WO2015053559A1 - 차량 보안 네트워크 장치 및 그 설계 방법 - Google Patents

Abstract

차량 네트워크에 대한 보안 공격/위협을 방지할 수 있는 보안 시스템이 제공된다. 복수 개의 차량 기능 요소들에 대해 평가된 리스크 레벨을 이용하여 적어도 하나의 보안 구역(security zone)이 설정된다. 그리고 보안 구역의 리스크 레벨에 상응하는 보안 대책(security countermeasure)이 보안 구역의 통로(conduit)에 배치되어 게이트 키핑을 수행할 수 있다.

Description

차량 보안 네트워크 장치 및 그 설계 방법

차량 시스템 보안(vehicle system security) 분야에 연관되며, 보다 특정하게는 차량에 포함되는 기능 요소들(functional elements)로의 네트워크 접근에 대한 보안 장치 및 그 설계 방법에 연관된다.

최근 자동차 산업 환경의 변화로 인해 차량 내 부품 및 시스템 중 전자전기 장치 부품(이하 '전장부품')의 점유율이 증가하고 있으며, 소프트웨어의 중요도도 증가하고 있다. 그리고 차량 내부의 분산 네트워크를 통한 ECU(Electronic Control Unit) 간의 통신으로 다양한 기능 및 서비스가 제공되고 있다. 이에 따라 자동차 기능안전성에 대한 중요성이 강조되고 있고, 기능안전성을 고려한 차량 설계에 관한 국제표준인 ISO 26262가 제정되었다. 자동차 기능안전성은, 자동차의 전장(電裝)부품의 고장율을 줄여 제품의 신뢰성을 높이고, 고장 진단 및 안전 메커니즘을 통해 운전자의 안전성을 높이며, 제품 설계 프로세스와 유지 보수 시스템을 통해 차량의 가용성을 높이는 등의 내용에 연관된다.

나아가, 자동차는 정보통신 기술을 이용하여, 차량 내부의 부품간 통신, 차량과 차량 주변 교통 인프라스트럭처 간의 통신(V2I), 차량과 주변 차량 간의 통신(V2V), 및 차량과 운전자의 스마트 폰 간의 통신을 통한 다양한 서비스를 제공하도록 진화하고 있다. 이렇게 차량과 차량부품에 네트워크 통신이 도입됨으로써, 최근 관심이 높아지고 있는 군집 주행 및 자율 주행 등도 가능할 것이다.

그러나, 이러한 전장부품과 소프트웨어 점유율의 증가, 및 통신 연결성(connectivity)에 의한 서비스 제공은 보안 위험에 노출될 수 있다. 이를테면, 보안 공격에 의해 전장부품이나 소프트웨어에 고의적인 오류가 발생되는 것은 기능안전성으로 보장하는 가용성 및 안전성을 훼손시킬 수 있다.

그런데 ISO 26262에서는 시스템적 설계 오류 및 무작위 결함(failure)을 고려하여 위험을 분석할 뿐이고, 보안 공격, 이를테면 악성코드나 해킹에 의한 차량이나 차량부품 오작동 유발에 의한 위험은 고려하지 않고 있다.

실시예들에 따르면, 차량에 대한 보안 위험을 분석하고 이를 고려하여 보안 대응책(security countermeasure)을 제공하는 차량 보안 네트워크 장치가 제공된다. 또한, 차량 보안 네트워크를 설계(design)하는 방법이 제공된다.

일측에 따르면, 차량 보안 네트워크 장치가 제공된다. 장치는 차량 보안 리스크 평가 매트릭스에 기초하여 평가된 리스크 레벨이 동일한 복수 개의 기능 요소를 포함하는 제1 보안 구역을 외부 네트워크와 연결하는 통로; 및 상기 통로 상에 배치되어 상기 복수 개의 기능 요소에 대한 접근을 제어하는 제1 게이트 키퍼를 포함한다.

일실시예에 따르면, 상기 리스크 레벨이 미리 지정된 등급 이상인 경우, 상기 제1 게이트 키퍼는 복수 개의 서로 독립적인 보안 요소를 포함할 수 있다. 이 경우, 상기 복수 개의 서로 독립적인 보안 요소 중 적어도 하나는 하드웨어-기반(hardware-based) 보안 요소에 의해 구현될 수 있다. 예시적으로, 그러나 한정되지 않게, 상기 하드웨어-기반 보안 요소는 PUF (Physical Unclonable Function)에 의해 홀드되는(hold by PUF) 인증 키(authentication key)를 사용하는 것일 수 있다. 인증 키가 PUF에 의해 홀드된다는 것은, 암호화/복호화 알고리즘에 필요한 적어도 하나의 키가 PUF에 의해 생성되거나 및/또는 보유된다는 것으로 이해될 수 있다.

한편 일실시예에 따르면, 상기 미리 지정된 등급은, 분류 가능한 보안 레벨들 중 탑 레벨(top level)일 수 있다. 실시예들에서는 리스크 레벨을 3개 또는 4개로 구별한다. 리스크 레벨은 목표 보안 레벨(target security level)일 수 있다.

그리고 일실시예에 따르면, 상기 리스크 레벨은, 보안 공격에 의한 피해 가능성 레벨(D: level of 'likelihood of Damage'), 피해 발생 시 심각성 레벨(S: level of 'Severity'), 및 피해 발생 시 통제 가능성 레벨(C: level of 'Controllability')에 대한 평가 값들을 이용하여 리스크 평가 매트릭스로부터 룩업되는 결과일 수 있다.

예시적으로, 그러나 한정되지 않게, 차량 기능 요소가 보안 공격에 의해 피해를 입을 가능성(likelihood)이 높은 경우, 상기 피해 가능성 레벨(D)은 높은 것으로 평가될 수 있다. 일실시예에 따르면, 상기 보안 공격에 의한 피해 가능성 레벨(D)은, 보안 위협의 실현 가능성 레벨(T: level of 'Threat realized') 및 취약점 노출 레벨(V: level of 'Vulnerability Exploited')의 조합에 의해 결정될 수 있다.

그리고 보안 공격이 성공한 경우에 피해의 정도, 예를 들면 사람의 상해 정도가 심각할수록 상기 심각성 레벨(S)가 높은 것으로 평가될 수 있다. 또한 발생한 피해에 대해 운전자(driver)나 외부 통제자 등이 제어 할 수 있는지에 따라 통제 가능성 레벨(C)이 평가될 수 있다. 예시적으로 상기 피해 발생 시 심각성 레벨(S), 및 상기 피해 발생 시 통제 가능성 레벨(C)은 ISO 26262에 의해 평가되는 값일 수 있다.

한편 일실시예에 따르면, 상기 설정되는 보안 구역은 계층적(hierarchical)일 수 있다. 이를테면 상기 제1 보안 구역은, 상기 제1 보안 구역에 대응하는 상기 리스크 레벨 보다 낮은 리스크 레벨을 갖는 제2 보안 구역의 하위 구역(sub zone)일 수 있다. 이 경우, 상기 차량 보안 네트워크 장치는, 상기 제2 보안 구역과 외부 네트워크 사이의 통로 상에 배치되어 상기 제2 보안 구역 내로의 접근을 제어하는 제2 게이트 키퍼를 더 포함할 수 있다. 본 실시예에서 상기 제1 게이트 키퍼의 수퍼 존(super zone)인 상기 제2 게이트 키퍼는, 상기 제1 게이트 키퍼 보다 낮은 수준의 보안을 달성하는 보안 요소를 포함할 수 있다.

다른 일측에 따르면, 차량 보안 네트워크 디자인 장치가 제공된다. 상기 장치는 적어도 하나의 프로세서를 포함한다. 그리고 장치는, 차량의 CAN (Controller Area Network)에 연결되는 복수 개의 기능 요소들 각각에 대응하여, 보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)이 입력되는 경우, 리스크 평가 매트릭스로부터 룩업함으로써 상기 복수 개의 기능 요소들에 대한 리스크 레벨을 할당하는 레벨 할당부(risk level assigner); 상기 할당된 리스크 레벨에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 적어도 하나의 보안 구역을 설정하는 존 설정부(zone setter); 및 상기 적어도 하나의 보안 구역 중 제1 보안 구역에 대응하여, 상기 제1 보안 구역의 제1 리스크 레벨에 대응하는 제1 게이트 키퍼를 상기 제1 보안 구역과 외부 네트워크 사이의 통로에 배치하는 디자인부(design unit)를 포함할 수 있다. 상기 레벨 할당부, 상기 존 설정부, 및 상기 디자인부의 적어도 하나는 프로그래밍 된 알고리즘에 따라 동작하는 상기 적어도 하나의 프로세서에 의해 구현될 수도 있다.

일실시예에 따르면 상기 존 설정부는, 상기 할당된 리스크 레벨이 동일한 기능 요소들을 그룹핑 할 수 있다. 이 때 상기 존 설정부는, 상기 할당된 리스크 레벨과 상기 복수 개의 기능 요소들의 핵심 보안 요구사항을 포함하는 보안 레벨 벡터를 계산할 수 있다. 그리고, 존 설정부는 상기 보안 레벨 벡터에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 상기 적어도 하나의 보안 구역을 설정할 수 있다.

한편, 상기 제1 리스크 레벨이 미리 지정된 등급 이상인 경우, 상기 제1 게이트 키퍼는 복수 개의 서로 독립적인 보안 요소를 포함할 수 있다. 그리고 상기 복수 개의 서로 독립적인 보안 요소 중 적어도 하나는 하드웨어-기반 보안 요소에 의해 구현될 수 있다. 예시적으로, 그러나 한정되지 않게, 상기 하드웨어-기반 보안 요소는 PUF (Physical Unclonable Function)에 의해 홀드되는 인증 키를 사용하는 것일 수 있다.

또 다른 일측에 따르면, 적어도 하나의 프로세서를 포함하는 하드웨어에 의해 수행되는 차량 보안 네트워크 디자인 방법이 제공된다. 상기 방법은, 리스크 평가 매트릭스를 이용하여, 복수 개의 차량 기능 요소들에 대한 리스크 레벨을 평가하는 평가 단계; 상기 평가된 리스크 레벨에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 적어도 하나의 보안 구역을 설정하는 설정 단계; 및 상기 적어도 하나의 보안 구역 중 제1 보안 구역에 대응하여, 상기 제1 보안 구역의 제1 리스크 레벨에 대응하는 보안 수준의 제1 게이트 키퍼를 상기 제1 보안 구역과 외부 네트워크 사이의 통로에 배치하는 디자인 단계를 포함할 수 있다.

일실시예에 따르면, 상기 리스크 레벨은 보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)에 대한 평가 값들을 이용하여 상기 리스크 평가 매트릭스로부터 룩업되는 결과일 수 있다. 그리고 상기 보안 공격에 의한 피해 가능성 레벨(D)은, 보안 위협의 실현 가능성 레벨(T) 및 취약점 노출 레벨(V)의 조합에 의해 결정될 수 있다. 예시적으로 상기 피해 발생 시 심각성 레벨(S), 및 상기 피해 발생 시 통제 가능성 레벨(C)은 ISO 26262에 따라 평가되는 값일 수 있다.

도 1은 일실시예에 따른 차량 보안 네트워크 장치를 도시하는 블록도이다.

도 2는 일실시예에 따른 보안 구역 및 통로의 구조를 도시한다.

도 3a 및 3b는 일부 실시예들에 따른 게이트 키퍼들의 구현을 도시한다.

도 4a 및 4b는 일부 실시예들에 따른 하드웨어-기반 보안 요소의 일부를 도시한다.

도 5는 일실시예에 따른 PUF를 설명하기 위한 도면이다.

도 6은 일실시예에 따른 차량 보안 네트워크 장치의 디자인 방법을 도시하는 흐름도이다.

도 7은 일실시예에 따른 차량 보안 네트워크 장치 및 교통 시스템을 설명하기 위한 개념도이다.

도 8은 일실시예에 따른 차량 보안 네트워크 장치의 제어 접근 경로를 설명하기 위한 개념도이다.

도 9는 일실시예에 따른 차량 보안 네트워크 디자인에 의한 보안 구역 및 통로를 설명하기 위한 개념도이다.

도 10은 일실시예에 따른 차량 보안 네트워크 디자인 장치를 도시한다.

이하에서, 일부 실시예들를, 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.

아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.

또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.

도 1은 일실시예에 따른 차량 보안 네트워크 장치를 도시하는 블록도이다.

일실시예에 따르면, 장치(100)는 제1 보안 구역(security zone)을 외부 네트워크(external network)와 연결하는 유일한 네트워크 경로인 제1 통로(conduit) (110)을 포함한다. 예시적으로 제1 보안 구역은 복수 개의 차량 기능 요소(functional element)를 포함하는 논리적 및/또는 물리적 구역으로 이해될 수 있다. 동일한 보안 구역에 포함되는 기능 요소들은 동일한 리스크 레벨을 가지는 것일 수 있다.

상기 리스크 레벨은, 보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)에 대한 평가 값들을 이용하여 리스크 평가 매트릭스로부터 룩업되는 결과리 수 있다. 이 경우, 상기 보안 공격에 의한 피해 가능성 레벨(D)은, 보안 위협의 실현 가능성 레벨(T) 및 취약점 노출 레벨(V)의 조합에 의해 결정될 수 있다. 그리고 상기 피해 발생 시 심각성 레벨(S), 및 상기 피해 발생 시 통제 가능성 레벨(C)은 ISO 26262에 의해 평가되는 값일 수 있다. 이러한 리스크 평가에 대한 상세한 내용은 도 6을 참조하여 보다 상세히 후술한다.

한편, 장치(100)는 상기 통로(110)에 배치되어 상기 제1 보안 구역으로의 인증되지 않은 접근을 차단하는 제1 게이트 키퍼(120)를 포함한다. 제1 게이트 키퍼(120)는 제1 통로(110)에 연관되는 구역의 리스크 레벨 및 요구 보안 레벨에 대응하는 수준의 것으로 결정된다. 리스크 레벨이 높을수록, 게이트 키퍼는 보안 수준이 높은 것으로 선택될 수 있다.

예시적으로, 리스크 레벨 및 요구되는 보안 레벨이 최고 수준인 경우, 게이트 키퍼는 복수 개의 보안 요소 - 상기 보안 요소들은 서로 독립적일 수 있음 -에 의해 구현될 수 있다. 그리고, 상기 복수 개의 보안 요소 중 적어도 하나는 하드웨어-기반 보안 요소를 포함할 수 있다. 하드웨어-기반 보안 요소의 일예가 PUF (Physical Unclonable Function)에 의해 홀드되는 인증 키를 사용하는 보안 요소이다.

보안 구역은 네트워크 토폴로지 상에서 다른 구역과 구분될 수 있다. 그리고 서로 다른 보안 구역들은 독립적일 수도 있지만, 일부 예에서는 어느 한 구역이 다른 구역의 하위 구역(sub-zone)일 수 있다. 이를테면 상기 제1 보안 구역은, 상기 제1 보안 구역에 대응하는 상기 리스크 레벨 보다 낮은 리스크 레벨을 갖는 제2 보안 구역(도시되지 않음)의 하위 구역일 수 있다. 이 경우, 상기 차량 보안 네트워크 장치는, 상기 제2 보안 구역과 외부 네트워크 사이의 통로 상에 배치되어 상기 제2 보안 구역 내로의 접근을 제어하는 제2 게이트 키퍼(도시되지 않음)을 더 포함할 수 있다. 제2 보안 구역에 대해 요구되는 보안 레벨이 제1 보안 구역에 대해 요구되는 보안 레벨에 비해 상대적으로 더 낮기 때문에, 제2 게이트 키퍼는 상기 제1 게이트 키퍼(120) 보다 낮은 수준의 보안을 달성하는 보안 요소를 포함할 수 있다. 보다 구체적으로 도 2를 참조하여 설명한다.

도 2는 일실시예에 따른 보안 구역 및 통로의 구조를 도시한다.

기능 요소(FE: Functional Element or Functional Unit)들에 대한 리스크 평가에 의해 복수 개의 구역들과 통로들이 설정되었다. 예시적으로 보안 구역(201)은 동일한 보안 요구 레벨을 갖는 기능 요소들 FE11, FE12 및 FE13을 포함하며, 통로(210)을 통해 구역(201)의 외부와 연결된다. 이 과정에서 통로(210)에 게이트 키퍼(211)가 배치되어, 외부로부터의 구역(201)에 대한 접근을 제어한다.

그리고 구역(202)은 기능 요소 FE21, FE22 및 FE23을 포함하며, 통로(220)을 통해 구역(202)의 외부와 연결된다. 통로(220)에는 게이트 키퍼(221)가 배치되어, 외부로부터의 구역(202)에 대한 접근을 제어한다. 구역(202)는 서브 구역(203)을 포함할 수도 있다. 이러한 예에 의해 계층적 구역 설정(hierarchical zone setting)이 이해될 수 있다.

구역(203)은 기능 요소 FE31 및 FE32를 포함하며, 통로(230)을 통해 구역(203)의 외부와 연결된다. 통로(230)에는 게이트 키퍼(231)가 배치되어, 구역(203)의 외부로부터의 구역(203)에 대한 접근을 제어한다. 상술한 바와 같이, 게이트 키퍼(221)는 게이트 키퍼(231)보다 낮은 수준의 보안을 달성하는 보안 요소를 포함할 수 있다. 다시 말해, 서브 구역(203)의 보안을 유지하는 게이트 키퍼(231)은 게이트 키퍼(221)보다 더 높은 수준의 보안 요소, 이를테면 하드웨어-기반 보안 요소에 의해 구현될 수 있다. 구체적인 내용은 도 3a 이하를 참조하여 후술한다.

도 3a는 일실시예에 따른 게이트 키퍼 구현을 도시한다.

상술한 바와 같이 게이트 키퍼(300)는 하나 또는 그 이상의 보안 요소(security element)를 지칭하는 것으로 여하간의 형태로 구현될 수 있으며, 명칭이나 도시된 형태에 의해 한정적으로 해석되어서는 안 된다.

도시된 게이트 키퍼(300)는, 제1 보안 요소(SE) (310) 및 제2 보안 요소(320)를 포함할 수 있다. 여기서는 제1 보안 요소(310) 및 제2 보안 요소(320)가 하나의 칩 또는 패키지 형태로 구현된 것을 도시하였으나, 물리적으로 하나의 패키지가 아닌 별개의 패키지로 구현되는 실시예도 가능함은 물론이다.

제1 보안 요소(310)는 네트워크 연결성을 제어할 수 있으며 하드웨어 및/또는 소프트웨어에 의한 보안을 제공한다. 이를테면, 제1 보안 요소(310)는 스마트 카드에 대응할 수 있다. 그리고, 제2 보안 요소(320)는 하드웨어-기반 보안 요소일 수 있다. 예를 들어, 하드웨어-기반의 일회성패스워드(HW OTP: hardward-based One-Time Password) 모듈일 수 있다.

일실시예에 따르면, 상기 제1 보안 요소(310) 및 제2 보안 요소(320)가 하나의 보안 구역(security zone)으로의 접근을 제어하는 게이트 키핑을 수행한다. 복수 개의 보안 요소가 서로 독립되는 인증을 수행할 수 있으므로 멀티 팩터 보안(security by multi-factor) 또는 멀티 시스템 보안(security by multi-system) 이 구현된다. 멀티 시스템 보안을 제공하기 위한 보안 요소들 중, 하드웨어-기반 보안의 제2 보안 요소(320)의 구체적 동작 예시는 도 4a 및 도 4b를 참고하여 보다 상세히 후술한다.

한편, 이러한 멀티 시스템 보안은 최고 수준의 보안 기법 다중화 설계가 요구되는 보안 레벨을 위해 제공될 수 있다. 예를 들어, 차량 기능 요소들에 대해 평가된 보안 레벨이 Risk 1 내지 Risk 4의 4 가지라면, 이 중 보안 위험이 가장 큰 Risk 4에 대응하는 기능 요소 및/또는 보안 구역을 위한 보안 대책(security countermeasure)로서 멀티 시스템 보안을 제공하는 게이트 키퍼(300)가 구비된다. 물론 최고 위험 레벨에 대응하여서뿐만 아니라, 경우에 따라서는 차순위 위험 레벨 Risk 3 이상에는 이러한 멀티 시스템 보안이 제공될 수도 있다.

도 3b는 다른 일실시예에 따른 게이트 키퍼의 구현을 도시한다.

제시된 도 3b의 실시예에서는 SD (Secure Digital) 카드(301)에 대한 및/또는 SD 카드(301)로부터의 액세스를 제어하기 위해, 게이트 키퍼로서의 복수 개의 보안 요소들이 배치되었다. SD 카드(301)도 차량이나 차량에 탑재된 디바이스의 데이터 저장 및 전송에 이용될 수 있어, 평가되는 리스크 레벨이 높다면 SD 카드(301)을 위해 통로에 배치되는 게이트 키퍼가 최고 수준의 보안 요소, 이를테면 상기한 하드웨어-기반 보안 요소를 포함해야 한다. SD카드 컨트롤러(302)나 메모리(303)의 기능은 상용화되어 있는 SD 카드의 그것들과 유사하다.

제1 보안 요소로서 스마트 카드(311)가 배치되고, 제2 보안 요소로서 보안칩(321)이 배치되었다. 그리고, 이들 중 적어도 하나는 하드웨어-기반 보안 요소일 수 있다.

도 4a는 일실시예에 따른 하드웨어-기반 보안 요소의 일부를 도시한다.

일실시예에 따르면, 보안 요소(400)는 도 3a와 도 3b를 참조하여 설명한 하드웨어-기반의 보안 요소들(320 또는 321)의 적어도 일부에 대응할 수 있다. 예시적으로, 보안 요소는 외부의 인증 기관(CA: Certification Authority)와 공개키-개인키 기반 암복호화가 가능하도록, 개인키를 생성하는 제1 PUF(430)을 포함할 수 있다. PUF의 구현 예는 도 5를 참조하여 보다 상세히 후술한다. 여기서 CA는 보안 구역의 외부의 인증 기관만을 의미하는 것이 아니라, 보안 요소(400) 외부의 임의의 보안 인증 수행 주체(entity)를 포함할 수 있다. 예를 들어, CA는 경우에 따라 보안 구역 내부의 ECU일 수도 있고, 또는 기능 요소나 멀티 시스템 보안을 구성하는 다른 보안 요소일 수도 있다.

또한, 보안 요소(400)는 보안 요소(400)를 식별하는 고유의 PIN(Personal Identification Number)을 생성하는 제2 PUF(410)을 포함할 수 있다. 이하에서는, 제1 PUF(430)를 'PUF(개인키)'로 지칭할 수 있으며, 제2 PUF(410)를 'PUF(PIN)'으로 지칭할 수도 있다.

일부 실시예에서, 보안 요소(400)에 차단부(420)가 포함될 수 있다. 이 차단부(420)는 장치(400)가 배포/사용되기에 앞서서 장치(400)를 식별하는 고유의 PIN을 안전하게 추출하는 경로가 된다. 차단부(420)는 안전한 상태에서 최초로 PIN이 추출된 이후에는 물리적으로 PIN 추출 경로(PIN_out)을 완전히 차단하는 물리적 및/또는 논리적 구성이며, 이를테면 도시된 바와 같이 퓨즈(Fuse)에 의해 구현될 수 있다.

공개키 생성부(440)는 PUF(개인키)가 생성한 개인키를 이용하여, 개인키에 대칭이 되는 공개키를 생성할 수 있다. 공개키가 외부의 인증 기관(CA)으로 전달되어야 하는 경우에는, 대칭키 기반 암호화 모듈(450)이 PUF(PIN)(410)이 생성한 PIN을 키 값으로 하여 상기 공개키를 암호화한 P를 생성하고, 이 P가 외부의 인증 기관(CA)으로 전달될 수 있다.

외부의 인증 기관은 챌린지-리스폰스(Challenge - Response) 방식으로 OTP 인증 절차가 필요한 경우, 챌린지에 해당하는 랜덤 넘버 R을 상기 공개키로 암호화한 Q를 보안 요소(400)에 보낸다. 보안 요소(400)의 고유한 공개키로 암호화된 R인 Q는, 보안 요소(400)의 개인키를 이용해서만 복호화될 수 있고, 따라서 복호화 모듈(460)은 상기 개인키를 이용하여 Q를 복호화하여 챌린지에 해당하는 R을 복원한다. 그리고 OTP 생성부(470)은 이 R을 이용하여 OTP를 생성할 수 있다. 이 OTP가 다시 외부의 인증 기관으로 제공되면, 외부의 인증 기관은 스스로 상기 R을 이용하여 생성한 OTP와의 일치 여부를 확인함으로써 OTP 인증 절차를 수행한다.

도 4b는 다른 일실시예에 따른 하드웨어-기반 보안 요소의 일부를 도시한다. 도시된 바와 같이, 보안 요소(401)은 도 4a의 실시예에서 제시된 보안 요소(400)과 유사한 구조를 가진다. PUF(PIN)(411) 내지 복호화 모듈(461)의 구성은 도 4a에서 설명한 바에 기초하여 유사하게 이해될 수 있다.

한편, 도 4a의 실시예서는 OTP 인증을 위해 OTP 생성부(470)가 R을 이용하여 OTP를 생성하였지만, 도 4b의 실시예에서는 전자서명 생성부(471)이 전자서명을 생성하여 제공한다. 이러한 전자서명은 인증에 활용될 수 있다.

도 5는 일실시예에 따른 PUF를 설명하기 위한 도면이다.

PUF를 구현하는 방법에는 다양한 실시예들이 존재한다. 따라서, 후술하는 일부 실시예나 도시된 내용에 의해 PUF 구현이 한정적으로 해석되지 않는다.

PUF는 예측 불가능한 (Unpredictable) 디지털 값을 제공할 수 있다. 개개의 PUF들은 정확한 제조 공정이 주어지고, 동일한 공정에서 제조되더라도, 상기 개개의 PUF들이 제공하는 디지털 값은 다르다. 따라서, PUF는 복제가 불가능한 POWF (Physical One-Way Function practically impossible to be duplicated)로 지칭될 수도 있고, 또한 PRF(Physical Random Function)으로 지칭될 수도 있다.

이러한 PUF는 하드웨어-기반 보안 요소의 적어도 일부분으로서 포함되며, 인증을 위한 암호 키의 생성에 이용될 수 있다. 이를테면, 디바이스를 다른 디바이스와 구별하기 위한 유니크 키(Unique key to distinguish devices from one another)를 제공하기 위해 PUF가 이용될 수도 있다.

PUF를 구현하기 위해 IC의 최상위 레이어(top layer)에 랜덤하게 도핑(doping)된 입자를 이용하여 코팅(Coating) PUF를 구현한 예도 있었고, 래치(latch)와 같은 하드웨어 칩에 일반적으로 쓰이는 CMOS 소자 내부의 공정 변이를 이용하여 FPGA에서도 구현 가능한 최근의 버터플라이(butterfly) PUF 등이 구현된 예도 있었다.

그런데, PUF를 PIN 생성에 활용하는 응용이 상용화될 수 있도록 신뢰 가능 하려면 PUF 회로 자체의 물리적 복제 불가능성, 생성된 PIN 값의 랜덤성 및 한 번 생성된 PIN의 값이 시간의 흐름에 따라 변화하지 않는 시불변성이 모두 보장되어야 한다. 그러나 종래의 대부분의 PUF 회로들은 PUF 또는 PRF로서 충족시켜야 하는 랜덤성과 값의 시불변성 중 적어도 하나를 높은 수준으로 보장하지 못했기 때문에 상용화에 어려움이 있었다.

실시예들에서 사용되는 PUF는 이러한 종래의 문제점을 해결하여 시불변성과 랜덤성을 굉장히 신뢰할 수 있는 수준으로 보장하면서도 반도체 제작 과정에서 매우 낮은 단가로 생성 가능하다. 일실시예에 따르면, PUF가 생성한 PIN의 랜덤성과 시불변성을 동시에 만족하기 위해 반도체 공정에서 존재하는 노드들 사이의 단락 여부 등에 의한 무작위성을 이용하여 랜덤한 디지털 값을 만들어 낸다.

도 5에 도시된 일실시예에 따른 PUF는 반도체 칩 내의 전도성 레이어(metal) 사이를 전기적으로 연결하기 위해 사용되는 콘택(contact) 또는 비아(via)의 크기를 공정에서 연결 여부가 확실한 크기, 즉 디자인 룰보다 작은 형태로 구현하여, 그 단락 여부가 랜덤하게 결정되게 한다. 즉, 의도적으로 디자인 룰을 위반하여 랜덤한 PIN 값을 생성하는 것이다. 이러한 새로운 PUF 회로는 매우 간단한 단락 회로로 구성되기 때문에 별도의 추가적인 회로나 공정상의 과정이 없고, 특별한 측정 장치도 필요 없기 때문에, 쉽게 구현이 가능하다. 그리고 공정의 특성을 이용하기 때문에 값의 랜덤성을 유지하면서 안정성을 충족시킬 수 있다.

도시된 바를 참조하여 일실시예에 따른 PUF 생성을 보다 구체적으로 설명한다. 반도체 제조 공정에서 메탈 1 레이어(502)와 메탈 2 레이어(501) 사이에 비아들이 형성된 모습의 도시되었다. 비아 사이즈를 디자인 룰에 따라 충분히 크게 한 그룹(510)에서는 모든 비아가 메탈 1 레이어(502)와 메탈 2 레이어(501)을 단락시키고 있으며, 단락 여부를 디지털 값으로 표현하면 모두 0이 된다.

한편, 비아 사이즈를 너무 작게 한 그룹(530)에서는 모든 비아가 메탈 1 레이어(502)와 메탈 2 레이어(501)을 단락시키지 못하고 있다. 따라서 단락 여부를 디지털 값으로 표현하면 모두 1이 된다.

그리고, 비아 사이즈를 그룹(510)과 그룹(530) 사이로 한 그룹(520)에서는, 일부의 비아는 메탈 1 레이어(502)와 메탈 2 레이어(501)를 단락시키고, 다른 일부의 비아는 메탈 1 레이어(502)와 메탈 2 레이어(501)를 단락시키지 못하고 있다.

일실시예에 따른 PUF는, 그룹(520)과 같이 일부의 비아는 메탈 1 레이어(502)와 메탈 2 레이어(501)를 단락시키고, 다른 일부의 비아는 메탈 1 레이어(502)와 메탈 2 레이어(501)을 단락시키지 못하도록 비아 사이즈를 설정하여 구성된다. 비아 사이즈에 대한 디자인 룰은 반도체 제조 공정에 따라 상이한데, 이를테면 0.18 미크론(um)의 CMOS(Complementary metal-oxide-semiconductor) 공정에서 비아의 디자인 룰이 0.25 미크론으로 설정된다고 하면, PUF를 구현하기 위한 비아 사이즈를 0.19 미크론으로 설정하여, 메탈 레이어들 사이의 단락 여부가 확률적으로 분포하도록 한다. 이러한 단락 여부의 확률 분포는 50%의 단락 확률을 갖도록 하는 것이 이상적이다. 비아 사이즈 설정은, 구체적인 특정 반도체 공정에 따라 실험 및 조정에 의하여 이루어질 수 있다. 이러한 실시예에 의해 PUF가 비밀키 또는 개인키를 랜덤성과 시불변성이 보장되게 제공함으로써 물리적 공격에 대응하기 위한 탬퍼 저항(tamper-resistance)는 필요로 하지 않는다.

디패키징, 레이아웃 분석, 메모리 공격 등의 물리적 공격에 대응하기 위해 암호화 모듈에 주로 사용되는 tamper-resistance는 장치에 대한 해제 시도 시 기억 장치의 내용 소거 등을 통해 장치의 기능을 정상적으로 동작할 수 없도록 하여 내부의 내용을 보호한다. 그러나, 부가적인 보호 장치를 필요로 하거나 구현 수단이 복잡해지므로 비용이 증가할 뿐만 아니라 사용자의 실수 또는 고장에 의해 데이터 소거 등의 의도치 않은 장비 손상의 가능성을 가지고 있다. 그런데, 상기와 같이 도 5에서 설명된 원리에 의해 PUF를 구현하면 이러한 문제점이 없다.

또한, 이러한 방법에 의해 구현된 PUF는 내부의 각 셀을 분리하여 관찰하기가 매우 어렵기 때문에 수 만개 내지 수십 만개 게이트의 칩 내부에서 PUF 관련 셀들을 골라 그 값을 관찰한다는 것은 불가능하다. 그리고 일부 PUF는 전원이 들어온 상태에서 동작할 때에만 값이 정해지기 때문에 물리적 공격을 위한 디패키징 등의 과정에서 칩의 일부가 손상될 경우 평소의 값과 다른 값을 갖게 되어 본래 값을 추측하기가 매우 어렵다. 따라서, 본 발명이 PUF를 사용하면 탬퍼 저항과 같은 추가 비용도 요구되지 않으면서, 물리적 공격에 강인한 구성을 가지면서 랜덤성과 시불변성이 유지되는 비밀키와 개인키를 제공할 수 있다.

상술한 바와 같이, 최고 보안 수준이 요구되는 위험 레벨 Risk 4의 보안 구역에 대해서는 멀티 시스템 보안을 제공하는 게이트 키퍼가 통로(conduit)에 배치되며, 이 게이트 키퍼에 포함되는 복수 개의 보안 요소들 중 적어도 일부는 상기 PUF에 의해 구현됨으로써 매우 높은 수준의 보안이 보장된다.

도 6은 일실시예에 따른 차량 보안 네트워크 장치의 디자인 방법을 도시하는 흐름도이다.

일실시예에 따르면, 단계(610)에서 리스크 레벨 평가의 대상이 되는 시스템을 정의한다. 상기 시스템은 보안 대책의 제공 여부 및 보안 대책의 종류 판단 대상이 되는 차량, 차량 기능 요소들, 교통 시스템 중 적어도 하나를 포함한다. 이러한 과정에서 리스크 레벨 평가 대상 시스템뿐만 아니라 각 시스템의 네트워크 연결 구조 및 자동차 설계 상의 기능 구분 등도 파악될 수 있다. 이러한 정의는 외부 입력에 의한 파라미터 설정으로 이해될 수도 있다. 또한, 이 단계에서 시스템에 서 요구하는 최소한의 퍼포먼스나, 추후에 보안 대응책이 선택되어 구현되어도 만족해야 할 요구 조건의 범위가 지정될 수 있다.

단계(620)에서 평가 대상의 기능 요소들에 대한 리스크 평가가 수행된다. 여기서, 자동차 및 교통 시스템의 리스크 레벨(risk level)은 보안 공격에 의해 피해를 입을 가능성 레벨(D: 'likelihood of Damage')과, 피해 발생 시 발생하는 사고 영향의 심각성 레벨(S: level of 'Severity')을 조합하고, 또한 사고가 발생할 수 있는 상황에서 운전자나 시스템의 통제로 인해 위험을 벗어날 수 있는 통제가능성 레벨(C: level of 'Controllability')을 조합함으로써 평가된다. 이러한 피해 가능성 레벨 D, 피해 심각성 레벨 S 및 통제가능성 레벨 C는 이 단계에서 평가될 수도 있고, 미리 평가된 내용에 기초하여 설정 값으로서 입력되는 것일 수도 있다. 또한, 심각성과 통제가능성은 기존의 ISO 26262 내용에 소개된 개념을 사용할 수 있지만, 공격에 의한 피해 가능성(likelihood)은 새로 정의하여야 한다.

먼저, 보안 공격에 의해 피해를 입을 가능성의 레벨 D에 관해 설명한다. 일실시예에 따르면, 외부의 보안 공격에 의한 피해 가능성 레벨 D는, 보안 위협의 실현 가능성 레벨(T: level of 'Threat realized') 및 취약점 노출 레벨(V: level of 'Vulnerability Exploited')의 조합에 의해 결정될 수 있다.

여기서 보안 위협이 실현될 가능성 레벨 T는 보안 공격에 대한 잠재적인 가능성으로 평가를 하며, 이는 공격자의 인적 자원, 물적 자원, 소요시간 등을 고려하여 정해진다. 이를테면, 공격에 요구되는 관련지식 및 경험의 수준이 낮을 수록, 공격에 필요한 장비 수준이 낮을 수록, 공격에 걸리는 시간이 작을수록 위협 실현 가능성 레벨은 높게 평가된다. 아래 표 1 내지 표 2에서 예시적인 평가 매트릭스가 소개되었다.

그리고 보안 취약점 노출 레벨 V는 대상 시스템의 개방성에 따라 평가를 하며, 이는 공격 대상의 정보가 외부에 어떻게 공개되는지, 얼마나 자주 사용되는지, 접근하는 방법이 무엇인지에 따라 평가한다. 사용 빈도가 높을 수록, 정보가 많이 공개되어 있는 수록, 그리고 접근 수준이 개방적일수록 보안 취약점 노출 레벨 V는 높게 평가된다. 아래 표 3 내지 표 4에서 예시적인 평가 매트릭스가 제시되었다.

상술한 표 1 내지 표 4의 예시적인 매트릭스에 의해 보안 위협의 실현 가능성 레벨 T 및 취약점 노출 레벨 V가 판단되면, 이들의 조합에 의해 보안 공격에 의해 피해를 입을 가능성 레벨 D는 아래와 같이 판단될 수 있다. 예시적인 평가 매트릭스가 아래 표 5에 제시된다.

한편, 리스크 레벨을 평가하기 위해(for assessment of risk level) 상기 피래 가능성 레벨 D와 함께 고려되는 피해 심각성 레벨 S는 아래와 같이 판단될 수 있다. 예시적인 평가 매트릭스가 아래 표 6에서 소개된다.

그리고, 사고가 발생할 수 있는 상황에서 운전자나 별도 시스템에 의한 통제로 인해 위험을 벗어날 수 있는 통제가능성 레벨 C는 아래와 같이 판단될 수 있다. 예시적인 평가 매트릭스가 아래 표 7에서 제시된다.

이상과 같이, 보안 공격에 의한 피해 가능성 레벨 D, 피해 발생 시 발생하는 사고 영향의 심각성 레벨 S, 및 사고가 발생할 수 있는 상황에서 운전자 등의 통제가능성 레벨 C가 판단되면, 리스크 레벨(risk level)은 이들을 조합하여 아래와 같이 평가될 수 있다. 예시적인 평가 매트릭스가 표 8에서 소개된다.

한편, 상기 표 1 내지 표 8을 설명하여 설명된 평가 레벨들은 등급화 된 결과로 표현될 수도 있지만, 다른 실시예에서는 각각의 평가 레벨을 요소(element)로 하는 리스크 레벨 벡터(risk level vector)로써 표현될 수도 있다. 이 경우, 리스크 레벨은 7가지 핵심 보안 요구사항으로 구성된 벡터에 의해 평가될 수 있다. 예시적으로, 상기 7가지 핵심 보안 요구사항은 산업 네트워크 및 시스템 보안에 관한 국제 표준인 IEC 62443에서 제시된 AC (Access Control), UC (Use Control), DI (Data Integrity), DC (Data Confidentiality), RDF (Restrict Data Flow), TRE (Timely Response to Event), RA (Resource Availability)를 포함할 수 있다. 또한, 경우에 따라서는 자동차 및 교통시스템 보안의 특성에 맞는 새로운 요구사항이 추가되는 것도 가능하다.

단계(630)에서는 기능 요소들에 대해 평가된 리스크 레벨을 이용하여 보안 구역(security zone)과 통로(conduit)가 설정된다. 일실시예에 따르면, 평가된 리스크 레벨이 동일한 기능 요소들은 동일한 보안 구역을 설정될 수 있다. 물론, 리스크 레벨이 동일한지의 여부뿐만 아니라, 자동차 구조에 기인하는 네트워크 연결 토폴로지, 기능 요소의 역할이나 종류, 중복 설계를 방지하기 위한 설계 요구 사항, 시스템 퍼포먼스 등이 함께 고려되어 보안 구역이 설정될 수도 있다. 한편, 보안 구역들은 서로 계층적이거나 독립적으로 설정될 수 있다.

설정된 보안 구역의 내부 요소들이 그 보안 구역의 외부 네트워크와 연결되는 부분이 통로일 수 있다. 실시예에 따르면, 어느 한 통로에는 해당 통로에 대응하는 보안 구역의 리스크 레벨에 상응하는 보안 대책이 제공된다.

단계(640)에서 이러한 보안 대책의 선택 및 구현이 수행된다. 어느 보안 구역에 포함되는 보안 요소들에 대해 평가된 리스크 레벨은, 해당 보안 구역을 대표하는 리스크 레벨일 수 있다. 그리고 이 리스크 레벨에 상응하는 보안 대책이 선택되어 해당 보안 구역의 통로에 배치될 수 있다. 여기서 리스크 레벨은 해당 보안 구역에 대응하는 목표 보안 레벨로 이해될 수도 있다.

한편, 보안 대책은 상기한 게이트 키퍼에 의해 구현될 수 있다. 그리고 게이트 키퍼는, 보안 구역 및 통로에서 요구되는 보안 요구사항을 만족하고 목표 보안 레벨(SL_T: Target Security Level)보다 큰 성취 보안 레벨(SL_A: Achieved Security Level)이 되도록 하는 것으로 선택된다.

목표 보안 레벨 SL_T는 보안 대응책이 없는 상태에서 위험원 식별 및 리스크 레벨 평가와 할당에 의해 결정된다. 그리고 달성 보안 레벨 SL_A는 보안 구역과 통로 별로 보안 대응책을 적용한 후, 식별된 위험원에 대해 모두 대응이 되었는지를 평가하여 결정될 수 있다. 그리고 특정 보안 구역 또는 그 내부 보안 요소에 대해, 달성 보안 레벨 SL_A가 목표 보안 레벨 SL_T 보다 높게 유지되어야 안전한 설계가 이루어 진 것으로 이해될 수 있다.

유지보수를 하게 될 경우, 기존 외부 위협의 변화 및 새로운 보안 위협 등장, 시스템 취약점 노출 등은 목표 보안 레벨에 영향을 주고, 운영 중인 보안 대응책의 성능하락 및 무력화 등은 달성 보안 레벨에 영향을 준다. 즉 보안 레벨은 현재 상황에서 보안 대응책의 업데이트 및 업그레이드의 시기를 결정하는 데에도 참고될 수 있다.

예시적인 보안 레벨 수준과, 이에 대응하는 보안 대책이 아래 표 9에서 제시된다. 표 9에서 보안 레벨은 상기 목표 보안 레벨 SL_T 또는 성취 보안 레벨 SL_A 중 하나일 수 있다. 또한, 보안 레벨은 평가된 리스크 레벨에 대응하는 것일 수도 있다.

상술한 바와 같이, PUF에 의한 하드웨어-기반 보안 요소는 상기 표 9에서 제시된 보안 레벨 4를 위한 멀티 시스템 보안의 적어도 일부일 수 있다. 보안 레벨이 낮을수록, 복잡도가 낮거나 및/또는 구현 코스트(비용, 구현 시간 등을 포함)가 작은 게이트 키퍼가 인증 방법으로서 선택될 수 있다.

단계(650)에서는 이렇게 설계된 자동차 보안 네트워크가 운영 및 관리되며, 단계(660)에서 지속적인 모니터링, 정보 수집, 관리 권한을 가진 주체의 요청 등에 의해 업데이트 여부가 판단된다. 이러한 판단에 의해 업데이트가 필요하면 단계(610) 내지 단계(650) 중 적어도 일부가 반복 수행됨으로써 피드백 구조가 유지될 수 있다.

도 7은 일실시예에 따른 차량 보안 네트워크 장치 및 교통 시스템을 설명하기 위한 개념도이다.

보안 구역 및 통로들이 설정되었다. 이를테면 파워트레인 존(710), 세이프가드 존(720) 및 CAN 네트워크 존(730)이 설정되었다. 도시된 바와 같이, 파워트레인 존(710)과 세이프가드 존(720)은 CAN 네트워크 존(730)의 하부 구역(sub-zone)일 수 있으며, 이러한 구조는 계층적 구역 설정(hierarchical zone setting)의 한 예이다.

도시된 예에서, 각 기능을 수행하는 기능 요소들(컴포넌트)의 기본 구성은, 센서(Sensor), ECU 및 엑추에이터(Actuator)를 포함할 수 있다. 기능 요소들의 예가 엔진 제어를 하는 기능 요소(711), 도어락을 제어하는 기능 요소(721) 및 시트를 제어하는 기능 요소(731) 등이다. 기능 요소의 ECU는 분산 네트워크인 CAN 네크워크에서 센터 ECU (또는 게이트웨이 ECU)를 통해 다른 기능 요소의 ECU와 통신할 수 있다. 도 7에서 C(n)는 보안 통로(conduit)를 의미한다. 이를테면, 통로 C1은 존(710)에 대응하고 통로 C2는 존(720)에 대응한다. CAN 네트워크 존(730)의 통로 C3는 차량 전체의 존(700)에 포함되어 차량 외부와 통신하는 다양한 수단들을 CAN 네트워크 존에 연결하는 통로이다. 이를테면, 차량 내의 통신 단말에 대응하는 USIM(741)은 통로 C6을 통해 스마트폰이나 인터넷과 연결될 수 있으며, 이 과정에서 USIM 자체의 보안 인증이 사용될 수도 있지만 C6에 상술한 실시예들에 의한 게이트 키퍼가 별도 구비될 수도 있다.

도 8은 일실시예에 따른 차량 보안 네트워크 장치의 제어 접근 경로를 설명하기 위한 개념도이다.

도시된 개념도는 실시예들에 의하여 보안 요소들에 대한 리스크 평가를 수행하는 예시적 사례를 설명하기 위해 참조된다. 도 8을 참조하여 기능 요소들의 역할 및 연결 관계가 설명된다.

이 예시적 사례에서 스마트폰의 어플리케이션을 통한 사용자의 차량 제어하기 위해 관여되는 기능 요소(FE: functional element)들이 제시된다. 사용자, 이를테면 차량의 오너는 스마트폰의 어플리케이션을 실행하여, 3G/4G 네트워크 또는 인터넷을 통해 차량내의 모바일 통신 단말 USIM과 신호를 주고받는다. 그리고 그 신호는 차량 내부 네트워크를 통해, 센터 ECU를 거쳐 몇몇 기능 요소들에 접근한다. 이를테면 엔진 제어를 위한 기능 요소, 도어락 제어를 위한 기능 요소, 및 에어컨 제어를 위한 기능 요소들로의 접근이 가능하다.

도시된 예에서 이러한 기능 요소들로의 접근은 사용자로부터 어플리케이션, 스마트폰 내지 센터 ECU를 거치는 대상 경로를 가진다. 그러면 이러한 서비스를 제공하기 위한 위험원 식별 및 리스크 평가가 수행된다.

고장 또는 보안 공격의 대상에 대해 발생 가능한 피해 시나리오를 분석한다. 그리고 이를 위해 예측되는 공격지점을 분석하여 공격 시나리오를 작성한다. 이하 서술되는 내용은 이러한 피해/공격 시나리오의 간단한 예이며, 실제로는 더 다양하고 많은 공격 대상 및 보안 취약점이 있을 것이다. 아래 표 10에서 고장/공격 대상 선정 및 피해 시나리오가 제시되고, 표 11에서 예측되는 보안 취약점이 제시된다. 아래 표들에서 코드는 추후에 실행될 리스크 평가를 위해 임의로 배정하였으며, Cx 는 네트워크 통로를 의미하며, x는 자연수이다.

그러면, 사익 고장 대상 및 피해 시나리오에 따라 발생 가능한 피해 심각성 레벨 S와 통제 가능성 레벨 C가 분석된다. 각 대상마다 최악의 피해로 평가되는 것을 대상으로 리스크 분석이 이루어질 수 있다. 표 12는 이러한 분석에 의한 예시적 결과를 나타낸다.

그리고, 피해를 입을 가능성이 예측되는 보안 취약점과 그 곳에 대한 공격 시나리오를 바탕으로 아래 표 13과 같이 위협의 실현 레벨 T와 취약점 노출 레벨 V 및 피해 가능성 레벨 D가 계산될 수 있다.

그리고, 계산된 피해 가능성 레벨 D가 상기 피해 심각성 레벨 S 및 통제 가능성 레벨 C과 조합되어 최종 리스크 레벨이 아래 표 14와 같이 평가된다.

상기 리스크 평가 결과를 핵심 보안 요구사항의 관점으로 변환하여 목표 보안 레벨을 결정한다. 리스크 레벨이 높은 것을 우선 시 하여 벡터의 내용을 채운다. 그 결과, 목표 보안 레벨 SL_T 벡터 V = {AC, UC, DI, DC, RDF, TRE, RA} = {4,4,3,3,3,3,4} 이 된다. 이러한 평가 결과에 대응하여 보안 구역 및 통로에 보안 대책을 배치하는 과정이 도 9를 참조하여 설명된다.

도 9는 일실시예에 따른 차량 보안 네트워크 디자인에 의한 보안 구역 및 통로를 설명하기 위한 개념도이다.

상술한 예시적 사례에 대한 리스크 평가를 바탕으로 하여, 각각의 리스크 경로에 따라 구역이 설정된다. 어플리케이션부터 파워트레인 존(powertrain zone) 까지는 AC, RA, UC 가 Risk 4로 할당되고, 어플리케이션부터 세이프가드 존(saftguard zone) 까지는 Risk 3이 할당되었다. 그리고 모바일 존은 공개되어 있으므로 도시된 바와 같이 보안구역 및 통로를 결정할 수 있다.

이러한 결과에 기초하여 차량 보안 시스템을 설계한다고 하면, 어플리케이션부터 차량 단말기를 거쳐 센터 ECU까지의 경로에 있는 통로 C3 및 C6 중 적어도 하나의 조합에 대해서는 Risk 3에 해당하는 게이트 키퍼를 배치하고, 파워트레인 존 내로의 접근을 위한 통로 C1에는 Risk 4에 해당하는 게이트 키퍼를 배치하면 최적의 설계가 될 수 있다.

상술한 내용은 하나의 간단화된 사례에 대해 예시적 평가가 수행되는 내용이다. 실제로 차량에 대한 리스크를 평가하고, 보안 구역 및 통로를 설정하고, 해당 보안 구역에 대한 보안 레벨을 할당하고, 이에 맞는 보안 대책을 통로에 배치하는 일련의 과정은 더욱 복잡한 팩터들을 고려하여야 할 수 있다. 또한, 자동차에서 존재하는 다른 리스크 요인들을 분석에 활용하여야 할 수도 있다. 따라서, 상기한 내용은 일부 실시예에 불과하고, 다양한 변형이 가능하다.

도 10은 일실시예에 따른 차량 보안 네트워크 디자인 장치를 도시한다.

장치(1000)는 적어도 하나의 프로세서를 포함하여 구현될 수 있다. 장치(1000)는 리스크 레벨 할당부(risk level assigner) (1010), 존 설정부(zone setter) (1020) 및 디자인부(design unit) (1030)을 포함할 수 있으며, 이들 중 적어도 일부는 상기 프로세서에 의해 구현 가능하다.

리스크 레벨 할당부(1010)는 차량의 CAN (Controller Area Network)에 연결되는 복수 개의 기능 요소들 각각에 대응하여, 보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)이 입력되는 경우, 리스크 평가 매트릭스로부터 룩업함으로써 상기 복수 개의 기능 요소들에 대한 리스크 레벨을 할당한다. 리스크 레벨 평가에 대한 실시예는 표 1 내지 표 8을 설명하여 상술한 내용에 의해 이해될 수 있다.

존 설정부(1020)는 상기 할당된 리스크 레벨에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 적어도 하나의 보안 구역을 설정한다. 존 설정부(1020)는 상기 할당된 리스크 레벨이 동일한 기능 요소들을 그룹핑하여 보안 구역들을 설정할 수 있다. 일실시예에 따르면 존 설정부(1020)는, 할당된 리스크 레벨과 복수 개의 기능 요소들의 핵심 보안 요구사항을 포함하는 보안 레벨 벡터를 계산하고, 계산된 보안 레벨 벡터에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 상기 적어도 하나의 보안 구역을 설정할 수도 있다. 구역과 통로를 설정하는 내용은 도 2 및 도 6을 참조하여 설명한 바와 같다.

그리고 디자인부(1030)는 상기 적어도 하나의 보안 구역 중 제1 보안 구역에 대응하여, 상기 제1 보안 구역의 제1 리스크 레벨에 대응하는 제1 게이트 키퍼를 상기 제1 보안 구역과 외부 네트워크 사이의 통로에 배치한다. 상기 제1 리스크 레벨이 미리 지정된 등급 이상인 경우, 상기 제1 게이트 키퍼는 복수 개의 서로 독립적인 보안 요소를 포함하는 것으로 선택될 수 있다. 이 경우, 상기 복수 개의 서로 독립적인 보안 요소 중 적어도 하나는 하드웨어-기반 보안 요소, 이를테면 PUF (Physical Unclonable Function)에 의해 홀드되는 인증 키를 사용하는 보안 요소일 수 있다. 게이트 키퍼의 배치를 포함하는 구체적인 차량 보안 네트워크 설계의 내용은 도 2 내지 도 6을 참조하여 상술한 바와 같다.

이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (20)

1. 차량 보안 리스크 평가 매트릭스에 기초하여 평가된 리스크 레벨이 동일한 복수 개의 기능 요소를 포함하는 제1 보안 구역을 외부 네트워크와 연결하는 통로; 및

   상기 통로 상에 배치되어 상기 복수 개의 기능 요소에 대한 접근을 제어하는 제1 게이트 키퍼

   를 포함하는 차량 보안 네트워크 장치.
2. 제1항에 있어서,

   상기 리스크 레벨이 미리 지정된 등급 이상인 경우, 상기 제1 게이트 키퍼는 복수 개의 서로 독립적인 보안 요소를 포함하는 차량 보안 네트워크 장치.
3. 제2항에 있어서,

   상기 복수 개의 서로 독립적인 보안 요소 중 적어도 하나는 하드웨어-기반 보안 요소에 의해 구현되는 차량 보안 네트워크 장치.
4. 제3항에 있어서,

   상기 하드웨어-기반 보안 요소는 PUF (Physical Unclonable Function)에 의해 홀드되는 인증 키를 사용하는 것인 차량 보안 네트워크 장치.
5. 제1항에 있어서,

   상기 리스크 레벨은,

   보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)에 대한 평가 값들을 이용하여 리스크 평가 매트릭스로부터 룩업되는 결과인 차량 보안 네트워크 장치.
6. 제5항에 있어서,

   상기 보안 공격에 의한 피해 가능성 레벨(D)은, 보안 위협의 실현 가능성 레벨(T) 및 취약점 노출 레벨(V)의 조합에 의해 결정되는 차량 보안 네트워크 장치.
7. 제5항에 있어서,

   상기 피해 발생 시 심각성 레벨(S), 및 상기 피해 발생 시 통제 가능성 레벨(C)은 ISO 26262에 의해 평가되는 값인 차량 보안 네트워크 장치.
8. 제1항에 있어서,

   상기 제1 보안 구역은, 상기 제1 보안 구역에 대응하는 상기 리스크 레벨 보다 낮은 리스크 레벨을 갖는 제2 보안 구역의 하위 구역이고,

   상기 차량 보안 네트워크 장치는,

   상기 제2 보안 구역과 외부 네트워크 사이의 통로 상에 배치되어 상기 제2 보안 구역 내로의 접근을 제어하는 제2 게이트 키퍼

   를 더 포함하는 차량 보안 네트워크 장치.
9. 제8항에 있어서,

   상기 제2 게이트 키퍼는 상기 제1 게이트 키퍼 보다 낮은 수준의 보안을 달성하는 보안 요소를 포함하는 차량 보안 네트워크 장치.
10. 적어도 하나의 프로세서를 포함하는 차량 보안 네트워크 디자인 장치에 있어서,

    차량의 CAN (Controller Area Network)에 연결되는 복수 개의 기능 요소들 각각에 대응하여, 보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)이 입력되는 경우, 리스크 평가 매트릭스로부터 룩업함으로써 상기 복수 개의 기능 요소들에 대한 리스크 레벨을 할당하는 레벨 할당부;

    상기 할당된 리스크 레벨에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 적어도 하나의 보안 구역을 설정하는 존 설정부; 및

    상기 적어도 하나의 보안 구역 중 제1 보안 구역에 대응하여, 상기 제1 보안 구역의 제1 리스크 레벨에 대응하는 제1 게이트 키퍼를 상기 제1 보안 구역과 외부 네트워크 사이의 통로에 배치하는 디자인부

    를 포함하는 차량 보안 네트워크 디자인 장치.
11. 제10항에 있어서,

    상기 존 설정부는, 상기 할당된 리스크 레벨이 동일한 기능 요소들을 그룹핑 하는 차량 보안 네트워크 디자인 장치.
12. 제10항에 있어서,

    상기 존 설정부는, 상기 할당된 리스크 레벨과 상기 복수 개의 기능 요소들의 핵심 보안 요구사항을 포함하는 보안 레벨 벡터를 계산하고, 상기 보안 레벨 벡터에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 상기 적어도 하나의 보안 구역을 설정하는 차량 보안 네트워크 디자인 장치.
13. 제10항에 있어서,

    상기 제1 리스크 레벨이 미리 지정된 등급 이상인 경우, 상기 제1 게이트 키퍼는 복수 개의 서로 독립적인 보안 요소를 포함하는 차량 보안 네트워크 디자인 장치.
14. 제13항에 있어서,

    상기 복수 개의 서로 독립적인 보안 요소 중 적어도 하나는 하드웨어-기반 보안 요소에 의해 구현되는 차량 보안 네트워크 디자인 장치.
15. 제14항에 있어서,

    상기 하드웨어-기반 보안 요소는 PUF (Physical Unclonable Function)에 의해 홀드되는 인증 키를 사용하는 것인 차량 보안 네트워크 디자인 장치.
16. 적어도 하나의 프로세서를 포함하는 하드웨어에 의해 수행되는 차량 보안 네트워크 디자인 방법에 있어서, 상기 방법은:

    리스크 평가 매트릭스를 이용하여, 복수 개의 차량 기능 요소들에 대한 리스크 레벨을 평가하는 평가 단계;

    상기 평가된 리스크 레벨에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 적어도 하나의 보안 구역을 설정하는 설정 단계; 및

    상기 적어도 하나의 보안 구역 중 제1 보안 구역에 대응하여, 상기 제1 보안 구역의 제1 리스크 레벨에 대응하는 보안 수준의 제1 게이트 키퍼를 상기 제1 보안 구역과 외부 네트워크 사이의 통로에 배치하는 디자인 단계

    를 포함하는 차량 보안 네트워크 디자인 방법.
17. 제16항에 있어서,

    상기 리스크 레벨은,

    보안 공격에 의한 피해 가능성 레벨(D), 피해 발생 시 심각성 레벨(S), 및 피해 발생 시 통제 가능성 레벨(C)에 대한 평가 값들을 이용하여 상기 리스크 평가 매트릭스로부터 룩업되는 결과인 차량 보안 네트워크 디자인 방법.
18. 제17항에 있어서,

    상기 보안 공격에 의한 피해 가능성 레벨(D)은, 보안 위협의 실현 가능성 레벨(T) 및 취약점 노출 레벨(V)의 조합에 의해 결정되는 차량 보안 네트워크 디자인 방법.
19. 제17항에 있어서,

    상기 피해 발생 시 심각성 레벨(S), 및 상기 피해 발생 시 통제 가능성 레벨(C)은 ISO 26262에 의해 평가되는 값인 차량 보안 네트워크 디자인 방법.
20. 컴퓨터 판독 가능 매체에 저장된 프로그램으로서, 상기 프로그램은 차량 보안 네트워크 디자인 방법을 수행하는 명령어 세트를 포함하고, 상기 명령어 세트는:

    리스크 평가 매트릭스를 이용하여, 복수 개의 차량 기능 요소들에 대한 리스크 레벨을 평가하는 평가 명령어 세트;

    상기 평가된 리스크 레벨에 따라 상기 복수 개의 기능 요소들을 그룹핑 함으로써 적어도 하나의 보안 구역을 설정하는 설정 명령어 세트; 및

    상기 적어도 하나의 보안 구역 중 제1 보안 구역에 대응하여, 상기 제1 보안 구역의 제1 리스크 레벨에 대응하는 보안 수준의 제1 게이트 키퍼를 상기 제1 보안 구역과 외부 네트워크 사이의 통로에 배치하는 디자인 명령어 세트

    를 포함하는 컴퓨터 판독 가능 매체에 저장된 프로그램.

Images