자동차 사이버 보안

  • 내외부의 공격으로부터 시스템 강화가 필요하신가요?
  • 통합 사이버 보안을 위한 통용 방법 및 툴을 구현하고 싶으신가요?
  • ISO 27001(IT 보안), ISO 21434, SAE J3061(자동차 보안) 또는 ISO 15408(사이버 보안 공통 기준)과 같은 표준이 여러분의 환경과 관련이 있으신가요?

산업 전반적으로 사이버 보안에 대한 우려가 깊어지고 있습니다. 대부분의 환경에서 보안은 임무 수행에 필수적인데, 그 이유는 외부의 침투에 대한 시스템 개방성이 높아지고 있고 해킹을 열망하는 공격자가 존재하기 때문입니다. 더 나아가 보안은 기능, 사용자 경험, 안전에 직접 영향을 미치고 있어 제조사의 배상 책임 대상이 되었습니다. 이를테면 사이버 보안이 구현되지 않으면 기능적 안전 또한 실현할 수 없습니다.

기업은 전자 시스템의 조작과 같은 특수한 보안 과제를 효과적으로 방지해야 합니다. 보호 시스템 개발의 핵심은 보안 요구사항의 적절한 식별, 보안 기능의 체계적인 구현, 보안 요구사항이 충족되었음을 입증하는 보안 유효성 검사입니다.

솔루션

벡터 컨설팅 서비스는 사이버 보안 안전에 대한 수년간의 경험을 바탕으로 다음과 같은 영역을 지원합니다.

 

  • Vector SecurityCheck를 통한 위험분석(TARA), 상충관계 평가, 우선순위 제안, 방법론적 초기 지침
  • 임시 안전 및 보안 관리자
  • 사이버 보안 분석 및 구현을 위한 보안 컨셉 생성
  • 위협 시나리오 및 자동차 공통 기준을 기반으로 보안 요구사항 개발/구체화/검토
  • ISO 27001, SAE J3061, ISO 15408, ISO 21434(예정)에 대한 지속 가능한 적용
  • 침투 테스트, 코드 분석, 아키텍처 평가를 통한 보안 테스트
  • 보안 중점 테스트 및 복원력을 위한 방법론 및 툴 지원
  • 안전 및 보안에 중점을 둔 공급 업체를 위한 프로세스 평가
  • 관리자 및 개발자를 위한 사이버 보안 인식 교육
  • 수명주기 동안 효과적인 사이버 보안을 구현하기 위한 관리자/개발자 교육 및 코칭

장점

벡터의 컨설턴트들은  전 세계 다양한 회사와의 실무 경험을 바탕으로 축적된 노하우를 통해, 사이버 보안을 균일하고 효과적으로 구현할 수 있습니다. 전문 사이버 보안 방법론을 수명주기에 포함시킴으로써 필요한 역량을 구축하고 효율적이면서도 완벽한 구현을 보장합니다.

 

 

ISO/SAE 21434와 벡터 솔루션

자동차는 점점 더 연결되고 있고, 이로 인해 증가하는 외부 사이버 공격에 취약해지고 있습니다. 이는 탑승자와 대중의 안전을 심각하게 위협할 수 있습니다. 그러나 현존하는 표준은 안전, 긴 수명주기, 임베디드 컨트롤러 사용과 같은 자동차 엔지니어링의 고유한 사이버 보안 문제를 해결하지 못합니다. 따라서 자동차 보안에 대한 통일된 지침과 표준이 확립되어야 합니다.

ISO/SAE 21434 “도로 차량 – 사이버 보안 엔지니어링”은 미래의 자동차 보안 표준입니다. 이는 자동차 제품 개발 및  모든 관련 프로세스에 중요합니다.

ISO/SAE 21434는 전 세계 자동차 공급망의 공통 용어를 정의하고, 주요 사이버 보안 이슈에 대한 업계의 합의를 이끌어냈습니다. 차량 사이버 보안 엔지니어링에 대한 최소 기준을 설정하고 엔지니어링 품질에 대한 거버넌스 참조를 제공합니다.

펼치기

새로운 ISO/SAE 21434는 도로 차량의 전체 개발 프로세스와 수명주기를 보호하고 “보안 설계”를 촉진합니다. 이는 V-모델에 따라 요구 사항 엔지니어링, 설계, 사양, 구현, 테스트, 운영을 포함합니다.

따라서 ISO/SAE 21434는 프로세스를 지향하는 표준이며, 긴 수명주기 동안 사이버 보안을 보장하기 위해 구조화된 프로세스를 정의하는데 도움이 됩니다. 이는 특정 사이버 보안 기술, 솔루션 또는 복원 방법을 규정하지는 않습니다.

펼치기
  • 새로운 ISO/SAE 21434에 따른 개발 프로세스 정의 및 지속 가능한 구현
  • Vector SecurityCheck를 통한 위협 및 위험 분석(TARA), 상충관계 평가, 우선순위 제안, 방법론적 초기 지침
  • 종단 간(end-to-end) 보호를 위한 보안 분석 및 보안 컨셉
  • 위협 시나리오 및 자동차 공통 기준에 따른 보안 요구 개발 및 사양
  • 침투 테스트, Fuzz 테스트, 코드 분석 및 아키텍처 평가를 통한 보안 테스트 및 검증
  • 보안 중점 테스트 및 복원력을 위한 방법론 및 툴 지원
  • 공급 업체를 위한 프로세스 평가
  • 관리자 및 개발자를 위한 사이버 보안 및 ISO/SAE 21434 인식 교육
  • 수명주기 내 ISO/SAE 21434를 효과적으로 구현하기 위한 관리자 및 개발자 교육 및 코칭
  • 임시 안전 및 보안 관리자

 

펼치기

고객 참조

"벡터 컨설팅 서비스는 사이버 보안을 구현할 수 있는 CLAAS(서비스로서의 학습 컨설팅)로써 훌륭한 파트너입니다. CLAAS를 통해 벡터 팀으로부터 TARA 및 보안 엔지니어링 대한 큰 도움을 되었습니다."

 

- Alexander Grossmann, Manager

 

"벡터 컨설팅 서비스는 뛰어난 수준의 전문 지식으로 Panasonic의 사이버 보안을 지원했습니다. 보안 컨셉에 종합적인 TARA를 통합하는 저희 목표를 달성했습니다. 벡터 컨설팅 서비스의 지원은 강력하며 매우 성공적이었습니다!"

 

- Michael Prantke, Project Manager

 

동영상/튜토리얼

COMPASS SecurityCheck

Factsheet 다운로드

벡터는 베이직 소프트웨어부터 보안 컨설팅 및 감사 툴까지 완벽한 사이버 보안 포트폴리오를 제공합니다. TARA, 설계, 아키텍처 및 코드 분석, 침투 테스트, 보안 검증, Fuzzing, 교육 및 코칭에 대한 벡터만의 노하우를 활용하세요.

자세한 내용은 Factsheet Security Solutions에서 확인할 수 있습니다. 컨설팅 서비스의 장점을 알아보세요!

펼치기

벡터의 보안 검증과 테스트 서비스에는 아키텍처 및 코드 검토, 정적 코드 분석, Fuzz 테스트 및 침투 테스트가 포함되어 있습니다. 이를 통해 벡터의 전문가들은 코드 및 아키텍처 수준부터 표적 공격에 이르기까지 종합적인 보안 분석을 수행하여 시스템 약점 및 잠재적 위험을 발견할 수 있습니다. 사용하고 있는 방법과 기술은 해커 혹은 크래커가 시스템에 침입하기 위해 전개하는 방법과 유사합니다.

Factsheet Security Verification and Testing을 확인하시고, 벡터의 사이버 보안 역량에 대해 자세히 알아보세요!

 

펼치기

참조 프로젝트

초기 상황

한 자동차 OEM 선도 업체에서 "Over The Air(OTA)" 무선 소프트웨어 업데이트를 도입했습니다. 고객은 안전한 시스템에 대해 많은 경험을 가지고 있지만, 적합한 실무 방법을 구현하고 적용하기 위해 외부 지원이 필요했습니다. 고객은 위험 기반 보안 방법론과 안전한 시스템 개발 및 유지 관리에 대한 폭넓은 글로벌 경험을 보유한 벡터를 파트너사로 선정했습니다.

 

펼치기

솔루션

벡터는 사이버 보안의 평가 및 최적화 의뢰를 요청 받았습니다. 먼저 직원들과 워크샵을 통해 필요한 초기 보안 역량을 구축했습니다. 동시에 Vector SecurityCheck를 초기 기준으로 삼았습니다. 추가적으로 기존 아키텍처 및 방법론을 평가할 수 있었습니다. 이를 바탕으로 종합적인 위협 평가(TARA : Threat and Risk Analysis)를 시작했습니다. TARA 결과에서 보안 목표를 도출한 후 이를 평가했습니다. 보안 부팅과 같은 일부 메커니즘은 필요하고 또 효과적이지만, 초기 예상보다 많은 시간과 인력이 소요된다는 사실이 곧 명확해질 것입니다. 위험 지향적 접근 방식 사용을 통해 필요한 모든 단계를 종합하여 하나의 프레임 워크로 가져왔습니다. 이 프레임 워크는 수개월 내에 구현되었으며 - 마침내 보안 부팅에도 적용되었습니다.

 

펼치기

결과

벡터의 위험 중심 보안 방법을 통해 합리적인 노력만으로 주요 위협을 제거했습니다. 동시에 고객사의 모든 이해 관계자 개개인의 역할에 맞게 사이버 보안에 대한 역량과 기업 문화가 구축되었습니다. 

 

펼치기

교육 및 코칭

벡터 컨설팅 서비스는 사이버 보안 분야에 대한 종합적인 교육, 역량 강화, 코칭을 제공합니다.