자료 리뷰/ISO|SAE 21434(사이버보안)

차량 OTA 보안을 위한 하드웨어 기반 방어 전략: ARM Morello로 설계한 보안 TCU 사례 분석

하소태 2025. 6. 3. 19:03

본 포스트는 다음 학술 문서를 기반으로 공부 목적의 요약 및 분석하여 작성한 포스트입니다.

Addressing automotive cybersecurity risks with an ARM Morello capability-enhanced prototype

최근 차량은 더 이상 단순한 기계가 아닌, 복잡한 사이버-물리 시스템으로 진화하고 있습니다. 그 중심에는 다양한 무선 인터페이스를 통해 외부와 소통하는 TCU(Telematics Control Unit)가 있습니다. 그러나 이러한 연결성은 동시에 수많은 보안 위협의 통로가 되기도 합니다. 본 학술 문서를 통해 TCU 보안을 위한 하드웨어 기반 보안 설계 사례를 살펴보겠습니다.

 

🔍 문제의식: OTA와 함께 커지는 공격 표면

  • 현대 차량은 100개 이상의 ECU(Electronic Control Unit)를 탑재하며, 그 중 상당수가 OTA(Over The Air) 방식으로 소프트웨어 업데이트를 받습니다.
  • OTA의 편리함 뒤에는 펌웨어 조작, 버전 롤백, 중간자 공격 등의 치명적인 위협이 숨어있습니다.
  • 특히 TCU는 Wi-Fi, BLE, GNSS(Global Navigation Satellite System), DSRC(Dedicated short-range communications), 5G 등 다양한 무선 인터페이스를 수용하며, 공격 표면이 급격히 확대되고 있습니다.

이제는 단순한 암호화나 인증 메커니즘만으로는 이러한 위협에 대응하기 어려운 단계에 도달했습니다.

 

🛡️ 방어 전략: ARM Morello 기반 보안 TCU 설계

Morello 보드는 ARM과 Cambridge University가 공동 개발한 CHERI (Capability Hardware Enhanced RISC Instructions) 기반 아키텍처로, 메모리 보호를 하드웨어 수준에서 실현하는 것이 특징입니다.

연구팀은 Morello 보드를 기반으로 OTA 기능이 탑재된 TCU의 시스템 아키텍처를 설계하고, ISO/SAE 21434 기반 TARA(Threat Analysis and Risk Assessment)를 통해 보안 요구사항을 도출했습니다.

🧩 TCU OTA 보안 설계 구성 요소

시스템 구성 요소 : 

  • TCU : 클라우드와 차량 간의 연결을 담당하는 핵심 통신 허브
  • GWM(Gateway Module) : 차량 내부의 ECU들과 TCU 간의 통신 중계
  • Cloud Servers : 업데이트 메타 데이터와 실제 이미지 저장소의 역할
  • ECU : 다양한 차량 기능을 담당하는 전자제어장치

기능 흐름 요약 : 

  1. TCU가 각 ECU의 버전 정보를 클라우드에서 수신
  2. 업데이트 필요 여부를 판단하여 이미지 다운로드 요청
  3. 다운로드 된 이미지를 GWM을 통해 해당 ECU로 전송 및 설치

🔎 위험 시나리오 및 공격 분석 (TARA 적용)

총 5가지 주요 피해 시나리오가 식별됨을 확인 : 

No 피해 시나리오 영향도 (S/F/O/P 기준)
D01 업데이트 차단 Safety: 심각, Operational: 심각
D02 ECU 버전 정보 유출 Privacy: 중대
D03 버전 롤백 (구버전 설치) Safety/Operational: 심각
D04 ECU 펌웨어 유출 Financial/Privacy: 중대
D05 악성 펌웨어 설치 Safety: 매우 심각

 

STRIDE 기반 위협 식별 및 공격 경로 분석을 통해 총 33개의 위협과 43개의 공격 경로가 도출됨을 확인

예시 : 

  • Spoofing : 위조된 TCU 신호 전송
  • Tampering : OTA 요청 조작 또는 페이로드 변경
  • DoS (Denial Of Service) : ECU 이미지 요청 차단 → 업데이트 불가

공격 실현성 평가는 IEC 18045 기반의 공격 가능성 지표를 사용하여, 시간, 전문성, 장비 요구 수준 등을 수치화함

🧱 Morello 기반 보안 효과

Morello 보드를 활용하면 다음과 같은 보안 강화 효과를 얻을 수 있습니다 :

  • Fine-Grained Memory Protection → C/C++ 기반 TCU 코드에서의 버퍼 오버플로 방지
  • Capability Tagging → 코드 실행 권한을 정밀하게 제어
  • 하드웨어 수준 격리 → 악성 코드의 시스템 침투를 원천 차단

결과적으로, D03(버전 롤백), D04(펌웨어 유출), D05(악성 펌웨어 설치) 등의 위협에 대한 실현 가능성이 크게 낮아짐.

✅ 실무적 시사점

  • TCU 설계 초기 단계에서부터 보안 설계를 통합해야 함
  • ISO/SAE 21434 기반의 정량적 TARA 프로세스를 통해 자산과 위협을 명확히 도출 가능
  • 단순한 SW 기반 방어가 아닌 하드웨어-기반 방어로 전환할 필요 있음

이 논문은 자동차 사이버보안에서의 Security-by-Design을 현실에 적용한 대표 사례로, 향후 UNR.155 대응 전략 및 CSMS 구축 시 참고할 만한 가치가 큽니다.