[ISO/SAE 21434 1강(실무)] 보안 아키텍처 설계 실습: 계층별 보안 경계 정의

---

Title: ISO/SAE 21434 중급 강좌 1강 – 보안 아키텍처 설계 실습: 계층별 보안 경계 정의
Description: ISO/SAE 21434 중급 강좌 1강에서는 위협모델링 기반 아키텍처 경계 설정과 보안 패턴 적용 방법을 실습 중심으로 학습하며, OEM·Tier1·Tier2 관점의 차이를 정리합니다.
Keywords: ISO/SAE 21434, 자동차 사이버보안, 보안 아키텍처, 보안 경계, 위협모델링, HSM, 보안 부트

---

🔐 ISO/SAE 21434 중급 강좌 1강

보안 아키텍처 설계 실습: 계층별 보안 경계 정의

ISO/SAE 21434에서 보안 아키텍처(Security Architecture)는 차량의 모든 전자 시스템을 보호하는 핵심 요소입니다.
이번 강의에서는 위협모델링 기반 보안 경계 설정 방법과 보안 아키텍처 패턴 선택 기준을 다루고,

마지막에는 실습으로 직접 계층별 보안 경계를 설계해보겠습니다.

👉 이 과정을 통해 “이론 중심 학습”에서 벗어나 “실무에 바로 적용 가능한 설계 역량”을 키우는 것이 목표입니다.

---

1. 보안 경계(Security Boundary)의 개념과 필요성 🛡️

보안 경계는 시스템 내에서 신뢰할 수 있는 영역과 그렇지 않은 영역을 구분하는 선입니다.
예를 들어,

차량의 파워트레인 ECU는 높은 보안 요구가 있는 영역이며,

인포테인먼트는 상대적으로 낮은 보안 요구 영역입니다.

 

👉 보안 경계를 정의하는 이유는 다음과 같습니다.

• 공격 표면 최소화: 네트워크 경계를 명확히 해야 공격자가 쉽게 진입하지 못합니다.
• 책임 분리: OEM, Tier1, Tier2 각 주체가 담당하는 보안 레벨을 명확히 나눌 수 있습니다.
• 방어 심층화(Defense in Depth): 여러 계층에서 보안 대책을 겹겹이 적용합니다.

 (출처: ISO/SAE 21434:2021 Part 9 “Cybersecurity Concept”)

---

2. 위협모델링 기반 아키텍처 경계 설정 방법 🔍

위협모델링(Threat Modeling)은 보안 경계 정의의 시작점입니다.
대표적인 접근법으로 STRIDE(스푸핑, 변조, 부인방지, 정보유출, 서비스거부, 권한상승)가 있습니다.

절차는 다음과 같습니다.

1. 자산 식별: 예) ECU, 센서, 네트워크 게이트웨이
2. 위협 매핑: STRIDE 기법으로 가능한 위협을 도출
3. 위험 분석: ISO/SAE 21434의 TARA(Threat Analysis and Risk Assessment) 기법 적용
4. 경계 설정: 네트워크 분리, 신뢰영역(Trusted Zone) 구분

예시: 차량 내 CAN 통신망과 외부 OTA 업데이트 서버 사이에 보안 경계를 설정하고, 게이트웨이 ECU에서 인증·암호화 기능을 수행하도록 정의할 수 있습니다.

---

3. 보안 아키텍처 패턴 선택 기준 🧩

ISO/SAE 21434에서 권장하는 대표적인 아키텍처 패턴은 다음과 같습니다.

• 분리(Separation): 중요 ECU와 비중요 ECU를 물리적·논리적으로 분리
• 인증(Authentication): 메시지 송수신 시 송신자/수신자 검증
• 암호화(Encryption): 데이터 무결성과 기밀성 보장
• 최소 권한(Least Privilege): ECU와 서비스에 꼭 필요한 권한만 부여

패턴 선택 기준은 자산 가치, 위협 수준, 성능 제약에 따라 달라집니다.
예를 들어, OTA 업데이트의 경우 암호화 + 인증이 필수적이며, 인포테인먼트 앱 실행권한은 최소 권한 원칙으로 제한해야 합니다.

---

4. 실습 예제 🧑‍💻

이번 실습에서는 “계층별 보안 경계 정의”를 수행합니다.

실습 목표: 차량 내 네트워크 아키텍처에서 보안 경계를 정의하고, 보안 패턴을 적용

실습 절차:

1. ECU, 센서, 게이트웨이, 클라우드 등 주요 자산 나열
2. STRIDE 기법으로 위협 요소 도출
3. 각 자산별 보안 경계 설정 (예: Gateway ECU를 기준으로 내부망/외부망 분리)
4. 적절한 보안 패턴 적용 (인증, 암호화, 최소 권한)

체크리스트:

• 자산과 데이터 흐름을 정의했는가?
• 보안 경계를 명확히 나눴는가?
• 각 경계에 적절한 보안 패턴을 적용했는가?

아래는 보안 아키텍처의 단순 예시 다이어그램입니다.

 

보안 경계를 적용한 보안 아키텍처

---

5. OEM / Tier1 / Tier2 관점 📊

• OEM: 전체 차량 네트워크 아키텍처 수준에서 보안 경계를 정의하고, 각 Tier와 인터페이스 보안 요구사항을 제시
• Tier1: ECU 단위 보안 아키텍처를 설계하고, 게이트웨이·도메인 컨트롤러 보안 기능 구현
• Tier2: 칩셋·센서 수준의 보안 메커니즘(HW 기반 암호화, Secure Boot 지원) 제공

👉 즉, OEM은 큰 그림, Tier1은 ECU 단위 세부 설계, Tier2는 부품 레벨 보안 기능을 책임집니다.

---

핵심 정리 📝

• 보안 경계는 시스템의 신뢰할 수 있는 영역과 그렇지 않은 영역을 나누는 선이다.
• 위협모델링(STRIDE, TARA)을 통해 경계를 도출해야 하며, 단순 직관에 의존해서는 안 된다.
• 분리, 인증, 암호화, 최소 권한 같은 보안 패턴을 자산 가치와 위협 수준에 맞게 적용해야 한다.
• OEM/Tier1/Tier2는 각자 다른 수준에서 보안 아키텍처 설계를 수행한다.

---

👉 다음 강의 예고: 하드웨어 보안 모듈(HSM) 및 보안 부트 설계