최근 차량이 인터넷에 접속되는 사례가 많아지면서 사이버 공격 위협에 대한 취약성 또한 증가하고 있습니다. 이것은 해커들에게 고급 사이버 공격의 연구 및 실행의 동기가 될 수 있는데요. 이러한 공격을 예방하기 위해서는 기존과 다른 사이버 보안 솔루션이 사용되어야 합니다.

이번 글에서는 차량 이더넷 네트워크에서 공격 탐지와 식별에 대한 종합적인 접근법에 대해 알아보고자 합니다. 우선 두 가지 주요 요소인 차량 내 네트워크 감지 모듈(이더넷 IDS)과 클라우드 기반의 백엔드 분석 환경의 조합에 중점을 두겠습니다. 원시 경보와 차량의 IDS 데이터가 어떻게 자동으로 백엔드에서 분석되는지를 설명해 차량에 대한 사이버 공격의 본질을 이해하고 특정 위협 또는 위협을 가하는 자들의 행동 패턴과 방식을 알아봅니다. 특히 이들의 전술, 기술과 절차(TTPs: Tactics, Techniques and Procedures)를 확인해 봅니다.

배경: 차량 내부 및 외부 요소

차량 이더넷 감지 모듈

차량용 이더넷은 차량에 탑재된 네트워크 문제를 해결하는 데에 있어 선호되는 해결 방식으로 떠오르고 있습니다. 점점 더 많은 제조사에서 이를 차량의 E/E 아키텍처에 통합하고 있기 때문입니다. 이로 인해 이더넷 네트워크에 독특한 감지 툴을 도입하게 되었는데 바로 이더넷 침입 감지 시스템(Ethernet Intrusion Detection Systems IDS)입니다.

일반적인 상식으로 이더넷 IDS는 차량의 이더넷 트래픽을 실시간으로 감시해 위반 사항이나 비정상적인 행동 또는 해로운 통신을 감지합니다. 또한 분석이나 캘리브레이션과 같은 우선순위가 높은 활동도 감지합니다. IDS는 비정상적이거나 우선순위가 높은 이더넷 트래픽을 기록하고 이를 기록 모듈에 보고하며 기록 모듈은 외부 백엔드 분석 환경으로 경고를 보냅니다.

백엔드 분석 환경

백엔드 분석 환경은 클라우드 기반 분석 구성요소로 차량의 IDS에서 원시 경보를 받아 분석한 뒤 다른 소스의 데이터와 연관 지어 보안 사고 경보를 생성합니다.

차량 내 IDS의 데이터와 함께 백그라운드 분석 환경은 차량의 활동 로그, 차량 상태(속도, 위치 등), 차량의 소프트웨어와 펌웨어 업데이트 로그 등의 다른 소스에서 획득한 데이터도 분석합니다. 이 분석은 사용자 도메인 외부에서 이루어지므로 모든 정보는 개인정보보호 및 데이터 보호 규정에 따라 수집되고 보관되어야 합니다.

백엔드 분석 구성요소에서 생성되는 보안 문제 경고는 차량 보안 오퍼레이션 센터(Automotive Security Operation Center, ASOC) 분석가에게 검사를 받아야 합니다. ASOC는 기관 내에서 인력, 프로세스 및 기술을 사용하고 지속적으로 차량의 보안을 감시하고 개선하며 사이버 보안 사태를 감지, 분석, 대응하는 중앙 집중식 기능입니다.

ASOC 분석가는 백그라운드 환경으로부터 사건 분석을 전달받아 조사 및 시각화 툴을 사용해 분석 내용의 원인을 찾아냅니다. 사건의 내용과 범위를 이해하고 나면 이에 대한 대응 및 완화 계획을 시작할 수 있습니다. 차량의 데이터와 백엔드 서비스 데이터를 조합하면 탐지율이 증가하고 차량의 사이버 보안 상태에 대한 완전한 가시성을 확보하는 데 도움이 됩니다.

이더넷 IDS 데이터에 기반한 백엔드 환경에서의 공격 인식과 TTPs

앞서 언급한 컴포넌트 – 차량 내 이더넷 IDS와 백엔드 분석 환경은 해킹 공격과 보안 사고 뿐만 아니라 TTP 식별을 위한 폭넓은 커버를 가능하게 합니다. IDS는 하나 혹은 적은 수의 패킷 해상도에서도 공격을 감지할 수 있으며 백엔드 환경은 보다 높은 해상도에서 공격을 감지하고 분석함으로써 차량에 가해지는 모든 위반 패킷을 감시하게 되며 이를 다른 데이터 소스와 조합할 수 있습니다. 이러한 분석은 각기 다른 규모의 공격을 인지하고 공격의 맥락 (context), 목표와 영향을 이해하고 사이버 공격에 있어 TTP를 식별할 수 있게 해 줍니다.

공격과 TTPs를 인식하는 백엔드 분석의 예시를 일부 살펴보도록 하겠습니다.

공격 스캔

첫 번째 예시는 네트워크 서비스 스캔 공격입니다[1]. 이 유형의 경우 공격자가 각기 다른 파라미터값을 지닌 서로 다른 패킷을 전송해 네트워크를 스캔하는 방식을 포함합니다. 패킷의 응답은 공격자로 하여금 네트워크 서비스, 활동 또는 파라미터에 대한 정보를 얻게 해 줍니다.

이러한 유형의 흔한 공격 절차는 UDP/TCP 포트 스캔으로 공격자가 종착지 호스트의 열린 포트를 스캔해 사용하는 어플리케이션에 대한 정보를 획득하고 이를 남용하는 것입니다.

다른 예시는 오토모티브 이더넷 관련으로 SOME/IP 서비스 ID 스캔입니다. 공격자는 서로 다른 서비스나 메소드 ID가 있는 많은 SOME/IP 메시지를 스푸핑해서 차량에서 사용되는 서비스와 원격 기능을 스캔합니다. 응답 메시지를 분석하면 공격자는 어떤 서비스와 메소드 ID가 차량에서 사용되는지 알 수 있으며 이를 이용할 수 있습니다.

탐지의 관점에서 차량의 IDS는 패킷을 검사해 어플리케이션 레이어 프로토콜까지 접속 컨트롤을 강제합니다. 이는 잘못된 파라미터가 있는 패킷(예를 들면 서비스 ID나 포트 번호가 잘못된)은 IDS의 접속 컨트롤 경보를 발동시킨다는 의미입니다.

따라서 스캔 공격은 다양한 ACL 경보를 발동시키고, 공격자가 보낸 거의 모든 패킷에 대해 경보가 발동됩니다. 백엔드 환경은 하나의 보안 사고에 대해 이 모든 경보를 받고 서로 다른 경보를 하나의 보안 사고로 집계할 수 있습니다. 환경 내의 추가 분석 로직은 특정 절차(서비스 스캔 또는 포트 열기), 맥락(위험에 처한 대상과 공격받은 ECU에 대한 세부 정보) 및 차량에 미칠 영향(네트워크 기능에 대한 정보 취득)을 확인할 수 있습니다.

공격 툴의 반복된 사용 또는 공격 절차

이전 예시에서 TTP 인식은 동일 차량에서 동시에 발생하는 IDS 경보의 분석과 통합에 기반하고 있다고 이야기 했습니다. 이번 예시는 서로 다른 차량에서 다른 시기에 발생하는 경보에 대한 분석입니다.

공격자들은 두 대 이상의 차량에 (동시에 또는 다른 시간에) 동일한 공격 절차 또는 공격 기술을 사용할 수 있습니다. 일반 공격 도구도 개발되어 서로 다른 공격자들이 광범위한 차량에 같은 공격을 할 수 있도록 합니다.

각각의 차량 내 IDS가 통합되어 있는 차량의 공격만 감지하는 반면 백엔드 분석 환경은 수많은 차량으로부터 정보를 받으며 모든 차량의 경보를 연관 짓고 비교할 수 있습니다. 특정 차량으로부터 경보를 수신하면 분석 환경은 각각의 보안 사건을 비교해 다른 차량에서 과거에 발생해 감지된 다른 보안 사건과 대조하고 비슷한 공격 패턴을 파악해 그 절차를 추론합니다. 또한 추가적인 조사를 통해 해당 공격이 같은 공격자 또는 툴로부터 발생했는 지를 확인할 수 있습니다.

일반적인 공격 벡터

이전 예시에서 공격 인지와 이해는 이더넷 IDS 경보의 종합과 상관관계에만 기반하고 있다고 이야기 했습니다. 공격의 소스나 공격 벡터를 감지할 때에는 다른 데이터 소스와의 상관관계도 매우 유용합니다.

하나의 예시는 차량의 지리적 위치 영역에 따라 공격을 종합하는 것입니다. 다양한 공격 벡터는 차량과의 물리적 거리가 가깝거나, 중장거리 무선 통신(블루투스, WiFi) 또는 휴대전화 셀 위장등을 사용하는 등 지리적 근접성에 기반을 두고 있습니다. 이는 2014년 Chris Valasek와 Dr. Charlie Miller가 지프 체로키 해킹에서 선보인 바 있습니다[2].

이런 식으로 몇 대의 차량을 공격하면 동일한 지역 내의 모든 차량의 백엔드 환경에서 비슷한 유형의 경보가 발생합니다. 해당 지역에 위치한 차량들의 정보는 백엔드 분석 환경으로 보내지고 일부 차량에 대한 공격은 하나의 보안 사건으로 종합되어 함께 처리됩니다.

일반 권한 있는 활동과 공격의 구분

공격과 TTPs를 구분할 때 발생하는 문제 중에 하나는 특히 차량 진단과 같은 권한이 높은 활동이나 일반적인 작동과의 구분입니다.

진단 기능은 누구든지 차량의 네트워크에 접속해 매우 우선순위가 높은 활동, 예를 들면 ECU 초기화, 권한 기능 활성화, 내부 데이터 조회 또는 변경 및 보호가 제대로 되지 않는 경우 ECU에 대한 플래싱까지 가능하게 합니다. 진단 공격을 감지하는 건 쉽지 않을 수도 있습니다. 네트워크 상에서 벌어지는 공격자에 의한 해로운 진단 활동은 수리 업체에서 실행하는 적법한 진단과 매우 비슷할 수 있습니다. 물론 일부 케이스는 차량 내에서 진단하고 예방할 수 있습니다(예를 들면 차량 운행 중의 중요 진단 활동)하지만 다른 경우엔 맥락과 백그라운드를 이해하는 것이 공격과 제대로 된 진단을 구분하는 데에 있어 매우 중요합니다.

이러한 어려움을 해결하는 데엔 복합적인 감지 접근이 도움이 됩니다. 차량 내 IDS는 권한 있는 진단 활동을 기록하도록 설정할 수 있습니다. 기록은 클라우드 분석 환경으로 전송되어 차량의 상태 맥락과 함께 분석됩니다. 이 맥락은 차량 수리 업소 등록에 대한 정보, 차량의 위치 정보 또는 일반적인 차량 활동 패턴에 대한 정보가 될 수 있습니다. 이를 통해 위법한 진단 활동은 ASOC 인원에 의해 조사되고 경보가 발송되어 실제로 공격인지 여부를 파악할 수 있게 됩니다.

공격이 아닌 경고 이해하기
이전 예시에서 IDS는 모든 권한 있는 활동을 기록하도록 설정해 맥락 데이터와 함께 분석하도록 할 수 있다고 이야기 했습니다. 공격을 확인하기 어려운 또 다른 예는 가짜 경보가 설정 오류로 인해 발생할 수 있다는 것입니다.

IDS 시스템의 설정과 통합에 많은 투자와 노력이 투입되어도 설정 오류로 인해 발생하는 경보는 종종 발생합니다. 이러한 가짜 경보가 흔하지는 않으나 그만큼 시스템 상에서 진짜 공격과 이를 구분할 수단이 필요하며 이를 발생시킨 설정 오류를 수정해야 합니다.

이런 케이스의 한 예시가 OTA 업데이트로 인한 설정 오류입니다. OTA(Over the Air) 업데이트는 차량 제조사들이 차량의 소프트웨어, 펌웨어 또는  이 업데이트의 목적은 보통 차량 컴포넌트에 발생할 수 있는 문제를 수정하는 것이지만 차량에 새로운 기능을 추가하기도 합니다.

OTA 업데이트는 차량의 네트워크 보안 설정 및 정책을 고려해 이루어져야 합니다. 네트워크 트래픽에 영향을 줄 수 있는 기능을 추가하거나 변경하는 경우 네트워크 IDS 설정을 변경해야 할 수도 있으며 이는 이전 설정에 기반한 경보가 발생하는 걸 막기 위함입니다. 이를 제대로 처리하지 않으면 IDS가 일반적인 차량 활동을 공격으로 받아들여 백엔드로 경보를 보낼 수 있습니다.

차량에 직접 또는 클라우드 접속으로 분석을 사용할 경우 차량에서 발생한 경보는 클라우드 환경에서 다른 연관 데이터 소스와 함께 분석되는데 이 중 하나가 각 차량의 OTA 업데이트 로그입니다. 이를 통해 OTA 업데이트 이후 특정 시간대에 발생하는 경고와 업데이트 컴포넌트에서 발생한 패킷은 선택적 거짓 경고로 취급할 수 있습니다. ASOC 담당자는 실제로 이런 케이스에 해당하는지 경보를 분석해야 하지만 이러한 데이터의 상관 관계는 상당한 조사 시간을 아껴줄 수 있습니다.

이 시나리오를 이해하는 데에 있어 또 하나의 중요한 파라미터는 동일한 타입의 경보가 같은 OTA 업데이트를 통해 같은 모델의 다른 차량에서 발생했을 경우 입니다. 이전에 언급한 바와 같이 백엔드 분석 환경은 서로 다른 차량에 가해진 비슷한 유형의 공격을 종합할 수 있습니다, 그러므로 해당 차량들이 같은 OTA 업데이트 업데이트에 해당하는 지를 확인하면 분석을 빠르고 효율적으로 마칠 수 있습니다.

시나리오를 완전히 이해하고 경보가 실제로 OTA 업데이트로 인해 불필요한 경보인지 확인하면 다음 업데이트에서 IDS 설정을 변경해 향후에 같은 문제가 발생하지 않도록 할 수 있습니다. 이 사례는 차량 보안 이벤트에 있어 감지-분석-대응 방식의 좋은 예라고 할 수 있습니다.

결론

이번에는 차량 내 네트워크 감지 메카니즘(IDS)과 클라우드 기반 백엔드 분석 환경을 기반으로 차량 이더넷 네트워크 공격과 TTPs 인식에 대한 접근법 및 방법에 대해 알아보았습니다. 이 접근법을 통해 이더넷 IDS에서 발생하는 원시 경보는 백엔드 환경에서 서로 다른 종합 및 상관 관계 방식을 통해 공격의 전략, 테크닉 및 절차는 물론 공격의 맥락과 규모를 구분해서 분석할 수 있습니다. 저희는 이러한 접근법을 통해 업계 모범 사례를 만들고 OEM사들이 사이버 방어에 있어 이점을 지닐 수 있다고 생각합니다.

[1] https://attack.mitre.org/techniques/T1046/

[2] http://illmatics.com/Remote%20Car%20Hacking.pdf

Recent Posts