๐งช 15๊ฐ. ํ ์คํธ์ ๊ฒ์ฆ ํ๋์์์ ๋ณด์
"๋ณด์์, ์ ์๋ํ๋๊ฐ? ํ์ธ ์์ธ ์ ๋ขฐ๋ ์๋ค!"
์๋
ํ์ธ์, ์ฌ์ด๋ฒ๋ณด์ ์ฌ์ ์ ํจ๊ปํ๊ณ ๊ณ์ ์๋์ฐจ ๊ฐ๋ฐ์ ์ฌ๋ฌ๋ถ!
์ด๋ฒ ์๊ฐ์๋ ๋ณด์์ ๋ง์ง๋ง ๊ด๋ฌธ, ๋ฐ๋ก ํ
์คํธ์ ๊ฒ์ฆ ํ๋์ ๋ํด ๋ค๋ค๋ด
๋๋ค.
๐ “๋ณด์ = ์ํธํ”๋ง์ด ์๋๋๋ค!
์ค์ ๋ก ์ ์๋ํ๋์ง ํ์ธํ๊ณ ๊ฒ์ฆํด์ผ
์ง์ง '์์ ํ ์์คํ '์ด ๋๋ ๊ฑฐ์ฃ !
๐ฏ ์ค๋์ ํต์ฌ ๋ชฉํ
- ์๋์ฐจ ๊ฐ๋ฐ ๊ณผ์ ์์ ๋ณด์ ํ ์คํธ์ ์ ํ์ ํ์ ํ๊ณ
- ์ค์ ์์ ํ์ฉ๋๋ ๋๊ตฌ๋ค์ ์๊ฐํ๋ฉฐ
- ๋ฒค์น ํ ์คํธ, ํดํน ์๋ฎฌ๋ ์ด์ ๋ฑ ๊ฒ์ฆ ์ฌ๋ก๋ฅผ ํตํด ๊ฐ๊ฐ ์ตํ๊ธฐ!
๐ 1. ๋ณด์ ํ ์คํธ, ์ ์ค์ํ๊ฐ์?
์ฐ๋ฆฌ๊ฐ ์๋ฌด๋ฆฌ ์ข์ ๋ณด์ ์ค๊ณ๋ฅผ ํ๋ค๊ณ ํด๋…
- ์ฝ๋์ ๋ฒ๊ทธ๊ฐ ์๊ฑฐ๋
- ์ธํฐํ์ด์ค๊ฐ ์ด๋ ค ์๊ฑฐ๋
- ํ์ด๋ฐ์ด ํ์ ํ๋ฉด
ํด์ปค๋ ๊ทธ ํ์ ์นผ๊ฐ์ด ์ฐ๋ฌ์ต๋๋ค.
๐ฏ ๊ฒฐ๊ตญ, ๋ณด์์ ๊ฒ์ฆ์ด ์์ฑํ๋ค!
๐งฐ 2. ๋ณด์ ํ ์คํธ์ ๋ํ ์ ํ๋ค
๐งฑ 1. ์ ์ ๋ถ์ (Static Analysis)
- ์ฝ๋๋ฅผ ์คํํ์ง ์๊ณ ์ทจ์ฝ์ ์ ์ฐพ์๋ด๋ ๋ฐฉ์
- ์ปดํ์ผ ์ , ์์ค์ฝ๋ ๋ถ์ ๋๊ตฌ๋ก ์คํ
- ์ฃผ๋ก ์ฝ๋ฉ ์ปจ๋ฒค์ , ํ๋์ฝ๋ฉ ํค, ๋ฒํผ ์ค๋ฒํ๋ก์ฐ ์ํ ํ์ธ
๋๊ตฌ ์์: CodeSonar, Coverity, Polyspace
๐ฆ 2. ๋์ ๋ถ์ (Dynamic Analysis)
- ์ค์ ์คํ ์ค์ธ ์์คํ ์ ๋์์ผ๋ก ํ ์คํธ
- ์คํ ์ค ๋น์ ์ ๋์์ด๋ ์์ธ ๋ฐ์ ์ฌ๋ถ ํ์ธ
- ๋ฉ๋ชจ๋ฆฌ ๋์, ๊ฒฝ๊ณ๊ฐ ๋ฌธ์ ๋ฑ ํ์ธ ๊ฐ๋ฅ
๋๊ตฌ ์์: Valgrind, ASan(Address Sanitizer), CANoe
๐คฏ 3. ์นจํฌ ํ ์คํธ (Penetration Testing)
- ๋ชจ์ ํดํน์ ํตํด ์์คํ ์ ๊ณต๊ฒฉ
- ECU์ ๋ฌผ๋ฆฌ์ ์ผ๋ก ์ ๊ทผํ๊ฑฐ๋, OTA ์ฑ๋์ ๋ ธ๋ฆฌ๋ ๋ฑ ์ค์ ๊ณต๊ฒฉ ์๋๋ฆฌ์ค ๊ธฐ๋ฐ
- ๊ณต๊ฒฉ ๋ฒกํฐ ์๋ณ ๋ฐ ๋์ ๋ฅ๋ ฅ ๊ฒ์ฆ
์ค์ ๋๋์ ์ฃผ๋ ๊ฐ์ฅ ‘ํต์ฌ’ ํ ์คํธ!
๐งช 4. ํผ์ง(Fuzzing)
- ์ ๋ ฅ๊ฐ์ ๋ฌด์์ ๋๋ ์ด์ํ๊ฒ ๋ง๋ค์ด ๋ฃ๊ณ ์์คํ ๋ฐ์ ํ์ธ
- ๋น์ ์ ์ ๋ ฅ์ ๋ํ ๊ฐ๊ฑด์ฑ(Robustness) ํ๊ฐ
- ์ ๋ ฅ ํ์, ํต์ ์ธํฐํ์ด์ค, ์ง๋จ ํฌํธ ๋ฑ ๋์
๋๊ตฌ ์์: Peach Fuzzer, AFL, boofuzz
๐ง๐ฌ 3. ๋ณด์ ๋ฒค์น ํ ์คํธ ์ค์ ์ฌ๋ก
๐ ์: ํต์ ์ธํฐํ์ด์ค ๋ณด์ ๊ฒ์ฆ
๋์: ์ง๋จ ๊ธฐ๋ฅ(Diag over CAN)
ํญ๋ชฉ | ํ ์คํธ |
---|---|
์ ์ ์๋๋ฆฌ์ค | ์ธ์ฆ๋ ์ฅ๋น์์ ์์ฒญ → ์๋ต OK |
๊ณต๊ฒฉ ์๋๋ฆฌ์ค 1 | ์ธ์ฆ ์์ด ์์ฒญ → ๊ฑฐ๋ถ ํ์ธ |
๊ณต๊ฒฉ ์๋๋ฆฌ์ค 2 | ๊ณ ์์ ์ธ Flooding → ์์คํ ์๋ต ์๊ฐ ๋ชจ๋ํฐ๋ง |
๊ณต๊ฒฉ ์๋๋ฆฌ์ค 3 | Replay ๋ฉ์์ง ์ก์ → Nonce ์ฒ๋ฆฌ ์ฌ๋ถ ํ์ธ |
๐งช ํฌ์ธํธ
- ํ ์คํธ ์ผ์ด์ค๋ ๋ณด์ ์๊ตฌ์ฌํญ ๊ธฐ๋ฐ์ผ๋ก ์์ฑ
- ๊ณต๊ฒฉ ๋ฒกํฐ๋ STRIDE ๋ถ์ ๊ธฐ๋ฐ์ผ๋ก ๋์ถ
- ๋ก๊ทธ ์์ง ๋ฐ Traceability ํ๋ณด๋ ๋ณํ!
๐งฐ 4. ์ค๋ฌด ๋๊ตฌ ํ์ฉ ํ
๋๊ตฌ | ์ฉ๋ | ํ |
---|---|---|
CANoe | CAN ํต์ ์๋ฎฌ๋ ์ด์ | ๋ณด์ ํต์ ์ ์๋๋ฆฌ์ค ๋ค์ํ๊ฒ ๊ตฌ์ฑ ๊ฐ๋ฅ |
Wireshark | ๋คํธ์ํฌ ํจํท ๋ถ์ | OTA, Ethernet ๊ตฌ๊ฐ ์นจํฌ ์ ์ ์ฉ |
boofuzz | Fuzzing ํ ์คํธ ์๋ํ | ๋ฉ์์ง ๊ตฌ์กฐ ๊ธฐ๋ฐ ์๋ ํ ์คํธ |
Burp Suite | ์น/์ฑ ์ทจ์ฝ์ ํ ์คํธ | TCU, ๋ชจ๋ฐ์ผ ์ฑ ์ฐ๋ ์์คํ ์ ๊ฒ์ ํ์ |
HIL/๋ฒค์น | ECU + ์ค์ ํ๊ฒฝ ํ ์คํธ | ํ ์คํธ ์ปค๋ฒ๋ฆฌ์ง๋ฅผ ์ต๋ํ ๋ํ์! |
โ ๋ณด์ ๊ฒ์ฆ ์ ์ฃผ์ํ ์
- ๋ณด์ ํ ์คํธ๋ ๊ธฐ๋ฅ ํ ์คํธ์ ๊ด์ ์ด ๋ค๋ฆ ๋๋ค!
- ๋ชจ๋ ๊ธฐ๋ฅ์ ํ ์คํธํ๋ ๊ฒ ์๋๋ผ '๊ณต๊ฒฉ ๋นํ ๋งํ ํ'์ ์ฐพ๋ ๊ฒ ๋ชฉ์
- ๊ฒ์ฆ ํ์๋ ๋ฐ๋์ ํจ์น/๋ณด์ ๊ณํ๊น์ง ํฌํจ
๊ฒ์ฆ ์๋ ๋ณด์์, ์คํ ์๋ ์ผ์ดํฌ์ ๊ฐ์ต๋๋ค. ๊ฒ๋ณด๊ธฐ๋ง ๋ฉ์ฉก!
โ ์ค๋์ ์์ฝ
ํญ๋ชฉ | ๋ด์ฉ |
---|---|
ํ ์คํธ ์ ํ | ์ ์ ๋ถ์, ๋์ ๋ถ์, ์นจํฌ ํ ์คํธ, ํผ์ง ๋ฑ |
๋๊ตฌ ์์ | CANoe, Wireshark, boofuzz, Burp Suite ๋ฑ |
๋ฒค์น ํ ์คํธ | ํ์ค์ ์๋๋ฆฌ์ค ๊ธฐ๋ฐ ๊ณต๊ฒฉ/์๋ต ํ์ธ |
ํ | ๊ณต๊ฒฉ์ ์์ ์์ ์ฌ๊ณ ํ๊ณ , ํ ์คํธ ์ผ์ด์ค๋ฅผ ์ค๊ณํ์! |
โญ๏ธ ๋ค์ ๊ฐ์ ์๊ณ
16๊ฐ. CSMS๋ ๋ฌด์์ธ๊ฐ? ์กฐ์ง์ด ํด์ผ ํ ๋ณด์ ๊ด๋ฆฌ
์ด์ ๊ธฐ์ ์ ๋์ด์, ์กฐ์ง ์ฐจ์์ ๋ณด์ ๊ด๋ฆฌ๋ก ๊ฐ๋ณผ๊น์?
- CSMS(Cybersecurity Management System)๋?
- ์ UNECE R155์์ ์๊ตฌํ ๊น?
- ์ด๋ค ๋ฌธ์, ์ ์ฐจ, ๊ต์ก์ด ํ์ํ ๊น?
๐ข ๋ณด์์ ์กฐ์ง์ ๋ฌธํ์ ๋๋ค.
๋ค์ ์๊ฐ์ ๋ณด์ ์กฐ์ง ์ด์์ ๋ชจ๋ ๊ฒ์ ์๋ ค๋๋ฆด๊ฒ์!