본 글에서는 ITU-T X.1381 Security guidelines for Ethernet-based in-vehicle networks 표준 [1]에 나와있는 기존 차량 통신과 Ethernet 기반 차량 통신의 차이점, Ethernet 기반 차량 통신의 보안 위협, 보안 권고사항에 대해서 개인적으로 정리한 내용을 다룹니다.
1. ITU-T X.1381 Security guidelines for Ethernet-based in-vehicle networks 문서 개요
해당표준은 2018년 ETRI와 이타스코리아에서 제안하여 지속적으로 개발하고 2023년 ITU-T SG17 국제회의에서 국제표준으로 최종 승인되었습니다 [2]. 해당 문서에서는 차량용 Ethernet의 보안 위협과 이를 해결하기 위한 요구사항을 가이드라인 형태로 제시합니다.
2. 기존 차량 통신과 Ethernet 기반 차량 통신의 차이점
표준에서는 기존 내부 차량통신(In-Vehicle Network, IVN)과 Ethernet 기반 차량 통신의 비교를 다음과 같이 표로 제시하였습니다.
(나쁨: -, 적당함: 0, 좋음: +, 아주좋음: ++)
| 기준 | 기존의 Fieldbus-oriented IVN 프로토콜 | Ethernet-based IVN | ||
| 단순성 | - | 복잡하고, 다르고, 여러개의 프로토콜을 가진 게이트웨이 | ++ | 보통 Layer 2 스위치와 함께 아주 균일함. |
| 유연성 | - | 새로운 서브넷을 구성하기 힘듬 | ++ | 새로운 서브넷을 추가하기 쉬움 |
| 성능 | + | 버스 타입마다 다름 | ++ | 수 Gbps 이상의 속도 |
| 실시간성 | ++ | 여러해동안 증명됨 | - | 가능하나 이를 위해 개발된것은 아님 |
| 네트워크 관련 물리적 장비들의 복잡도 | - | 버스마다 선을 구성해줘야함 | + | 하나의 twisted pair로 모두 커버 가능 |
| 비용 | - | 소규모 배치 자동차 관련 생산 | + | 자동차뿐만아닌 글로벌한 대량 생산 |
| 표준화 정도 | - | 다양성을 가진 표준화 | + | 다양성이 없는 표준화 |
| 물리 및 데이터 전송 계층의 연결 모델 | - | bus를 통한 point-to-multipoint 통신 모델 | + | Ethernet은 point-to-point, point-to-multipoint 모두 지원 |
| 메시지 Integrity | + | Cyclic redundancy check(CRC)와 bus 고유의 측정법들 | + | CRC, block codes |
| 보안 측정 | - | 사실상 없음. | 0 | Add-ons들과 Internet protoocl security (ex IPSec) |
3. Ethernet 기반 차량 통신의 보안 위협
- (1) Ehternet 통신 트래픽의 허가받지 않은 노출
- (2) 암호화 재료들 (ex Key, 인증서 등)을 공격자가 스니핑
- (3) 설정 데이터 조작
- (4) 로그 데이터 조작
- (5) 암호화 재료 조작
- (6) Firmware 조작
- (7) DoS 공격
- (8) Vehicle Comput Node(예를들어 ECU)를 사칭
4. 보안 요구사항
아래는 표준에서 제시하고 있는 보안 관련 권고사항입니다.
- [SR-01] ECU는 Hardware Security Module (HSM)을 사용하여 암호화 재료들을 저장
- [SR-02] 국제표준과 같이 잘 알려진 알고리즘과 프로토콜을 개발 시 사용
- [SR-03] Ethernet 통신에 도청을 방어하기 위한 기술 적용 (ex MACsec, IPsec, TLS, DTLS)
- [SR-04] 허가받지 않은 대상은 민감한 암호화 재료들에 대한 접근을 제한.
- [SR-05] 허가받은 사용자나 장비만 암호화 재료들에 대한 접근을 허용.
- [SR-06] Ethernet 스위치의 MAC 주소 테이블은 고정으로 관리
- [SR-07] Ethernet 스위치의 MAC 주소 테이블에 대한 동적 학습 기능을 비활성화
- [SR-08] IP 네트워크 인터페이스는 고정 IP 를 사용
- [SR-09] Ehternet 스위치의 로깅과 설정 데이터에 대한 허가받지 않은 수정 및 삭제 금지
- [SR-10] 설정 파일에 대한 업데이트는 허가받은 대상에만 허용.
- [SR-11] ECU는 firmware에 대한 integrity 검사 모드를 지원
- [SR-12] Ethernet 기반 IVN의 DoS 공격을 설계단계 부터 고려
- [SR-13] DoS에 대해서 스위치는 탐지및 방어를 할 수 있어야 함.
- [SR-14] 안전에 치명적인 기능들은 다른 네트워크로부터 분리
- [SR-15] Ethernet 통신에 대한 사칭 공격에 대책을 수립
- [SR-16] 사용하지 않는 Ehternet 네트워크 인턴페이스는 기본으로 비활성화로 설정
- [SR-17] 통신 인터페이스에 접근은 소프트웨어나 하드웨어 모두 기본 최소 권한 원칙을 따라야함
- [SR-18] ECU의 디버그 인터페이스는 허가받지 않은 요소에 대해서 방어를 해야함.
보안 요구사항을 지켰을때 방어할 수 있는 보안 위협을 정리하면 다음과 같습니다. Y로 표시된 부분이 막을 수 있는 위협입니다.
| 위협 번호 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| (1) | Y | Y | Y | |||||||||||||||
| (2) | Y | Y | Y | Y | Y | |||||||||||||
| (3) | Y | Y | Y | Y | Y | Y | Y | Y | ||||||||||
| (5) | Y | Y | Y | Y | Y | |||||||||||||
| (4) | Y | Y | ||||||||||||||||
| (7) | Y | Y | Y | |||||||||||||||
| (8) | Y | Y | Y | Y | Y | Y | Y | Y | Y |
5. 문서를 읽고 느낀점
저는 차량 통신 분야는 생소하여 문서를 봐도 생소한 용어가 많았고 실제 현업에서는 어떻게 보안이 이루어지고 있는지 잘 궁금하였습니다. 실제 Ethernet으로 차량 내부 통신이 구현된다면 기존에 Ethernet 환경에 있었던 공격들이 차량에도 적용될것이라는 우려도 있습니다. 기존 보안 솔루션을 차량에 적용하기에는 차량네트워크는 지연시간이 짧아야하는 요구사항 때문에 어려움이 있다고 합니다. 앞으로 어떤식으로 이 문제를 풀어나갈지 궁금해 지는 대목이였습니다.
[1] ITU-T, "X.1381 Security guidelines for Ethernet-based in-vehicle networks", 2023.3. link: https://www.itu.int/rec/T-REC-X.1381-202303-I
[2] 박수정, 염흥열, "기술표준이슈, ITU-TSG17(정보보호, 2023년2-3월)국제회의", ICT Standard Weekly 제1135호, 2023.5. link: https://committee.tta.or.kr/data/weekly_view.jsp?news_id=8361