WO2019231135A1

WO2019231135A1 - 차량 침입 감지 및 방지 시스템

Info

Publication number: WO2019231135A1
Application number: PCT/KR2019/005683
Authority: WO
Inventors: 나상혁; 남동훈; 이재원; 김광남
Original assignee: 엘지전자 주식회사
Priority date: 2018-05-29
Filing date: 2019-05-28
Publication date: 2019-12-05
Also published as: KR20210003261A

Abstract

차량 침입 감지 및 방지 시스템이 제공된다. 차량 침입 감지 및 방지 시스템은 네트워크 방화벽의 룰 세트를 보안 위협에 대응한 룰 세트로 실시간에 갱신하고 네트워크 방화벽에서 감지한 보안 위협에 대한 보안 로그를 수집 및 관리한다. 이로써 차량 네트워크 보안에 위협이 되는 침입에 대한 신속한 대응이 가능하다.

Description

차량 침입 감지 및 방지 시스템

본 출원은 2018년 5월 29일에 제출한 미국 특허 가출원 제 62/677,432 호에 기초한 우선권을 주장하며, 상기 특허 문헌의 모든 내용은 참조로 본 출원에 원용된다.

본 발명은 차량 침입 감지 및 방지 시스템(V-IDPS: Vehicle Intrusion Detection and Protection System)에 관한 것으로서 보다 상세하게는 룰 세트에 기반하여 동작하는 네트워크 방화벽을 관리 및 모니터링하는 차량 침입 감지 및 방지 시스템에 관한 것이다.

종래의 자동차는 기계적인 구조에 따라 부품들이 결합되어 작동하는 이동 수단으로서 기능하였다. 근래 들어 통신을 비롯한 ICT 융합 기술과 접목하여 자동차는 다양한 방식의 네트워크 기능을 탑재하고 탑승자에게 차량용 인포테인먼트(IVI: In-Vehicle Infotainment)를 제공하기 시작했다. 이와 같은 변화와 함께 차량용 네트워크의 보안이 안전성과 직결되는 중요한 문제로 인식되고 있다.

종래 기술 1(KR101724991B1, “차량 네트워크 보호 방법”)은 차량 내부 네트워크에 침입하는 해킹메시지의 존재를 모니터링하여 차량 내부 네트워크가 자체적으로 침입자를 네트워크에서 고립시켜 해킹메시지로부터 차량 내부 네트워크를 보호하고 해킹을 방지할 수 있도록 하는 차량 네트워크 보호 방법을 제공한다.

하지만 종래 기술 1은 메시지의 정의된 송출 타이밍 또는 송출 주기를 모니터링하여 비정상적인 해킹메시지의 존재를 판단하므로 정의되지 않은 새로운 해킹메시지로 인한 보안 위협에는 대응하지 못하는 한계가 있다.

종래 기술 2(KR1020150041598A, “차량 보안 네트워크 장치 및 그 설계 방법”)는 복수 개의 차량 기능 요소들에 대해 평가된 리스크 레벨을 이용하여 적어도 하나의 보안 구역을 설정하고, 보안 구역의 리스크 레벨에 상응하는 보안 대책(security countermeasure)이 보안 구역의 통로(conduit)에 배치되어 게이트 키핑을 수행한다.

하지만 종래 기술 2는 수집 또는 관리 권한을 가진 주체의 요청 등에 의해 보안 구역, 리스크 레벨 및 보안 대책 등의 업데이트 여부를 수동적으로 결정하고 특정 단계를 반복함으로써 피드백 구조의 업데이트를 수행한다. 즉, 종래 기술 2는 네트워크를 통해 감지한 새로운 보안 위협에 대응한 신속한 방어를 실시간으로 제공하지 못한다.

본 발명이 해결하고자 하는 과제는 차량 네트워크 보안에 위협이 되는 침입에 대한 신속한 대응이 가능한 차량 침입 감지 및 방지 시스템을 제공하는 것이다.

본 발명의 또 다른 과제는 차량 네트워크 침입을 감지하기 위하여 네트워크 현황을 실시간으로 모니터링하는 차량용 보안 인프라를 구축하는 것이다.

본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.

상기 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템은 네트워크 방화벽의 룰 세트를 보안 위협에 대응한 룰 세트로 실시간에 갱신할 수 있다.

이를 위하여 차량 침입 감지 및 방지 시스템의 제어 모듈은 룰 에이전트와 보안 관리자를 실행하도록 설정될 수 있다.

구체적으로 보안 관리자는, 통신 모듈을 통해, 외부 서버로부터 보안 위협에 대응한 룰 세트를 수신할 수 있다.

룰 에이전트는 네트워크 방화벽에 보안 위협에 대응한 룰 세트를 적용할 수 있다.

룰 세트는 네트워크 방화벽의 동작을 제어하는 적어도 하나의 룰을 포함하고, 각각의 룰은 보안 위협의 인디케이터 ID 및 보안 위협에 대한 방어 동작 정보를 포함할 수 있다.

상기 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템은 네트워크 방화벽에서 감지한 보안 위협에 대한 보안 로그를 수집 및 관리할 수 있다.

이를 위하여 차량 침입 감지 및 방지 시스템의 제어 모듈은 로거와 보안 관리자를 실행하도록 설정될 수 있다.

구체적으로 로거는 룰 세트에 기반하여 동작하는 네트워크 방화벽에서 감지한 보안 위협에 대한 보안 로그를 수집 및 관리할 수 있다.

보안 관리자는 로거가 수집한 보안 로그를 통신 모듈을 통해 외부 서버에 전송할 수 있다.

로거는 보안 관리자의 요청에 따라 보안 로그가 저장된 저장소의 주소 정보를 보안 관리자에게 제공할 수 있다.

본 발명에서 이루고자 하는 기술적 과제들의 해결 수단은 이상에서 언급한 해결 수단들로 제한되지 않으며, 언급하지 않은 또 다른 해결 수단들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.

본 발명의 다양한 실시예에 따르면 다음과 같은 효과를 얻을 수 있다.

첫째, 네트워크 방화벽의 룰 세트를 보안 위협에 대응한 룰 세트로 실시간에 갱신 가능하므로, 새로운 보안 위협을 신속하게 방어할 수 있고 차량 네트워크 보안성이 제고된다.

둘째, 네트워크 방화벽에서 감지한 보안 위협에 대한 보안 로그를 수집 및 관리하므로, 치명적인 보안 위협을 신속하게 감지할 수 있다.

도 1은 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템의 동작을 개략적으로 설명하기 위한 도면,

도 2는 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템의 기능 블록도,

도 3은 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템의 블록도,

도 4는 본 발명의 일 실시예에 따른 룰 에이전트의 동작을 설명하기 위한 도면,

도 5는 본 발명의 일 실시예에 따른 룰 에이전트의 동작을 보여주는 신호 흐름도,

도 6은 본 발명의 일 실시예에 따른 룰 에이전트의 동작을 보여주는 신호 흐름도,

도 7은 본 발명의 일 실시예에 따른 로거의 동작을 설명하기 위한 도면,

도 8은 본 발명의 일 실시예에 따른 로거의 동작을 보여주는 신호 흐름도,

도 9는 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 방법의 과정을 도시한 순서도,

도 10은 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 방법의 신호 흐름도,

도 11은 본 발명의 일 실시예에 따른 보안 위협에 대한 인디케이터 ID를 보여주는 도표,

도 12는 본 발명의 일 실시예에 따른 보안 로그를 설명하기 위한 도면, 그리고

도 13은 본 발명의 일 실시예에 따른 룰 세트를 설명하기 위한 도면이다.

이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 동일하거나 유사한 구성요소에는 동일유사한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.

도 1은 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템(100)의 동작을 개략적으로 설명하기 위한 도면이다.

차량 침입 감지 및 방지 시스템(V-IDPS: Vehicle Intrusion Detection and Protection System)은 차량에서 제공되는 유/무선 네트워크 및 외부 인터페이스의 동작을 실시간으로 모니터링하여 해커의 침입과 같은 보안 위협을 감지 및 방지하기 위한 차량 네트워크 보안 시스템이다. 차량 침입 감지 및 방지 시스템은 보안 위협을 감지한 경우 이를 관제 센터에 알리고 필요한 대응 조치를 신속하게 수행한다.

단계(110)에서 외부 해커 및 악의의 사용자가 차량 네트워크에 대한 침입을 시도한다. 여기서 차량 네트워크는 차량이 탑승자에게 제공하는 다양한 통신 경로는 물론이고 차량과 외부 서버와의 통신 경로 및 차량 자체의 네트워크 경로를 모두 포함한다. 예를 들어 차량 네트워크는 차량이 제공하는 무선 네트워크(예를 들어 Wifi, Bluetooth 등), 유심(USIM)을 통한 무선망 통신(예를 들어 LTE, 4G, 5G 등), 유/무선 연결을 제공하는 인터페이스를 통한 기기 연동(예를 들어 Android Auto, Car Play 등) 및 OBD(On Board Diagnostics)가 모니터링 하는 차량 네트워크 경로(예를 들어, 캔(CAN: Controller Area Network)) 등을 포함한다.

차량 침입 감지 및 방지 시스템(100)은 단계(110)에서 발생한 보안 위협을 실시간으로 감지한다. 차량 침입 감지 및 방지 시스템(100)은 차량의 헤드 유닛 시스템으로 구현될 수 있다. 예를 들어 차량 침입 감지 및 방지 시스템(100)은 AVNT(Audio, Video, Navigation, Telematics) 시스템과 일체형으로 구현될 수 있다.

차량 침입 감지 및 방지 시스템(100)은 감지된 보안 위협에 대한 정보를 수집하고 관제 센터(120)에 보고한다. 관제 센터(120)는 예를 들어 커넥티드 카 서버와 같은 원격 서버를 적어도 하나 포함한다.

관제 센터(120)는 감지된 보안 위협에 대응한 소프트웨어 업데이트를 차량 침입 감지 및 방지 시스템(100)에 제공할 수 있다. 예를 들어 소프트웨어 업데이트는 차량 침입 감지 및 방지 시스템(100)의 네트워크 방화벽을 위한 룰 세트의 업데이트를 포함한다. 관제 센터(120)는 룰 세트의 업데이트를 OTA(Over-The-Air programming)를 통해 차량에 탑재된 차량 침입 감지 및 방지 시스템(100)에 제공할 수 있다.

단계(130)에서 관제 센터(120)는 보안 위협에 대한 원인 분석 및 대책을 수립할 수 있다.

도 2는 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템(100)의 기능 블록도이다.

도 2는 차량 침입 감지 및 방지 시스템(100)의 기능별 모듈을 보여준다.

차량 침입 감지 및 방지 시스템(100)은 네트워크 방화벽(210), 룰 에이전트(220), 로거(230), 관제 센터(120)와의 통신 인터페이스(240) 및 보안 관리자(250)를 실행하여 보안 위협을 감지하고 이를 방어한다.

네트워크 방화벽(210)은 룰 세트에 기반하여 네트워크 트래픽을 모니터링하는 방어 장벽으로서 커널 및 드라이버 계층에서 동작한다. 네트워크 방화벽(210)은 소프트웨어 방화벽 및 하드웨어 방화벽을 비롯한 다양한 방식으로 구현된 적어도 하나의 방화벽을 포함할 수 있다.

룰 에이전트(220)는 새로운 룰 세트를 네트워크 방화벽(210)에 적용하는 기능을 수행하며, 미들웨어 계층에서 동작한다. 룰 에이전트(220)는 동적 룰 에이전트(DRA: Dynamic Rule Agent)라고도 칭한다. 룰 에이전트(220)는 새로운 룰 세트를 네트워크 방화벽(210)에 적합한 형태로 변화하여 네트워크 방화벽(210)에 적용한다. 또한 룰 에이전트(220)는 예기치 못한 상황에 대비한 룰 세트의 복원을 제공한다.

로거(230)(Logger)는 네트워크 방화벽(210)을 실시간 감시하고 차단 상황에 대한 로그를 수집 및 저장한다. 로거(230)는 미들웨어 계층에서 동작하고 보안 로거(Security Logger)라고도 칭한다. 로거(230)는 악의적인 공격으로 인한 엄청난 크기의 로그(예를 들어 DDOS 공격)부터 단발성 공격 로그까지 차량의 제한된 리소스 환경에 적합한 로깅 솔루션을 제공할 수 있다.

보안 관리자(250)는 차량 침입 감지 및 방지 시스템(100)과 관제 센터(120) 간의 연동을 담당한다. 이를 위하여 보안 관리자(250)는 관제 센터(120)와의 통신 인터페이스(240)를 이용한다. 보안 관리자(250)는 어플리케이션 계층에서 동작하며 IDPS 관리자(IDPS Manager)라고도 칭한다. 보안 관리자(250)는 커넥티드 카 서비스(CCS: Connected Car Service)를 위한 어플리케이션으로서 구현될 수 있다.

보안 관리자(250)는 관제 센터(120)와의 통신 인터페이스(240)를 통해, 룰 세트를 수신하여 룰 에이전트(220)에게 전달하고, 로거(230)가 수집한 보안 로그를 관제 센터(120)에 전송한다. 보안 관리자(250)는 관제 센터(120)

도 3은 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 시스템(100)의 블록도이다.

차량 침입 감지 및 방지 시스템(100)은 통신 모듈(310), 제어 모듈(320) 및 저장소(330)를 포함한다.

통신 모듈(310)은 차량 침입 감지 및 방지 시스템(100)과 외부 서버와의 통신을 제공한다. 외부 서버는 예를 들어 커넥티드 카 서비스 또는 텔레매틱스 서비스를 제공하는 서버로서, 관제 센터(120)에 위치할 수 있다. 즉, 통신 모듈(310)은 차량과 외부 서버 간의 통신 인터페이스에 해당한다.

차량 침입 감지 및 방지 시스템(100)은 네트워크 방화벽(210), 룰 에이전트(220), 로거(230) 및 보안 관리자(250)를 실행하여 통신 모듈(310)을 통한 네트워크 침입을 감지 및 방지할 수 있다.

저장소(330)는 네트워크 방화벽(210)이 사용하는 룰 세트 및 네트워크 방화벽(210)에서 감지한 보안 위협에 대한 보안 로그를 저장한다.

저장소(330)에 저장된 룰 세트는 정적 룰 세트를 포함할 수 있다. 네트워크 방화벽(210)은 차량의 최초 구동 시에 저장소(330)에 저장된 정적 룰 세트에 기반하여 동작할 수 있다. 차량의 최초 구동은 공장에서 생산되어 출고된 차량이 최초로 시동된 때를 의미한다.

저장소(330)에 저장된 룰 세트는 동적 룰 세트를 포함할 수 있다. 저장소(330)에 저장된 동적 룰 세트는 룰 에이전트(220)가 네트워크 방화벽(210)에 적용한 최근 동적 룰 세트에 대응한다. 즉, 룰 에이전트(220)가 보안 관리자(250)로부터 수신한 동적 룰 세트를 네트워크 방화벽(210)에 성공적으로 적용한 경우, 저장소(330)는 해당 동적 룰 세트를 최근 동적 룰 세트로서 저장할 수 있다.

제어 모듈(320)은 도 2를 참조하여 전술한 네트워크 방화벽(210)에 룰 세트를 적용하는 룰 에이전트(220), 보안 로그를 수집 및 관리하는 로거(230) 및 통신 모듈(310)을 통해, 보안 위협에 대한 보안 로그를 외부 서버에 전송하고, 외부 서버로부터 보안 위협에 대응한 룰 세트를 수신하는 보안 관리자(250)를 실행하도록 설정된다.

추가적으로 차량 침입 감지 및 방지 시스템(100)은 내부 I/F 모듈(340)을 포함할 수 있다. 내부 I/F 모듈(340)은 차량 네트워크를 제공하기 위한 인터페이스이다. 내부 I/F 모듈(340)은 무선 네트워크(예를 들어 Wifi, Bluetooth 등)를 위한 인터페이스, 유심(USIM)을 통한 무선망 통신(예를 들어 LTE, 4G, 5G 등) 인터페이스, 안드로이드 오토 및 카 플레이와 같은 유/무선 연결을 위한 인터페이스 및 CAN을 모니터링하는 OBD와의 인터페이스 등을 포함한다.

차량 침입 감지 및 방지 시스템(100)은 네트워크 방화벽(210), 룰 에이전트(220), 로거(230) 및 보안 관리자(250)를 실행하여 내부 I/F 모듈(340)을 통해 제공되는 차량 네트워크로의 침입을 감지 및 방지할 수 있다.

또한 차량 침입 감지 및 방지 시스템(100)은 보안 위협이 감지되었음을 사용자에게 알려주기 위한 경고 메시지를 출력하는 출력부를 더 포함할 수 있다. 출력부는 경고 메시지를 시각적으로 출력하는 디스플레이 및 경고 메시지를 청각적으로 출력하는 스피커를 포함할 수 있다.

도 4는 본 발명의 일 실시예에 따른 룰 에이전트(220)의 동작을 설명하기 위한 도면이다.

네트워크 방화벽(210)에서 감지한 보안 위협에 대응하여 보안 관리자(250)는 관제 센터(120)로부터 해당 보안 위협에 대응하기 위한 동적 룰 세트를 수신한다.

보안 관리자(250)는 보안 위협에 대응하기 위한 동적 룰 세트를 수신하여 룰 에이전트(220)에게 전달할 수 있다. 예를 들어 보안 관리자(250)는 수신한 동적 룰 세트를 저장소(330)의 특정 위치에 저장하고 특정 위치에 대한 주소 정보를 룰 에이전트(220)에게 전달할 수 있다.

룰 에이전트(220)는 보안 관리자(250)로부터 수신한 룰 세트를 네트워크 방화벽(210)에 적용한다. 룰 에이전트(220)가 룰 세트를 네트워크 방화벽(210)에 적용한다는 것은 네트워크 방화벽(210)이 현재 사용 중인 동적 룰 세트를 삭제(flush)하고 수신된 동적 룰 세트를 삭제된 위치에 적용하는 것을 의미한다. 예를 들어, 룰 세트를 네트워크 방화벽(210)에 적용한다는 것은 현재 사용 중인 동적 룰 세트를 수신된 룰 세트로 덮어쓰는 것을 의미할 수 있다. 이로써 네트워크 방화벽(210)은 새롭게 적용된 룰 세트에 기반하여 동작하게 된다.

또한 룰 에이전트(220)는 예기치 못한 상황에 대비한 룰 세트의 복원을 제공할 수 있다. 이에 대하여는 도 6을 참조하여 후술한다.

도 5는 본 발명의 일 실시예에 따른 룰 에이전트(220)의 동작을 보여주는 신호 흐름도이다.

단계(510)에서 보안 관리자(250)는 관제 센터(120)에 위치한 외부 서버에 동적 룰 세트를 요청할 수 있다.

보안 관리자(250)는 일정 조건을 만족하는 경우 단계(510)을 수행할 수 있다. 예를 들어 일정 조건은 차량 침입 감지 및 방지 시스템(100)이 재부팅된 경우 및 사전설정된 보안 업데이트 주기가 된 경우를 포함한다.

보안 관리자(250)는 로거(230)를 통해 보안 위협이 감지된 경우 단계(510)을 수행할 수 있다. 예를 들어 보안 관리자(250)는 로거(230)가 수집한 보안 로그를 외부 서버에 전송하면서 단계(510)의 동적 룰 세트 요청을 함께 전송할 수 있다.

단계(515)에서 관제 센터(120)에 위치한 외부 서버는 단계(510)의 동적 룰 세트 요청에 대한 응답으로 동적 룰 세트를 보안 관리자(250)에게 전송할 수 있다. 보안 관리자(250)는 단계(515)에서 동적 룰 세트를 수신한다. 단계(515)에서 수신된 동적 룰 세트는 감지된 보안 위협에 대응한 룰 세트로서 갱신된 동적 룰 세트를 포함할 수 있다.

동적 룰 세트는 적어도 하나의 룰을 포함한다. 동적 룰 세트는 동적 룰 세트에 포함된 각 룰을 사전정의된 형식의 배열로 저장한 데이터로서 예를 들어 json 파일로 제공될 수 있다. 이에 대하여는 도 13을 참조하여 후술한다.

단계(520)에서 보안 관리자(250)는 단계(515)에서 수신한 동적 룰 세트를 룰 에이전트(220)에게 전달한다. 예를 들어 단계(520)에서 보안 관리자(250)는 단계(515)에서 수신한 갱신된 동적 룰 세트를 룰 에이전트(220)에게 전달한다.

단계(530)에서 룰 에이전트(220)는 단계(520)에서 보안 관리자(250)로부터 전달받은 동적 룰 세트를 네트워크 방화벽(210)에 적용한다. 즉, 룰 에이전트(220)는 보안 관리자(250)로부터 수신한 갱신된 동적 룰 세트를 네트워크 방화벽(210)에 적용할 수 있다. 예를 들어, 룰 에이전트(220)는 현재 사용 중인 룰 세트를 삭제(flush)하고 단계(520)에서 새롭게 전달받은 동적 룰 세트를 네트워크 방화벽(210)에 적용한다.

후속하여 룰 에이전트(220)는 단계(530)에서 새롭게 적용한 룰의 개수와 단계(520)에서 보안 관리자(250)로부터 전달받은 동적 룰 세트를 저장한 파일에 명시된 룰의 개수를 비교하여 동일한 경우, 룰 에이전트(220)는 단계(530)가 성공한 것으로 결정할 수 있다.

추가적으로 단계(535)에서 룰 에이전트(220)는 단계(530)이 성공한 경우, 단계(530)에서 성공적으로 적용한 동적 룰 세트를 저장소(330)에 저장할 수 있다. 예를 들어 룰 에이전트(220)는 성공한 동적 룰 세트를 난독화하여 저장소(330)에 저장된 동적 룰 세트(510)로서 저장할 수 있다.

단계(540)에서 룰 에이전트(220)는 단계(530)이 성공한 경우 단계(520)에서 수신한 동적 룰 세트에 대한 파일의 체크섬(checksum) 값을 계산한 결과값을 체크섬 파일(520)에 기록하여 저장소(330)에 저장할 수 있다.

단계(530)에서 룰 에이전트(220)가 동적 룰 세트의 적용에 실패한 경우, 룰 에이전트(220)는 단계(530)을 재시도할 수 있다. 재시도 결과 실패하면 실패 로그를 저장소(330)에 저장할 수 있다.

도 6은 본 발명의 일 실시예에 따른 룰 에이전트(220)의 동작을 보여주는 신호 흐름도이다.

단계(610)에서 보안 관리자(250)는 관제 센터(120)에 위치한 외부 서버에 동적 룰 세트를 요청할 수 있다.

보안 관리자(250)는 일정 조건을 만족하는 경우 단계(610)을 수행할 수 있다. 예를 들어 일정 조건은 차량 침입 감지 및 방지 시스템(100)이 재부팅된 경우를 포함한다.

보안 관리자(250)는 로거(230)를 통해 보안 위협이 감지된 경우 단계(610)을 수행할 수 있다. 예를 들어 보안 관리자(250)는 로거(230)가 수집한 보안 로그를 외부 서버에 전송하면서 단계(610)의 동적 룰 세트 요청을 함께 전송할 수 있다.

단계(615)에서 보안 관리자(250)는 단계(610)의 동적 룰 세트 요청에 대한 응답이 올 때까지 대기할 수 있다.

단계(615)에서 사전설정된 시간이 만료(time out)되거나 동적 룰 세트의 수신에 실패한 경우, 단계(620)에서 보안 관리자(250)는 동적 룰 세트 없이 룰 에이전트(220)를 호출할 수 있다.

단계(630)에서 룰 에이전트(220)는 저장된 동적 룰 세트(610)의 로드(load)를 위해 저장소(330)에 접근하고 단계(635)에서 저장된 동적 룰 세트(610)를 읽어온다. 저장된 동적 룰 세트(610)는 룰 에이전트(220)가 최근에 네트워크 방화벽(210)에 적용에 성공한 동적 룰 세트에 해당한다. 즉, 저장된 동적 룰 세트(610)는 룰 에이전트(220)가 네트워크 방화벽(210)에 적용한 최근 동적 룰 세트를 포함한다. 예를 들어 저장된 동적 룰 세트(610)는 도 5를 참조하여 단계(535)에서 저장된 동적 룰 세트(510)에 대응한다.

단계(640)에서 룰 에이전트(220)는 저장된 동적 룰 세트(610)에 대한 체크섬 파일(620)을 로드하기 위해 저장소(330)에 접근하고, 단계(645)에서 체크섬 파일(620)을 읽어온다.

후속하여 룰 에이전트(220)는 저장된 동적 룰 세트(610)의 체크섬을 계산하고 체크섬 파일(620)에 기록된 체크섬과 비교할 수 있다. 비교의 결과 양자가 동일하면 단계(650)에서 룰 에이전트(220)는 저장된 동적 룰 세트(610)를 네트워크 방화벽(210)에 적용할 수 있다. 즉, 룰 에이전트(220)는 단계(615)에서 보안 관리자(250)로부터 갱신된 동적 룰 세트를 수신하지 못한 경우, 단계(635)에서 저장소(330)로부터 읽어온 최근 동적 룰 세트를 네트워크 방화벽(210)에 적용할 수 있다.

도 7은 본 발명의 일 실시예에 따른 로거(230)의 동작을 설명하기 위한 도면이다.

로거(230)는 네트워크 방화벽(210)의 동작 상태를 로깅한다. 즉, 로거(230)는 네트워크 방화벽(210)을 실시간으로 감시하고 네트워크 방화벽(210)의 보안 위협에 대한 차단 상황 로그를 수집 및 저장한다.

네트워크 방화벽(210)은 로거(230)의 로깅 기능을 지원하기 위한 로거 플러그인(710)(Logger Plugin)을 포함하여 구동될 수 있다.

로거 플러그인(710)은 네트워크 방화벽(210)에서 발생한 로그 이벤트를 주기적으로 또는 실시간으로 로거(230)에 전달할 수 있다.

로거(230)는 로그 이벤트에 기반하여 보안 로그를 작성할 수 있다. 보안 로그는 전체 로그 및 인디케이터 로그를 포함할 수 있다. 인디케이터 로그는 전체 로그의 요약 로그로서 로거(230)는 전체 로그를 가공하여 인디케이터 로그를 생성할 수 있다. 로거(230)는 생성한 보안 로그를 저장소(330)에 저장한다.

로거(230)는 보안 로그를 보안 관리자(250)에게 전달할 수 있다. 예를 들어 로거(230)는 보안 로그가 저장된 저장소(330)의 주소 정보를 보안 관리자(250)에게 전달할 수 있다.

도 8은 본 발명의 일 실시예에 따른 로거(230)의 동작을 보여주는 신호 흐름도이다.

단계(810)에서 네트워크 방화벽(210)은 보안 위협이 감지된 경우 로그 이벤트를 로거(230)에게 전달한다. 로거(230)는 로그 이벤트를 보안 로그에 기록한다.

단계(820)에서 관제 센터(120)는 보안 관리자(250)에게 보안 로그를 요청한다.

단계(830)에서 보안 관리자(250)는 로거(230)에게 보안 로그를 요청한다. 예를 들어 보안 관리자(250)는 보안 로그의 위치를 로거(230)에게 요청한다. 예를 들어 보안 로그의 위치는 보안 로그가 기록된 저장소(330)의 주소 정보이다.

단계(840)에서 로거(230)는 보안 로그를 보안 관리자(250)에게 전달한다. 예를 들어 로거(230)는 보안 로그의 위치를 보안 관리자(250)에게 전달한다. 즉, 로거(230)는 단계(820)의 보안 관리자(250)의 요청에 따라 보안 로그가 저장된 저장소(330)의 주소 정보를 보안 관리자(250)에게 제공한다.

단계(850)에서 보안 관리자(250)는 단계(840)에서 전달받은 보안 로그 또는 전달받은 보안 로그의 위치에서 읽은 보안 로그를 관제 센터(120)에 전달한다.

도 9는 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 방법의 과정을 도시한 순서도이다.

차량 침입 감지 및 방지를 제공하는 방법은, 룰 세트에 기반하여 동작하는 네트워크 방화벽이 감지한 보안 위협에 대한 보안 로그를 수집하는 단계(910), 보안 로그를 외부 서버에 전송하는 단계(920), 외부 서버로부터 보안 위협에 대응하는 동적 룰 세트를 수신하는 단계(930) 및 동적 룰 세트를 네트워크 방화벽에 적용하는 단계(940)를 포함한다.

단계(910)에서 도 3을 참조하여 제어 모듈(320)은 로거(220)를 실행하여 룰 세트에 기반하여 동작하는 네트워크 방화벽이 감지한 보안 위협에 대한 보안 로그를 수집한다.

단계(910)은, 제어 모듈(320)이 로거(220)를 실행하여, 보안 위협에 대한 인디케이터 로그를 생성하는 단계 및 외부 서버(120)의 요청에 응답하여 보안 위협에 대한 전체 로그를 수집하는 단계를 포함할 수 있다.

단계(920)에서 제어 모듈(320)은 보안 관리자(250)를 실행하여 단계(910)에서 수집한 보안 로그를 외부 서버(120)에 전송한다.

단계(930)에서 제어 모듈(320)은 보안 관리자(250)를 실행하여 외부 서버(120)로부터 보안 위협에 대응하는 동적 룰 세트를 수신한다.

단계(940)에서 제어 모듈(320)은 룰 에이전트(220)를 실행하여 단계(930)에서 수신한 동적 룰 세트를 네트워크 방화벽에 적용한다.

단계(940)에서 제어 모듈(320)은 룰 에이전트(220)를 실행하여 단계(930)에서 수신한 동적 룰 세트가 현재 네트워크 방화벽(210)에 적용된 룰 세트보다 갱신된 동적 룰 세트인 경우, 수신한 동적 룰 세트를 네트워크 방화벽(210)에 적용한다.

단계(940)에서 제어 모듈(320)은 룰 에이전트(220)를 실행하여 단계(930)에서 수신한 동적 룰 세트가 현재 네트워크 방화벽(210)에 적용된 룰 세트보다 갱신된 동적 룰 세트가 아닌 경우 또는 단계(930)에서 동적 룰 세트의 수신에 실패한 경우, 네트워크 방화벽(210)에 적용된 최근 동적 룰 세트를 네트워크 방화벽(210)에 적용할 수 있다. 저장소(330)는 네트워크 방화벽(210)에 적용된 최근 동적 룰 세트를 저장한다.

도 10은 본 발명의 일 실시예에 따른 차량 침입 감지 및 방지 방법의 신호 흐름도이다.

단계(1010)에서 로거(230)는 네트워크 방화벽(210)이 네트워크에 대한 침입과 같은 보안 위협을 탐지한 보안 이벤트를 인디케이터 로그로서 수집한다.

단계(1020)에서 보안 관리자(250)는 사전설정된 시점에 로거(230)로부터 인디케이터 로그를 수집한다. 예를 들어 사전설정된 시점은 차량 침입 감지 및 방지 시스템(100)이 부팅을 완료한 시점일 수 있다.

단계(1030)에서 보안 관리자(250)는 커넥티드 카 서버를 포함하는 관제 센터(120)에 단계(1020)에서 수집한 보안 로그를 전송한다.

단계(1040)에서 관제 센터(120)는 전체 로그 명령을 보안 관리자(250)에게 전송하고, 보안 관리자(250)는 전체 로그 명령을 수신한다.

단계(1050)에서 보안 관리자(250)는 로거(230)에게 전체 로그를 요청하고 로거(230)가 수집한 전체 로그를 획득한다. 예를 들어 보안 관리자(250)는 전체 로그가 저장된 저장소(330)의 주소 정보를 획득한다.

단계(1060)에서 보안 관리자(250)는 관제 센터(120)에 전체 로그를 전송한다.

단계(1070)에서 보안 관리자(250)는 관제 센터(120)에 갱신된 동적 룰 세트를 조회한다.

단계(1080)에서 관제 센터(120)의 동적 룰 세트가 차량의 동적 룰 세트보다 갱신된 룰 세트인 경우 보안 관리자(250)는 갱신된 동적 룰 세트를 다운로드한다.

단계(1090)에서 보안 관리자(250)는 단계(1080)에서 다운로드 받은 갱신된 동적 룰 세트를 룰 에이전트(220)에게 전달한다.

단계(1095)에서 룰 에이전트(220)는 갱신된 동적 룰 세트를 네트워크 방화벽(210)에 적용한다. 룰 에이전트(220)는 네트워크 방화벽(210)이 현재 사용 중인 동적 룰 세트를 삭제하고 갱신된 동적 룰 세트를 적용할 수 있다.

단계(1095)에서 룰 에이전트(220)는 단계(1080)에서 현재 네트워크 방화벽(210)에 적용된 룰 세트보다 갱신된 동적 룰 세트를 다운로드 하지 못한 경우 또는 갱신된 동적 룰 세트의 수신에 실패한 경우, 네트워크 방화벽(210)에 적용된 최근 동적 룰 세트를 네트워크 방화벽(210)에 적용할 수 있다.

도 11은 본 발명의 일 실시예에 따른 보안 위협에 대한 인디케이터 ID를 보여주는 도표이다.

인디케이터 ID는 보안 위협에 대한 식별자로서 인디케이터 ID가 나타내는 보안 위협의 위험도가 함께 정의된다.

예를 들어 도 11에서 “0x12”는 위험도 상(high)이고, 현재 커넥션의 상태에 맞지 않는 패킷(예를 들어, XMAS, NULL, ACK, FIN Port Scanning)을 차단한 것을 나타내는 인디케이터 ID이다. “0x13”은 위험도 중(middle)이고, 비정상적으로 대량 유입되는 패킷(예를 들어, TCP SYN Flooding)을 차단한 것을 나타내는 인디케이터 ID로 정의될 수 있다. 도 11에 열거된 인디케이터 ID는 예시적인 것이고 변경 및 추가가 얼마든지 가능하다.

한편, 인디케이터 ID는 보안 로그 및 동적 룰 세트의 각 룰에 하나의 필드로서 포함될 수 있다. 로거(230)는 네트워크 방화벽(210)의 동작을 트리거하는 조건에 따라 인디케이터 ID를 부여하고 보안 로그에 인디케이터 ID를 기록할 수 있다. 룰 에이전트(220)는 룰에 포함된 인디케이터 ID를 보고 해당 룰이 방어하는 보안 위협을 식별할 수 있다.

도 12는 본 발명의 일 실시예에 따른 보안 로그를 설명하기 위한 도면이다.

도 12(a)는 보안 로그 중 인디케이터 로그의 포맷을 예시적으로 보여준다. 인디케이터 로그는 예를 들어 로그 이벤트의 발생 시각(timestamp) 및 인디케이터 ID(name)를 포함할 수 있다. 추가적으로 인디케이터 로그는 집계된 총 패킷 수 및 집계된 총 패킷 바이트 크기를 더 포함할 수 있다.

도 12(b)의 예시적인 인디케이터 로그는 발생 시각이 “1294096509”이고, 5개의 인디케이터 ID가 수집된 것을 보여준다.

도 12에 도시된 인디케이터 로그는 예시적인 것이며 항목의 추가 및 변경이 얼마든지 가능하다.

한편, 도 12에 도시되지는 않았으나 전체 로그는 발생 시각, 인디케이터 ID, 프로토콜(예를 들어 IP/ICMP/TCP/UDP와 같은 OS layer 3-4 Protocol), IP 주소, 포트 번호, TCP 플래그 등을 포함할 수 있다.

룰 세트는 네트워크 방화벽(210)의 동작을 제어하는 적어도 하나의 룰을 포함한다. 도 13(a)는 하나의 룰의 포맷을 예시적으로 보여준다.

각각의 룰은 보안 위협의 인디케이터 ID 및 보안 위협에 대한 방어 동작 정보를 포함한다. 추가적으로 각각의 룰은 In/Out 인터페이스 정보(in-interface, out-interface), 프로토콜 정보(ip_ver, protocol), 출발지 정보(src_ip, src_port), 목적지 정보(dst_ip, dst_port)를 더 포함할 수 있다.

도 13(b)는 도 13(a)의 룰 포맷에 따라 구성된 두 개의 룰을 포함하는 예시적인 룰 세트를 보여준다. 제 1 룰은 인디케이터 ID가 “0x11”인 보안 위협에 대응하여 나머지 항목을 만족하는 경우 “ACCEPT” 동작을 실행하는 룰이다. 제 2 룰은 인디케이터 ID가 “0x12”인 보안 위협에 대응하여 나머지 항목을 만족하는 경우 “ACCEPT” 동작을 실행하는 룰이다. 룰의 특정 항목의 값을 채울 필요가 없는 경우에는 널(null)값을 가질 수 있다.

도 13에 도시된 룰은 예시적인 것이며 항목의 추가 및 변경이 얼마든지 가능하다.

한편, 전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 컴퓨터는 차량 침입 감지 및 방지 시스템의 제어 모듈(320)을 포함할 수 있다.

앞에서, 본 발명의 특정한 실시예가 설명되고 도시되었지만 본 발명은 기재된 실시예에 한정되는 것이 아니고, 이 기술 분야에서 통상의 지식을 가진 자는 본 발명의 사상 및 범위를 벗어나지 않고서 다른 구체적인 실시예로 다양하게 수정 및 변형할 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 범위는 설명된 실시예에 의하여 정하여 질 것이 아니고 청구범위에 기재된 기술적 사상에 의해 정하여져야 할 것이다.

Claims

차량 침입 감지 및 방지 시스템으로서,

외부 서버와 통신하는 통신 모듈;

네트워크 방화벽이 사용하는 룰 세트 및 상기 네트워크 방화벽에서 감지한 보안 위협에 대한 보안 로그를 저장하는 저장소; 및

제어 모듈을 포함하고, 상기 제어 모듈은,

상기 네트워크 방화벽에 상기 룰 세트를 적용하는 룰 에이전트;

상기 보안 로그를 수집 및 관리하는 로거; 및

상기 통신 모듈을 통해, 상기 보안 위협에 대한 보안 로그를 상기 외부 서버에 전송하고, 상기 외부 서버로부터 상기 보안 위협에 대응한 룰 세트를 수신하는 보안 관리자를 실행하도록 설정되는, 차량 침입 감지 및 방지 시스템.
제 1 항에 있어서,

상기 저장소에 저장된 룰 세트는 정적 룰 세트를 포함하고,

상기 네트워크 방화벽은 차량의 최초 구동 시에 상기 정적 룰 세트에 기반하여 동작하는 차량 침입 감지 및 방지 시스템
제 1 항에 있어서,

상기 저장소에 저장된 룰 세트는 동적 룰 세트를 포함하고,

상기 동적 룰 세트는 상기 룰 에이전트가 상기 네트워크 방화벽에 적용한 최근 동적 룰 세트인 차량 침입 감지 및 방지 시스템.
제 1 항에 있어서,

상기 보안 위협에 대응한 룰 세트는 갱신된 동적 룰 세트를 포함하고,

상기 보안 관리자는,

상기 갱신된 동적 룰 세트를 상기 룰 에이전트에게 전달하는 차량 침입 감지 및 방지 시스템.
제 4 항에 있어서,

상기 룰 에이전트는,

상기 보안 관리자로부터 상기 갱신된 동적 룰 세트를 수신한 경우, 상기 갱신된 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 차량 침입 감지 및 방지 시스템.
제 4 항에 있어서,

상기 저장소에 저장된 룰 세트는 상기 룰 에이전트가 상기 네트워크 방화벽에 적용한 최근 동적 룰 세트를 포함하고,

상기 룰 에이전트는,

상기 보안 관리자로부터 상기 갱신된 동적 룰 세트를 수신하지 못한 경우, 상기 최근 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 차량 침입 감지 및 방지 시스템.
제 1 항에 있어서,

상기 보안 로그는 전체 로그 및 인디케이터 로그를 포함하고,

상기 로거는 상기 전체 로그를 가공하여 상기 인디케이터 로그를 생성하는 차량 침입 감지 및 방지 시스템.
제 1 항에 있어서,

상기 로거는,

상기 보안 관리자의 요청에 따라 상기 보안 로그가 저장된 상기 저장소의 주소 정보를 상기 보안 관리자에게 제공하는 차량 침입 감지 및 방지 시스템.
제 1 항에 있어서,

상기 룰 세트는 상기 네트워크 방화벽의 동작을 제어하는 적어도 하나의 룰을 포함하고,

각각의 룰은 보안 위협의 인디케이터 ID 및 상기 보안 위협에 대한 방어 동작 정보를 포함하는 차량 침입 감지 및 방지 시스템.
차량 침입 감지 및 방지를 제공하는 방법으로서,

룰 세트에 기반하여 동작하는 네트워크 방화벽이 감지한 보안 위협에 대한 보안 로그를 수집하는 단계;

상기 보안 로그를 외부 서버에 전송하는 단계;

상기 외부 서버로부터 상기 보안 위협에 대응하는 동적 룰 세트를 수신하는 단계; 및

상기 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 단계

를 포함하는 차량 침입 감지 및 방지 제공 방법.
제 10 항에 있어서,

상기 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 단계는,

상기 동적 룰 세트가 현재 상기 네트워크 방화벽에 적용된 룰 세트보다 갱신된 동적 룰 세트인 경우, 상기 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 차량 침입 감지 및 방지 제공 방법.
제 10 항에 있어서,

상기 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 단계는,

상기 동적 룰 세트가 현재 상기 네트워크 방화벽에 적용된 룰 세트보다 갱신된 동적 룰 세트가 아닌 경우 또는 상기 동적 룰 세트의 수신에 실패한 경우, 상기 네트워크 방화벽에 적용된 최근 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 차량 침입 감지 및 방지 제공 방법.
제 10 항에 있어서,

상기 보안 로그를 수집하는 단계는,

상기 보안 위협에 대한 인디케이터 로그를 생성하는 단계; 및

상기 외부 서버의 요청에 응답하여 보안 위협에 대한 전체 로그를 수집하는 단계

를 포함하는 차량 침입 감지 및 방지 제공 방법.
제 10 항에 있어서,

상기 보안 로그를 외부 서버에 전송하는 단계는,

상기 외부 서버로부터 보안 로그 요청을 수신하는 단계;

상기 보안 로그가 저장된 저장소의 주소 정보를 획득하는 단계; 및

상기 주소로부터 상기 보안 로그를 읽어들여서 상기 외부 서버로 전송하는 단계

를 포함하는 차량 침입 감지 및 방지 제공 방법.
제 10 항에 있어서,

상기 동적 룰 세트를 상기 네트워크 방화벽에 적용하는 단계는,

상기 네트워크 방화벽이 현재 사용 중인 동적 룰 세트를 삭제하고 수신된 상기 동적 룰 세트를 적용하는 차량 침입 감지 및 방지 제공 방법.