Industry Issue
Industry Issue
최신 차량용 보안 소프트웨어 개발
타깃이 지정된 소프트웨어 보안 사례는 자동차 산업에서 새로운 사이버 보안 표준을 충족하는 데 따른 문제를 해결하는 데 도움이 될 수 있습니다.
오늘날 자동차 산업에서는 소프트웨어 정의 차량(SDV), 전기 자동차(EV), 커넥티드 및 자율 주행 차량의 인기가 점점 높아지고 있습니다. 개선된 안전 기능, 작동법 그리고 사용자 경험을 갖춘 차량 개발이 진행됨에 따라 더 향상되고 복잡한 소프트웨어가 필요하다는 점을 인식하는 것이 중요합니다. 그렇지 않을 경우, 결국 공격면을 증가시켜 취약점 발생 위험이 증가할 수 있습니다. 또한 이러한 차량에는 귀중한 자산이 포함되어 있어 빈번하게 사이버 공격 타깃이 되고 있습니다.
사이버 보안 동향 및 표준
최근 몇 년 동안 자동차 산업에는 ISO/SAE 21434 사이버 보안 엔지니어링, 사이버 보안을 위한 Automotive SPICE, UN-R155 사이버 보안 및 사이버 보안 관리 시스템을 포함한 몇 가지 새로운 표준과 규정이 도입되었습니다. 더 많은 조직이 제품 개발을 위한 사이버 보안 정책, 프로세스 및 활동을 수립함에 따라 업계에서 사이버 보안의 성숙도가 높아졌습니다.
최신 차량의 위협 및 보안 문제
최신 차량에는 SDV, EV, 커넥티드 및 자율 주행 차량에서 흔히 볼 수 있는 몇 가지 기능이 포함되어 있습니다. 이러한 기능에는 금전적 피해와 안전, 운영 그리고 개인 정보 보호에 대한 피해를 포함한 여러 유형의 피해 시나리오가 있습니다.
[그림 1] 위협 및 보안 문제에 대한 네 가지 주요 영역
최신 차량과 관련하여 위협 및 보안 문제에 대해 고려해야 할 네 가지 주요 영역이 있습니다.
최신 차량의 문제를 극복하고 취약점을 줄이기 위한 솔루션
자동차 관련 제조 업체는 모범 사례를 따르고 ISO/SAE 21434와 같은 표준을 기반으로 사이버 보안 정책 및 프로세스를 수립해야 합니다. 여기에는 안전한 소프트웨어 개발 수명 주기를 수립하기 위한 적절한 애플리케이션 보안 테스트 도구 도입도 포함됩니다. 프로젝트 수준 활동에 중점을 둔 위협 분석 및 평가는 제품의 중대한 위험을 식별하기 위해 반드시 수행해야 합니다. 제품 개발 중에는 소프트웨어의 보안 취약성을 테스트해야 합니다. 정적 애플리케이션 보안 테스트(SAST)를 수행하여 소스 코드의 문제를 감지해야 합니다. 또한 소프트웨어 구성요소 분석(Software Composition Analysis, SCA)을 수행하여 통신 라이브러리 또는 암호화 라이브러리와 같이 일반적으로 사용되는 라이브러리에서 취약한 오픈 소스 소프트웨어 구성 요소를 탐지해야 합니다. 퍼즈 테스팅은 구현 문제 및 보안 취약성을 감지하기 위해 고위험 무선 및 유선 인터페이스에서 수행해야 합니다. 또한 동적 애플리케이션 보안 테스트(DAST) 및 침투 테스트는 웹 앱 및 모바일 앱과 같은 생태계의 소프트웨어에서 수행해야 합니다.
원문 게시일: 2023.03.07
원문 기고자: Dr.Dennis Kengo Oka
출처: https://www.synopsys.com/blogs/software-security/secure-software-development-modern-vehicles.html