정책, 프로세스 및 활동을 수립함에 따라 업계에서 사이버 보안의 성숙도가 높아졌습니다.

최신 차량의 위협 및 보안 문제

최신 차량에는 SDV, EV, 커넥티드 및 자율 주행 차량에서 흔히 볼 수 있는 몇 가지 기능이 포함되어 있습니다. 이러한 기능에는 금전적 피해와 안전, 운영 그리고 개인 정보 보호에 대한 피해를 포함한 여러 유형의 피해 시나리오가 있습니다.


[그림 1] 위협 및 보안 문제에 대한 네 가지 주요 영역

최신 차량과 관련하여 위협 및 보안 문제에 대해 고려해야 할 네 가지 주요 영역이 있습니다.


  • 무선 인터페이스 에는 Wi-Fi, Bluetooth, 셀룰러 통신 및 V2X가 포함됩니다. 또한 자율주행차에는 전면 카메라, 서라운드 카메라, 측면 카메라, 후면 카메라, 전면 레이더, 후면 레이더, 광선레이더 및 여러 초음파 센서를 포함한 40개 이상의 카메라와 센서가 포함될 수 있습니다.
  • 유선 인터페이스 에는 차량의 진단 포트인 하나의 공통 공격 벡터가 포함됩니다. EV의 경우 충전 포트는 추가 공격 벡터입니다.
  • 커넥티드 차량의 타깃 시스템 에는 차량 내 인포테인먼트 시스템, 텔레매틱스 제어 장치 및 V2X 연결 장치와 같은 외부 연결 시스템이 포함됩니다. 또한 시스템에는 개인 식별 정보 및 암호화 키/자격 증명과 같은 귀중한 자산이 포함될 수 있습니다. 키리스(keyless) 엔트리 시스템(본체 제어 모듈을 통해), 패시브 엔트리 패시브 스타트 시스템(passive entry passive start systems) 및 배터리 관리 시스템과 같은 대단히 중요한 기능을 제어하는 ​​시스템도 있습니다 . 자율 주행 차량의 타깃 시스템에는 조종장치, 가속 및 제동을 담당하는 운전자 지원 시스템 및 자율 주행과 관련된 첨단 필수 안전 시스템이 포함됩니다.
  • 에코시스템에는 다른 차량, 사용자의 모바일 장치, OEM 백엔드, 클라우드 솔루션 및 무선 업데이트 플랫폼이 포함됩니다. EV 에코시스템에는 충전소, 스마트 홈 및 전기 그리드와 같은 V2G 엔티티도 포함됩니다. 차량 자체를 보호하는 것 외에도 에코시스템의 모든 보안에 중요한 엔티티도 보호해야 합니다.
 

최신 차량의 문제를 극복하고 취약점을 줄이기 위한 솔루션

자동차 관련 제조 업체는 모범 사례를 따르고 ISO/SAE 21434와 같은 표준을 기반으로 사이버 보안 정책 및 프로세스를 수립해야 합니다. 여기에는 안전한 소프트웨어 개발 수명 주기를 수립하기 위한 적절한 애플리케이션 보안 테스트 도구 도입도 포함됩니다. 프로젝트 수준 활동에 중점을 둔 위협 분석 및 평가는 제품의 중대한 위험을 식별하기 위해 반드시 수행해야 합니다. 제품 개발 중에는 소프트웨어의 보안 취약성을 테스트해야 합니다. 정적 애플리케이션 보안 테스트(SAST)를 수행하여 소스 코드의 문제를 감지해야 합니다. 또한 소프트웨어 구성요소 분석(Software Composition Analysis, SCA)을 수행하여 통신 라이브러리 또는 암호화 라이브러리와 같이 일반적으로 사용되는 라이브러리에서 취약한 오픈 소스 소프트웨어 구성 요소를 탐지해야 합니다. 퍼즈 테스팅구현 문제 및 보안 취약성을 감지하기 위해 고위험 무선 및 유선 인터페이스에서 수행해야 합니다. 또한 동적 애플리케이션 보안 테스트(DAST) 및 침투 테스트는 웹 앱 및 모바일 앱과 같은 생태계의 소프트웨어에서 수행해야 합니다.

 

원문 게시일: 2023.03.07

원문 기고자: Dr.Dennis Kengo Oka

출처: https://www.synopsys.com/blogs/software-security/secure-software-development-modern-vehicles.html

커넥티트 및 자율주행 차량을 위한 퍼징 테스트 »
목록보기
Powered by KBoard
/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#