SAE J3061

한 백만년 만에 다시 글을 쓰는 것 같다.

이런 저런 핑계와 이유들로 다시 로그인하는데 시간이 걸린 것 같다.

오늘은 위와 같은 표준에 대해서 설명? 소개? 를 하려고 한다.

요즈음 자동차 산업쪽에서 조금씩 스물스물 떠오르는 관심사는 "보안(Cyber Security)" 이다.

자동차 보안이라고 해서 Automotive Cyber security 라고 많이 통칭해서 사용하고 있다.

Cyber security를 찾아보면 정말 많~~~~~은 표준과 관련 자료를 찾을 수 있다.

구글링만 해봐도 엄청/많이 찾을 수 있지만, 그 중에서도 현재 대표적으로 사용되는/참고하는 가이드라인으로 이 글 제목과 관련된 규격이 있다.

SAE J3061

SAE 부터 간략히 설명하면. 미국 자동차 공학회이다. Society of Automotive Engineers의 약자이며, 자동차 뿐만 아니라 항공과 관련된 표준/저널 서적 등을 찾아볼 수 있다.

그 중에 SAE J3061은 Cybercurity Guidebook for Cyber-Physical Vehicle Systems

참고적으로 위 표준 외에도 IEC 62443 (General industrial), IEC 62351 (Energy sector), ISO 15408, ISO/IEC 27001, 27002, 27005, 21827 등이 있다. 

해당 가이드북은 국제 표준으로 ISO/SAE 21434 이라는 표준으로 제정 작업을 진행하고 있다.

(제목: Road Vehicles - Cybersecurity Engineering)

ISO/SAE 21434에 대한 설명은 나중에 기회가 있을 때 하겠다.

자.. SAE J 3061이 그래서 뭐냐? 하면,

Automotive Cyber-physical system을 위한 추천/가이드 하는 내용을 담고 있다.

이 역시 다른 표준들 처럼 제품 개발의 범위와 특성, 성격(?), 제약 조건 등을 고려하여 테일러링(Tailoring)할 수 있다.

자동차 보안을 위한 여러 정보(information), 도구(tools), 방법(method)들을 소개하고 있다.

또한 기본 가이드 원칙(guiding principle)을 제공한다.

이러한 도구, 방법 부터 가이드들은 자동차 메이커사 (OEM)의 요구사항에 따라 달라질 수 있다.

그러면 언제 이러한 가이드를 고려하여 제품을 개발해야 하는 것인가?

답은 정해진 것은 없다. ISO 26262와 같은 국제 표준이 발행된지도 벌써 7년이 되어 가지만, 이러한 국제 표준보다도 우리의 고객(OEM)이 요구하는 정도/방법에 따라 시기를 고려하는 것이 현실이다.

가이드북에서는 ISO 26262에서의 ASIL이 할당된 Function을 가지고 있는 시스템이라면 모두 고려대상이라고 말하고 있다. ISO 26262는 안전 (Safety)에 초점을 두고 있지만, 해당 가이드북은 이와 더불어서 Financial, Operational, Privacy까지 넓은 영역에서 고려되어야 한다고 말한다.

조금만 생각해본다면, 보안과 관련된 부분이 안전만 관련 대상이 아님을 쉽게 이해할 수 있을 것이다.

그래서 아래와 같은 그림으로 생각해볼 수 있다.

안전과 관련된 시스템은 모두 보안을 고려해야 하는 대상이다.

반대로, 보안과 관련된 시스템이 모두 안전과 관련된 대상은 아니다. 예를 들면 entertainment system

안전과 보안 모두가 대상인 시스템은 제동(Brake), 조향(Steering) 등이 예가 될 것이다.

(출처: SGS-TUV Saar Presentation)

위 그림과 같이 보안과 관련된 취약/위협이 되는 위험(Risk)는 결국 안전으로 직결될 수 있다.

그렇다면 어떻게 접근해야 하는가?

기존에 있는 시스템에 보안 관련된 부분을 추가(Add)하는 것과 개발 초기 컨셉부터 보안을 고려하는 방법 크게 2가지로 생각해 볼 수 있을 것이다. (아래 그림 참조)

기존 시스템에서 추가되는 경우 물론 영향분석(Impact analysis), 위험 분석 및 평가(HARA) 등을 수행하여 검증하는 활동이 필요할 것이다.

만약 Traceability를 개발 중에 고려하지 않았다면, (아예 전무하기는 힘들것이다!) 영향분석, 위험 분석 및 평가, 변경 사항 등이 식별되었을 때 분석하기 어려울 것이다.

ISO 26262에서는 사람에게 영향을 끼칠 수 있는 Potential Hazard를 식별하는 것부터 시작을 한다.

그러나 Automotive Cyber security에서는 Potential Threats를 고려하는 것부터 시작한다. 

말로는 이해가 가는데, 실제로는 Safety hazards를 식별하는 것보다 더 어려울 것이다. 좀더 넓게 때로는 깊게 더욱 넓은 범위에서 말이다.

Cyber security 자체에서는 ISO 26262에서와 같이 Random hardware failure를 고려하지는 않는다. 그러나 시스템에서 가지는 취약점(vulnerability) 측면에서는 관련이 있을 수 있다.

위에서 Potential Threats를 식별하기 위해서 Cyber security에서는 ATA를 수행한다.

FTA는 Fault Tree Analysis이지만, ATA는 Attack Tree Analysis의 약어이다.

ATA 또한 설명할 내용이 방대하니 다음에 별도로 얘기하도록 한다. 

SAE J3061에서 제시하는 Guiding principles는 다음과 같다. 제품 설계 및 개발 시에 아래와 같은 원칙을 고려해서 설계를 하고 있는지 생각해보자.

Know system’s Cybersecurity risks

Understand key cybersecurity principles

Consider vehicle owner’s use of system

Implement cybersecurity in concept and design phases

Implement cybersecurity in development & validation

Implement cybersecurity in incident response

Cybersecurity considerations at end of life

자 그러면 ISO 26262와의 연계, 차이 등을 고려해서 추가로 어떤 점을 생각해보면 좋을까?

나 자신에게 개인 숙제를 준다면 아래와 같은 내용이 되지 않을까 싶다.

1. HARA vs. TARA (Threat)

2. FTA vs. ATA (Attack)

3. Product lifecycle considering Vulnerability and Threat analysis

4. Cyber security process considering ISO 26262 process

5. Understanding Cybersecuirty Analysis techniques

6. Software Tool Qualification for Cybersecuirty

이 부분은 SAE J 3061에서 언급되지는 않고 있다. ISO/SAE 21434에 포함될 예정이다.

ISO 26262에서 말하는 Software Tool Qualification을 고려해볼 수 있겠다.

오랜만에 컴백(?)하고 나니 기분이 상콤상콤하다. 

공유와 커뮤니케이션은 언제든지 내면의 작은 세포를 깨우는 것같다. (와이프는 이런걸 변태라고 ...)

암튼 금요일 즐거운 하루가 되길 바라며, 빠른 시일 안에 위 숙제에 대해서 다시 올려보도록 하겠다.

굿모닝, 굿 애프터눈, 굿이브닝 !