개요
본 글은 KISA 매뉴얼에서 제시한 단계 흐름을 기준으로, 각 단계에서 무엇을 산출물로 남기면 되는지에 초점을 맞춰 정리한다.
TARA란?
TARA는 사이버 보안 위협에 대한 체계적인 분석과 평가 과정을 통해, 차량 시스템이 직면할 수 있는 위험을
식별하고 대응 방안을 마련하는 방법론이다. 이 과정은 위협 시나리오를 구성하고, 해당 위협이 시스템과 사용
자에게 미치는 영향을 평가하며, 이를 기반으로 보안 대응책을 수립하는 데 중점을 둔다.
즉, TARA의 핵심 목표는 잠재적인 사이버 보안 위협을 사전에 파악하여, 시스템의 취약점을 보완하고 사용자 안전을 보장하는 것이다.
TARA를 수행하는 주요 이유는 다음과 같다.
1. 사이버 공격으로 인한 위험 파악 및 최소화
- 대상 시스템이나 제품(예: 차량, 시스템 및 ECU)은 사이버 공격으로 인해 발생할 수 있는 위험을 미리 파
악하고 최소화하기 위해 TARA를 수행하며, 이를 통해 잠재적인 위협을 분석하고 적절한 대응 방안을
마련할 수 있다.
2. 잠재적 사이버 공격 경로와 위협 식별
- TARA를 통해 사이버 공격 경로와 위협을 미리 식별하고, 공격이 발생하기 전에 보안 조치를 마련한다.
3. 안전성과 신뢰성 확보
- TARA를 통해 보안이 강화되면, 운전자나 사용자의 안전성이 보장되며, 제품에 대한 신뢰성도 높아진다.
4. 국제 표준 준수
- ISO/SAE 21434와 같은 국제 표준은 시스템이나 제품의 보안 강화를 요구하며, TARA를 통해 이를 실
현할 수 있다. 이러한 표준을 준수하지 않으면 법적 문제나 규제 미준수로 인해 제품 출시 및 운영에 어려
움을 겪을 수 있다.
5. 사후 비용 절감 및 평판 보호
- TARA 수행을 통해 사이버보안 위험을 분석하고 사전에 대비함으로써, 사이버 공격으로 인한 피해 복구
비용을 줄이고, 보안 사고로 인한 평판 손상을 예방할 수 있다.
TARA의 전체 흐름
- 사전 준비: 아이템 정의(Item Definition)
- TARA 단계
- 자산 식별(Asset Identification)
- 위협 시나리오 식별(Threat Scenario Identification)
- 영향 등급(Impact rating)
- 공격 경로 분석(Attack path analysis)
- 공격 실현 가능성 등급(Attack feasibility rating)
- 위험 값 결정(Risk value determination)
- 위험 처리 결정(Risk treatment decision)
사전 준비
TARA에서 아이템은 분석할 시스템/제어기/기능을 의미하고, 아이템 정의는 분석 대상의 구성요소, 기능, 인터페이스, 경계를 명확히 규정하는 단계다.
여기서 중요한 포인트는, 아이템 경계(inside/outside)를 먼저 정확히 그어야 이후 단계에서 자산과 진입점(공격 표면)이 깔끔해진다. 따라서 아이템 정의가 절반이라고 봐도 과언이 아니다.
- 아이템 정의 기반 분석은 TARA를 포함해 수행되어야 한다는 요구사항도 함께 제시된다.
자산 식별
자산 식별의 목적은 자산 + 사이버보안 속성 + 피해 시나리오를 식별하는 것이다.
매뉴얼은 특히 다음을 요구한다.
- 피해 시나리오가 식별되어야 한다.
- 피해 시나리오로 이어지는 사이버보안 속성(기밀성/무결성/가용성)이 있는 자산을 식별해야한다.
여기서 많이 하는 실수는 자산=ECU 정도로만 끝내는 것인데, 실제로는 데이터/통신/펌웨어/기능 까지 자산으로 잡아야 다음 단계가 비교적 수월해진다. (매뉴얼 예시도 CAN 통신, 펌웨어 등으로 자산을 잡는다.)
위협 시나리오 식별
ISO/SAE 21434에서는 정해진 위협 시나리오 문장 템플릿을 강제하진 않지만, 무엇을 포함해야하는지는 명확히 제시한다.
위협 시나리오는 최소한 아래 3가지를 포함해야한다.
- 목표 자산
- 손상된 사이버보안 속성(기밀성/무결성/가용성)
- 그 속성이 손상되는 원인(스푸핑/변조/DoS/디버그 악용 등)
또한 위협 모델링 기법(STRIDE 등)을 활용해 위협 시나리오를 도출할 수 있다고 안내한다.
위협 시나리오를 공격 기술 이름으로 쓰기보다는, 누가 어떤 경로로 무엇을 손상 시켜 어떠한 피해가 난다
이런식으로 작성하면 공격 경로/가능성 평가가 훨씬 빨라진다.
영향 등급
매뉴얼은 피해 시나리오의 영향을 다음 4개 범주로 평가하도록 요구한다.
- Safety(안전), Financial(재무), Operational(운영), Privacy(개인정보)
- 그리고 각 범주는 심각한(Severe), 주요한(Major), 보통의(Moderate), 무시할 수 있는(Negligible)
4단계 중 하나로 결정한다.
영향 등급 작성 예시는 아래와 같다.
공격 경로 분석
공격 경로 분석의 목적은 위협 시나리오를 실현하는 공격경로(attack path)를 식별하는 것이다.
그리고 공격 경로는 식별한 위협 시나리오와 연관되어야 한다.
여기서 실무적으로는 DFD(데이터 흐름), 인터페이스(ex: OBD, BLE, 셀룰러), 디버그 포트 존재 여부 같은 실차 정보가 매우 중요해진다. 개발 초기에는 정보가 제한적이니, 업데이트 가능한문서(버전 관리)로 운영하는게 현실적이다. (매뉴얼 또한 개발 진행에 따라 공격 경로 업데이트에 대한 필요성이 언급되어있다.)
공격 경로 작성 예시는 아래와 같다.
공격 실현 가능성
매뉴얼은 공격 실현 가능성 평가 방법으로 여러 접근(공격 실현 가능성 기반, CVSS 기반, 공격 벡터 기반)을 언급하며, 예시로는 공격 실현 가능성 기반 접근을 중심적으로 다룬다.
공격 실현 가능성 기반 접근은 아래 5개 항목을 기준으로 공격 경로를 평가한다.
- 경과 시간(Elapsed time)
- 전문성(Specialist expertise)
- 아이템/컴포넌트 지식(Knowledge)
- 기회의 창(Window of opportunity)
- 장비(Equipment)
예시에서도 각 항목에 점수를 부여해 최종 값을 만들고, 그 값으로 실현 가능성 등급을 판단한다(예: 셀룰러 기반 공격 경로에서 경과시간/전문성/지식/기회의창/장비 점수를 산정)
위험 값 결정
위험 값은 피해 시나리오의 영향, 공격 경로의 공격 실현 가능성으로 부터 결정되어야 하며, 값은 1~5 범위여야한다. (1이 최소 위험)
매뉴얼은 위험값 도출을 위해 위험 매트릭스를 활용하는 방식을 중점적으로 다룬다.
위험 매트릭스 예시는 아래와 같은 형태이다.
- 각각의 공격 경로에 대해 네가지 항목에서 평가된 위험 값 중 가장 높은 값을 최종 위험 값으로 설정한다.
위험 처리 결정
위험 처리 결정 단계에서는 위험 값에 다라 아래 옵션 중 하나 이상을 결정해야한다.
- 위험 회피(Avoid)
- 위험 감소(Reduce)
- 위험 공유(Share)
- 위험 유지(Retain)
또한 표준은 위험 값의 구체적 범위를 고정하지 않고, 조직이 자체 기준을 정의할 수 있도록 유연성을 준다고 설명한다.
즉, “2 이상이면 무조건 감소” 같은 룰은 각 조직의 정책이지만, 그 룰을 문서로 남겨 일관되게 적용하는 게 핵심이다.
사이버 보안 목표
위험 처리 결정 단계에서 위험을 감소하기로 결정된 자산에 대해서는, 해당 자산을 보호하기 위한 사이버보안
목표가 설정된다.
반면, 위험을 공유하거나 위협을 유지하기로 결정된 자산에 대해서는, 해당 자산에 대한 사이버보안 주장이 규
정된다. 이는 위험을 완전히 제거하지 않더라도, 그 위험을 관리하고 대응할 방법에 대한 주장을 명확히 하는
것을 의미한다.
사이버보안 목표는 자산을 위협 시나리오로부터 보호하기 위한 구체적인 요구사항을 정의하며, 위협에 대응
하기 위해 필요한 보안 조치를 명확히 설정하는 역할을 한다.
마치며
TARA는 위협을 식별하고 위험도를 평가해 우선순위를 정한 뒤, 보안 요구사항·대응책·검증까지 근거 있게 연결해주는 핵심 프로세스다.
한국의 경우 신규 차종은 2025년 8월 부터, 기존 차종까지는 2027년 8월부터 사이버보안 요구사항을 충족해야 판매가 가능하기 때문에, 점차 시장 규모가 커질 것으로 예상된다.
자동차 사이버보안이라는 도메인은 매우 생소할 수 있지만, 관심을 갖고 공부해보면 좋은 진로가 될 수 있을 것 같다.
'Security > Car' 카테고리의 다른 글
| SDV(Software Defined Vehicle)에 대하여 (0) | 2026.05.31 |
|---|---|
| 클로드 코드와 함께하는 업무 자동화 (0) | 2026.04.30 |