자동차 사이버보안 TARA의 새로운 접근 - D2TARA 모델 소개

본 포스트는 다음 학술 문서를 기반으로 공부 목적으로 요약 및 분석하여 작성한 포스트입니다.

---

자동차 산업에서 사이버보안은 단순한 보조 기능이 아니라, 안전과 법적 컴플라이언스를 위한 필수 요소가 되고 있습니다. 특히 ISO/SAE 21434의 도입 이후, 위협분석 및 위험평가(TARA)는 차량 개발 단계에서 반드시 수행해야 하는 핵심 활동으로 자리잡았습니다.

그러나 현실에서는 TARA를 "얼마나 정교하게 작성해야 하는지"에 대한 명확한 기준이 부족합니다. 이에 대한 문제 의식에서 출발한 것이 본 논문입니다. 본 논문에서는 D2TARA라는 새로운 성숙도 모델을 제안하며, TARA 수행의 깊이와 범위를 체계적으로 평가하고 관리할 수 있는 방향을 제시합니다.

1. 왜 TARA 성숙도 모델이 필요한가?

차량 소프트웨어의 복잡성이 증가하면서 V2X, OTA 업데이트 등을 통한 사이버위협도 함께 커지고 있습니다. 이에 따라 ISO/SAE 21434가 도입되었고, TARA는 이 표준의 중심 활동으로 요구됩니다.

하지만 실제로는 수일 내에 작성된 단순한 TARA도 형식 요건을 충족할 수 있는 반면, 수개월이 걸리는 고도화된 TARA는 품질은 높지만 비용과 시간이 많이듭니다. 결국, 보안성과 효율성 간 트레이드오프(trade-off)를 어떻게 관리할 것인가가 핵심 과제가 되었고, 이 문제 해결을 위한 솔루션으로 D2TARA가 제안됩니다.

2. Threat Analysis and Risk Assessment(TARA) 기반 절차 설명

TARA는 ISO/SAE 21434(자동차 사이버보안 엔지니어링 표준)의 15절에 기반하며, 다음과 같은 7단계로 구성됩니다.

1. Item Definition : 대상 시스템의 구조와 인터페이스를 정의
2. Assest Identification : 보호해야 할 자산 도출
3. Threat Scenario Identification : 자산의 보안 속성을 기반으로 위협 도출
4. Attack Path Analysis : 공격자가 위협을 실현하기 위해 거치는 경로 분석
5. Attack Feasibility Rating : 공격 성공을 위한 난이도 평가
6. Impact Rating : 공격 성공 시의 영향도(안전, 재정, 운영, 프라이버시) 평가
7. Risk Value Determination & Treatment : 위험값 계산 및 대응 전략(회피, 완화, 공유, 수용) 결정

이 프로세스는 보안 설계를 구조화하고, 리스크에 대한 명확한 판단을 가능하게 합니다.

3. 기존 성숙도 모델 및 보안 모델 리뷰

본 논문은 다음 세가지 측면에서 기존 연구를 검토합니다 : 

• 일반 성숙도 모델 : CMM, SPICE, A-SPICE
• 사이버보안 성숙도 모델 : C2M2, CTI-SOC2M2 (특히 데이터 기반 접근에 착안)
• 자동차 산업 내 연구 동향 : 기존 TARA 자체에 특화된 성숙도 모델은 부재

결론적으로 본 논문은 데이터 중심 모델의 구조를 기반으로 TARA에 맞게 적용한 최초의 TARA 성숙도 모델이라는 점에서 의의를 가집니다.

4. D2TARA 개발 절차

Becker 등의 모델 개발 절차를 기반으로 D2TARA는 다음과 같은 6단계 과정을 거쳐 개발됩니다 : 

1. 문제 정의 : TARA의 성숙도와 비용 간 균형 문제 규명
2. 디자인 전략 수립 : 기존 모델(CTI-SOC2M2 등) 구조 도입 + 신규 설계 병행
3. 모델 구조 개발 : 3단계(Tier) 구조 설계
4. 전파 수단 구현 : 자가 평가용 웹 기반 툴 개발
5. 전문가 검증 : 인터뷰 기반 정성적 평가
6. 모델 유지 및 폐기 결정 : 장기 적용성과 확장성 고려

5. Data-Driven TARA Maturity Model

D2TARA는 3단계(Tier) 구조의 성숙도 모델로 구성됩니다 : 

• Tier 1 : 데이터 기반 TARA 항목 정의
  • 외부 데이터 소스(CWE, CVE, ATT&CK 등)를 각 TARA 섹션에 연결
  • 적용 대상 : DAMAGE, IMPACT, ATTACK, FEASIB, RISK TREAT
• Tier 2 : Capability Level 정의 (0~4)
  • CL0 : 미사용
  • CL1 : 비정형 사용
  • CL2 : 표준화
  • CL3 : 프로세스 통합
  • CL4 : 지속적 모니터링
• Tier3 : Maturity Level 정의 (ML 1~4)
  • 각 CL 수준을 기반으로 전체 TARA 성숙도 평가 (Initial → Visionary)

또한, 웹 기반 Self-Assessment Tool을 통해 사용자가 직접 TARA 성숙도를 평가하고 시각화할 수 있게 지원합니다.

6. 현업 전문가 검증 결과

• 참여자 : 자동차 사이버보안 분야 전문가 7명 (평균 10년 경력)
• 평가 방식 : 반구조화된 인터뷰 (영문 / 독어 혼합, 평균 57분)
• 주요 피드백 : 
  • 데이터 기반 접근 필요성에 대해 전원 공감
  • 표준화된 외부 데이터 풀 활용이 유익함
  • 일부 TARA 항목(IMPACT, FEASIB)의 외부 데이터 적용 시 ISO/SAE 21434와 CVSS 간 차이 존재
  • 조직마다 데이터 활용 범위와 중요도 상이 → D2TARA는 유연하게 커스터마이징 가능해야 함

7. 한계 및 결론

• 한계 : 
  • 아직 대규모 산업 프로젝트에 직접 적용된 사례는 없음
  • A-SPICE 등과의 정합성에 대해서는 향후 연구 필요
  • 하지만 실무 적용 가능성, 확장성, 실용성에 대해 전문가들은 긍정적 평가
• 결론 : D2TARA는 자동차 사이버보안 TARA 활동을 데이터 중심, 구조화, 반복 가능한 프로세스로 전환할 수 있도록 돕는 강력한 프레임워크입니다.

https://github.com/d2tara/D2TARA