주말 잘 쉬고 계신가요? 정말 덥습니다. 너무 덥네요. 입추가 지났다고 하는데 말이죠.
웹서핑을 하다가 자동차 Hacking에 관련된 동영상을 보게 되어 공유 드립니다.
(너투브에서 삭제 요청이 들어와서 삭제합니다.)
동영상에서는 화면에서 사진을 띄우거나, 경적을 울리거나, 와이퍼를 조작하고 심지어 고속도로에서 시동을 끄게 만듭니다. 이런 Cyber security는 Functional Safety와는 비교가 안될 큰 범위에서 중요할 수 있다고 생각이 드네요.
사실 이러한 동영상을 볼 때에나 중요함과 심각성을 크게 느끼고, 평상시에는 관심을 소홀히 하고 있습니다.
쉽게 찾아볼 수 있겠지만, 아래 참고할 수 있는 링크를 같이 올립니다. 이미 아시는 웹 주소일 수도 있겠지만, 참고는 해주시기 바랍니다.
1. Black hat
Black Hat
Black Hat is the most technical and relevant global information security event series in the world. These high-profile global events and Trainings are driven by the needs of the security community, striving to bring together the best minds in the industry.
www.blackhat.com
2. Defcon
https://www.defcon.org/index.html
DEF CON® Hacking Conference
Short Story Contest Winners Announced! Posted 6.24.19 Congratulations to the winners of the DEF CON 27 Short Story Contest! from the official thread on the DEF CON forums: "In FIRST place we have "Dye Sublimation" by Selene Sun! We loved the quick, well-to
www.defcon.org
3. IQPC
Home | IQPC Corporate
www.iqpc.com
4. NIST
National Institute of Standards and Technology | NIST
NIST promotes U.S. innovation and industrial competitiveness by advancing measurement science, standards, and technology in ways that enhance economic security and improve our quality of life.
www.nist.gov
위 정보들은 사실 아래의 site를 통해서 알게 되었습니다. 글로벌 자동차 사들이 주축이 되어 설립한 협의체로 알고 있습니다. 해당 협의체에서는 최신의 정보 및 관련 기술들을 공유하기 때문에 정보를 찾아볼 수 있습니다. 우리나라에서 현대자동차, 현대모비스도 참여하고 있네요. (Who can join, 메뉴에서 확인 가능합니다)
5. auto-isac
https://www.automotiveisac.com/
Auto-ISAC – Automotive Information Sharing & Analysis Center
In 2014, the Auto Alliance, Global Automakers and fourteen automakers joined forces to form the Auto-ISAC, a community to share and analyze intelligence about emerging cybersecurity risks to the vehicle. The organization was officially established in Augus
www.automotiveisac.com
간단하게 Functional Safety와 Cyber security의 차이점을 살펴보면서 글을 정리하겠습니다.
이미 다른 글을 통해서 올린 적이 있는 것 같은데, 중복되더라도 이해해주시기 바랍니다.
Automotive에서 Safety System은 오직 사람에게 미치는 피해만을 고려합니다. malfunction이 발생했는데, 사람에게 피해를 끼치지 않는다. 정확하게는 고려할 수 있는 Driving condition, Environment condition에서 해를 끼치지 않는다. 그렇다면 ASIL, Safety Goal 을 고려하지 않습니다.
반면에 Security는 Financial, Operational, Privacy, and Safety 까지 다각도에서 모든 면에서 해당 될 수 있습니다. 그리고 malfunction이 아닌 Attack이라는 고의적인 Hacker의 action으로 위협을 받게 됩니다.
그리고 이러한 위협은 계속적으로 기술의 발전과 취약점을 통해서 Risk가 증가됩니다. 반면에 Safety system의 경우 양산된 이후에는 변경되지 않습니다. 이미 E/E System이 장착이 된 이후에 기술적으로 evolution될 것이 없기 때문이죠. 한 자동차를 구입하시고, 폐차시킬 때까지 차량 내의 시스템이 크게 바뀔 일은 없습니다. (E/E, Electrical/Electronic에 한함)
Security는 Safety를 포함해서 다른 측면도 고려합니다. 그렇기 때문에 위 좌측 그림과 같이 그려질 수 있습니다.
차선 변경 지원 시스템 LCA, LKA 등의 경우 malfunction 발생하는 경우 위협적인 Hazard가 될 수 있습니다. 그런데 그 위협이 malfunction이 아니라 Navigation, Cluster, AVN 등과 같은 시스템에서 악의적인 공격으로 인해서 LCA, LKA의 시스템에 오류가 발생했다. 발생이 가능하다 라고 생각하시면 이해하시기 쉬울 것 같습니다.
프로세스 측면에서는 ISO 26262 에서 Fault-injection test 방법을 요구하지만, ISO 21434 (현재 제정 작업중)의 경우 Penetration Test와 같은 다른 방법을 통해 검증하기를 요구하고 있습니다. 두 테스트 방법의 차이가 있더라도 Managing 방법은 동일 할 것입니다. 테스트 범위, 수행인원, 환경(차이 있을 수 있음), 수행 시기, 결함 조치 등
Functional Safety 뿐만 아니라 Cyber security와 관련해서도 관심을 가지고, 스터디가 필요한 시기인 것 같습니다.
몇년 전에도 동일하게 생각했었는데, 그 이후로 크게 바뀌지 않았네요. 그래도 작은 것부터 하나씩 공부해가면서, 내용을 공유하도록 하겠습니다.
오늘 후회했더라도 지금부터 노력하면 된다는 마음으로 같이 점진적으로 노력하시죠! (엥?;; 마무리가 오글거리군요)
이상 읽어주셔서 감사합니다.
'프로세스(Process)' 카테고리의 다른 글
| 요구공학 프로세스, Requirements Engineering (6) | 2021.01.05 |
|---|---|
| Automotive SPICE PAM, PRM #1 (0) | 2019.08.08 |
| Automotive SPICE Introduction and Download (2) | 2019.08.05 |
| LOP: List of Open Points (0) | 2018.06.21 |