ISO 21434는 대체 어떤 내용을 담고 있을까? 

(3편: TARA – 위협 분석 및 위험 평가 기법) 

 

앞선 2편에서는 9절부터 14절까지의 자동차 개발 V 사이클에 대한 보안 활동들이 어떻게 설계·구현·검증·운영 단계에 반영되는지를 살펴봤습니다. 이번 3편에서는 그 모든 과정의 기반이 되는 TARA(Threat Analysis and Risk Assessment)를 좀 더 자세히 다뤄보려 합니다. TARA는 ISO 21434의 9절에 이어 15절에서 다시 한번 따로 다루고 있는 만큼, 보안 위협과 위험을 분석하기 위한 중요한 절차입니다. 15절에서는 이러한 TARA의 구체적인 절차와 기법을 정의하고 있습니다. 

15절. 위협 분석  위험 평가 (TARA) 

15절은 위협 분석과 위험 평가를 통해 도로 사용자에게 미칠 수 있는 영향을 체계적으로 판단하는 방법을 설명합니다. 표준은 이를 TARA라고 부르며, 보안 위협에 영향을 받는 도로 사용자 관점에서 분석 및 평가를 수행하도록 규정하고 있습니다. 아래 이미지는 TARA의 전체 과정을 개관한 도식입니다. 아이템 정의를 시작점으로 자산 식별 → 데미지 시나리오 → 위협 시나리오 → 공격 경로 분석 → 공격 용이성 평가 → 위험값 산정 → 위험 처리 결정으로 이어지는 흐름을 보여줍니다. 

텍스트, 스크린샷, 폰트, 번호이(가) 표시된 사진 AI 생성 콘텐츠는 정확하지 않을 수 있습니다.


15절은 위협 분석과 위험 평가를 통해 도로 이용자에게 미칠 수 있는 영향을 체계적으로 판단하는 절차를 규정합니다. TARA는 9절에서 다뤘었던 아이템 정의를 기반으로 시작됩니다. 이후 아이템에 대한 보안 자산을 정의하고, 보안 위협과 가능성에 대한 평가를 단계적으로 진행하게 됩니다. TARA는 일회성 작업이 아니라 차량이나 제어기, 즉 아이템의 생애주기 어느 단계에서든 체계적으로 적용할 수 있도록 모듈화되어 있습니다. 표준은 TARA를 8단계 절차로 나누어 설명합니다. 

  • 자산 및 사이버보안 특성 식별  
    아이템 정의에서 도출했던 기능, 인터페이스, 구성요소 등을 통해 아이템에서 보호해야 할 자산 목록을 작성합니다. 단순한 부품이 아니라, 데이터, 신호, 제어 기능처럼 사이버보안보안 특성을 가진 자산들을 식별하는 것이 핵심입니다. 자산을 정의하고, 각 자산의 보안 속성(기밀성, 무결성, 가용성, 부인방지, 인증, 권한)을 명기합니다. 
  • 예시: 차량 CAN 버스에 연결된 제어 신호(브레이크 명령)는 무결성과 인증 특성을 가진 자산으로 식별됨 
  • 데미지 시나리오 정의  
    자산이 침해되었을 때 발생 가능한 피해 상황에 대해 정리합니다. 자산과 사이버보안 특성을 고려해, 특정 기능이 침해되었을 때 발생될 수 있는 피해에 대해 예측하게 됩니다. 
  • 예시: 브레이크 명령 신호가 변조될 경우 차량 제동 불능 → 교통사고 발생. 
  • 데미지 시나리오 영향 평가 
    데미지 시나리오가 미치는 영향을 카테고리 별로 나눠 정량·정성적으로 평가합니다. 안전, 재무, 운영, 프라이버시 네 가지 카테고리에 따라 각 데미지 시나리오의 피해가 어느 정도 심각한지를 평가하며, 결과는 심각, 중대, 보통, 무시 가능 중 하나로 정리됩니다. 
  • 예시: 제동 불능은 안전 영역에서 ‘심각’, 재무 영역에서 ‘중대’로 평가 가능 
  • 위협 시나리오 정의  
    피해를 일으킬 수 있는 구체적 위협 시나리오를 정의합니다. 어떤 자산이 대상인지, 그 자산의 어떤 보안 속성이 침해되는지, 그리고 침해의 원인이 무엇인지를 반드시 포함해야 합니다. 필요하다면 공격자, 공격 방법, 도구, 공격 표면 같은 정보도 함께 기록할 수 있습니다. 
  • 예시: 외부 OBD-II 포트를 통해 무단 진입한 공격자가 CAN 메시지를 변조하는 위협 시나리오 
  • 위협 시나리오 공격 경로 분석  
    위협 시나리오가 실제로 실현되려면 공격자가 어떤 단계들을 거쳐야 하는지를 정리하는 과정입니다. 이때 위협 시나리오와 공격 경로는 반드시 연결되어야 하며, 공격 트리나 그래프 같은 하향식 방법, 혹은 발견된 취약점에서부터 출발하는 상향식 방법이 활용될 수 있습니다. 예를 들어, 외부 인터페이스를 통해 ECU에 접근하는 과정 같은 단계들이 포함됩니다. 
  • 예시: 공격자 노트북 → OBD-II 포트 연결 → CAN 버스 접근 → 브레이크 제어 신호 변조. 
  • 위협 시나리오 공격 용이성 평가  
    공격을 실행하는 데 필요한 노력 수준에 따라 매우 낮음, 낮음, 중간, 높음으로 구분됩니다. 즉 공격이 얼마나 쉽게 이루어질 수 있는지에 대해 평가하는 것이죠. 이 평가는 공격 잠재력(시간, 전문성, 지식, 기회, 장비), CVSS 지표(공격 벡터, 복잡도, 요구 권한, 사용자 상호작용), 또는 지배적인 공격 벡터 분석 방법 중 하나로 수행할 수 있습니다. 
  • 예시: OBD-II 물리적 접근 필요 → 전문 장비와 지식 필요 → ‘중간’ 수준으로 평가 
  • 위험값 산정  
    데미지 시나리오에 대한 영향 평가 값과 위협 시나리오에서의 공격 용이성 평가를 종합해 1에서 5사이의 값으로 산정하게 됩니다. 1은 가장 낮은 위험을, 5는 가장 높은 위험을 의미하죠. 이 값은 이후 위험 처리의 기준이 됩니다. 
  • 예시: 브레이크 제어 신호 변조 → 영향 ‘심각’, 공격 용이성 ‘중간’ → 위험값 4 
  • 위험 처리 결정  
    각 위험에 대해 어떻게 대응할지 결정한 기록입니다. 각 위협 시나리오와 그 위험값을 고려해 위험을 피할 것인지, 줄일 것인지, 공유할 것인지, 아니면 유지할 것인지를 선택하고 기록해야 합니다. 위험을 감소시키기로 결정한 경우 사이버안 목표로 기록되어 이후 검증 단계의 기준선이 됩니다. 또한 위험을 유지하거나 공유하는 경우 그 근거는 사이버보안 클레임으로 기록되어 이후의 모니터링과 취약점 관리에서 추적 대상이 됩니다. 
  • 예시: 위험 감소(Reduce) → 목표: “브레이크 제어 신호는 반드시 인증된 출처에서만 수신되어야 한다.” 

정리하자면, ISO 21434 15절의 TARA는 자산과 피해를 정의하고, 위협과 경로를 분석한 뒤 영향과 용이성을 평가하여 위험값과 대응 방안을 문서화하라는 절차를 요구합니다. 이 과정은 도로 이용자의 안전과 신뢰를 보장하기 위해 위험 식별부터 평가, 처리 단계가 추적 가능하도록 만드는 핵심 메커니즘입니다.