차량 모의 해킹의 6가지 필수 항목

IT 기반 모의 해킹(Pen-testing)은 사이버 공격 시뮬레이션을 실행하는 가장 잘 알려진 방법입니다. 모의 해킹 프로젝트에 있어 연구원들은 해커의 행동, 방식, 툴을 흉내내어 실제 기업 컴퓨터 네트워크에 대한 해킹을 시뮬레이션 함으로써 약점과 다른 보안상의 빈틈을 찾아내거나 해당 기업의 보안 요구사항이 제대로 적용되어 있는지를 검증합니다.

수많은 차량들이 서로 연결되어 소프트웨어에 의해 움직이는 시대가 되고, UNECE R155의 등장으로 인해, 차량에 대한 모의 해킹이 사이버 취약점을 줄이고자 하는 OEM사와 공급사에 있어 매우 중요한 단계가 되었습니다. OEM사와 공급사에 대한 수 십 회의 모의 해킹 프로젝트를 100% 확률로 마무리한 바 있는 당사는 차량 모의 해킹에 있어 최고의 결과를 내는 데에 필수적인 6가지를 알려드리고자 합니다.

 

차량 모의 해킹 필수 항목 1번 모의 해킹 시간을 잘 활용하라
결국에는 차량에 대한 해킹입니다.

종종 OEM사나 공급사들이 하는 가장 큰 오해는 모의 해킹 팀에게 아무 정보도 주지 않아 테스트를 어렵게 할 수록 최상의 결과가 나올 것이라는 생각입니다. 이는 블랙 박스 테스트로 일반적으로 알려져 있는데 연구원들이 아무 정보도 제공받지 않는 경우입니다.

그러나 제대로 된 해커라면 시간 문제일 뿐 시스템 해킹을 실패하지는 않습니다. 정말 중요한 것은 코드 상에 어떤 약점이 존재하고 어떤 보안 취약점을 찾느냐 입니다. 이것이 모의 해킹의 진정한 의미입니다.

예를 들어 한 Argus 모의 해킹 프로젝트에서 해킹 팀이 텔레매틱스 유닛에 대한 테스트를 요청 받았습니다. 해당 팀은 수 주 동안 유닛의 펌웨어를 추출하고 소프트웨어를 역설계하고 코드를 학습하기 위해 디컴파일러를 만듭니다. 연구원들은 텔레매틱 유닛의 코드를 확보하는 데에만 약 2주의 귀중한 시간이 소요됩니다. 이 과정에서 다수의 취약점이 발견되었으나 추가로 한 달을 더 작업했다면 더 많은 보안 취약점을 찾아내고 궁극적으로 해당 유닛의 사이버 보안을 강화할 수 있을 것입니다.

 

차량 모의 해킹 필수 항목 2번 중요한 정보를 모의 해킹 팀에 공유하라
누가 공격할 지를 모른다면 무엇을 테스트해야 할 지도 추측해야만 합니다.

위협 분석과 위협 평가(Threat Analysis and Risk Assessment, TARA) 프로젝트에서는 차량의 아키텍처, 시스템 및 서로 다른 ECU들이 사이버 위협에 대한 평가를 받습니다. 위협 분석은 관련 있는 위협들을 파악하고 모델링하며 위협 평가는 각 위협의 가능성과 영향력에 등급을 매깁니다. 이는 OEM사들이 차량의 보안 상태를 차량 디자인 과 개발 초기 단계에 이해하는 데에 도움을 줍니다.

OEM사와 공급사들은 모의 해킹 테스터들과 위협 평가 내용을 공유하지 않기로 하는 경우가 있습니다. 해당 정보가 관련이 없거나 기밀이라고 판단하기 때문입니다.

그러나 완전한 정보 공개가 최적의 결과를 도출합니다. 모의 해킹을 위협 평가에 기반해 실행할 경우 테스트 팀이 보다 순위가 높은 위협에 집중할 수 있습니다. 위협 평가 보고서를 공유하지 않게 되면 테스트 팀으로 하여금 독자적인 평가를 하도록 비용을 지불해 어느 부분을 테스트해야 할지 정하도록 해야 합니다.

 

차량 모의 해킹 필수 항목 3번 다른 프로젝트와 동일하게 취급하라
준비에 실패하면 실패할 준비를 하는 것입니다.

모의 해킹은 다른 프로젝트와 마찬가지로 관리해야 합니다. 테스트를 실행하는 기관과 OEM사 양쪽에게 해당됩니다.

프로젝트에는 여러 단계가 필요합니다. 예를 들면 요구사항 분석, 정의 범위, 테스트 전략, 필요한 툴 파악, 예상 소요 인력, 프로젝트 계획 등입니다. 이 모든 단계는 모의 해킹 프로젝트 성공에 중요한 부분입니다. 당사의 모의 해킹 팀은 지금도 기억에 남는 모의 해킹 프로젝트에서 사전 준비의 중요성을 배운 바 있습니다. 해킹 팀이 셀룰러 네트워크에 접속되지 않은 유닛에 대한 모의 해킹을 요청받았고, 접속 관련 기능은 전부 비활성화되어 있었습니다. 이로 인해 불필요하게 두 달의 시간이 낭비되었습니다.

차량에 대한 모의 해킹은 프로젝트입니다. 모든 복잡한 프로젝트에는 적절한 계획이 필요합니다.

 

차량 모의 해킹 필수 항목 4번 언제 멈출지를 알아야 한다
증거는 보이는 곳에 있지 않습니다.

흔한 모의 해킹 프로젝트에서 모든 취약점을 매핑하고 나면 테스터들은 OEM사나 공급사의 요청에 따라 취약점을 시험하게 됩니다. 취약점을 시험하는 것은 시간과 자원을 잡아먹는 작업으로 테스터들도 배경 지식은 물론 직관을 최대한 활용해 서로 다른 사이버 공격을 재연해야 합니다.

해커들은 항상 발견한 취약점을 악용하는 데에 성공합니다. 하지만 테스터들은 부가가치가 확실한 경우에만 취약점을 공략합니다. 예를 들어 사이버 공격이 미치는 영향을 윗선에서 관리해야 한다는 필요성은 대부분의 경우 이미 고객사에서도 잘 이해하고 계십니다.

그러므로 모의 해킹의 목표를 사전에 정하고 목표를 달성했을 때 중단하십시오.

 

차량 모의 해킹 필수 항목 5번 예상치 못한 상황에 대비하라!
최상의 결과를 예측하되 최악의 상황을 상정하고 예기치 못한 상황에 대비하십시오.

차량의 모의 해킹 프로젝트는 차량 OEM사와 공급사에 심각한 결과를 초래할 수도 있습니다. 테스터들이 이미 출시된 차량의 취약점을 발견할 수 있기 때문입니다. 무선 보안 업데이트 능력이 없는 경우 차량 제조사는 강제 리콜을 실시해야 하며 이는 브랜드 이미지는 물론 경제적인 면에서 심각한 타격이 될 수 있습니다. 따라서 자동차 제조사는 모의 해킹 프로젝트를 실시할 때 항상 최악의 상황에 대비하고 상황 대응 계획을 세워야 합니다.

 

차량 모의 해킹 필수 항목 6번 조직의 기대치를 동일하게 하라
공유가 중요합니다!

OEM사와 공급사들은 다른 대형 기업들과 동일한 도전을 마주하고 있습니다. 바로 효과적인 지식 전달입니다. 종종 모의 해킹 프로젝트를 특정 부서에서 주관하면서 결과를 사내에 공유하지 않는 경우가 있습니다.

일전에 Argus Research Team이 공급사의 유닛에 대한 사전 테스트를 특정 지역에 위치한 팀에게서 요청 받은 적이 있습니다. 이후 동일한 유닛에 대해 테스트를 진행하면서 테스트 결과가 다른 지역의 팀들에게 공유되지 않았다는 것을 알게 되었습니다. 공유가 제대로 이루어지지 않으면 기업 내의 효율 저하로 이어지며 테스트된 유닛의 보안 상태를 개선하는 저희의 목적과도 멀어지게 됩니다.

Argus Research Team을 대신해서 알려드린 위 팁들이 귀사의 차량 모의 해킹 프로젝트를 최적화하는 데에 도움이 되었기를 바랍니다. 모의 해킹 프로젝트에 대한 문의 사항이나 관련 질문이 있으시면 아래 양식에 맞게 작성해 주시면 저희 모의 해킹 전문가들이 빠른 시일 내에 답변을 드리겠습니다.

Subscribe to our blog

Recent Posts
Automotive Ethernet IDS