Tournament Torque: 자동차 소프트웨어 보안을 위한 ASRG의 노력
자동차 보안 연구 그룹은 자동차 산업의 보안에 대한 인식을 높이고 보안 개발을 지원하는 비영리 단체로, 자동차 제품을 더욱 안전하고 안전하게 만드는 솔루션을 찾고 홍보하는 데 중점을 두고 있습니다. 현재 자동차 산업은 커넥티드, 자율주행, 공유, 전기화 및 소프트웨어 정의 차량으로 변화하고 있으며 차세대 혁명을 겪고 있습니다. 차량과 에코시스템 애플리케이션을 구동하는 소프트웨어에 대한 의존도가 엄청나게 증가하면서 자동차 업계가 이 새로운 기술 세계로 향하고 있는 지금, ASRG와 같은 조직은 자동차 업계에서 소프트웨어 보안에 대한 관심을 유도하고 유지하는 데 중요한 역할을 하고 있습니다.
소비자 시장에서 새로운 자동차 기술의 채택이 증가함에 따라 잠재적인 공격 벡터와 사이버 위험이 확대됨에 따라 이러한 인식, 그리고 가장 중요한 것은 제조업체가 이에 따라 행동하는 것이 중요해질 것입니다. FBI는 최근 미국 자동차 산업을 노리는 공격자들에 대해 경고했으며, 대부분의 침해 사고는 암호화되지 않은 민감한 데이터로 인해 발생했습니다. 이는 잘못 구성된 데이터베이스를 무차별 대입하는 공격과 같은 공격과 더불어 잠재적으로 치명적인 결과를 초래할 수 있습니다. 자동차 제품의 소프트웨어 보안 표준을 형성하고 유지하는 데 도움이 되는 솔루션과 도구에 대한 연구의 일환으로 ASRG 팀은 Secure Code Warrior의 플랫폼, 즉 Tournaments 기능을 테스트해 보았습니다. 친근한 게임형 경쟁을 통해 개발자의 참여를 유도하고 보안 인식을 높이며 안전한 코딩 기술을 연마할 수 있도록 설계된 Secure Code Warrior 을 통해 보안에 대한 개발자의 관심을 불러일으키고 자동차 소프트웨어에 영향을 미치는 일반적인 취약성을 차단하는 기술을 가르치고 용납할 수 없는 위험에 대비할 수 있는 방법을 모색했습니다.
업계 현황에 대해 조명해 봅시다.
업계 현황을
우리가 해결해야 할 즉각적인 문제
해결해야 할 당면 과제
그리고 수백 가지의
수백 개의 도전 과제
수백 개의 챌린지에서 얻은 실제 통계
코드 워리어 플랫폼에서 수행된 수백 개의 챌린지에서 얻은 실제 통계.
자동차 소프트웨어의 일반적인 공격 벡터는 어디에 있을까요?
공격자가 자동차 소프트웨어에 액세스할 수 있는 잠재적 경로를 분석할 때 다음과 같이 많은 가능성이 있습니다. Allot의 종합 보고서에서 자세히 설명합니다.
아무리 보안을 잘 알고 있다고 해도 개발자가 모든 백도어를 방어할 수는 없지만(앱 보안 전문가가 존재하는 데는 다 이유가 있습니다!), 다음과 같이 정통한 엔지니어라면 심각한 문제가 발생하기 전에 코드에서 닫을 수 있는 일반적인 백도어가 많이 있습니다:
→ 웹 인터페이스 및 모바일 API
익스플로잇 가능한 웹 애플리케이션과 API를 통해 공격자는 민감한 인증정보에 액세스할 수 있으며, 보안 설정 오류나 비즈니스 로직 취약점처럼 간단한 것만으로도 연결된 앱 내에서 심각한 개인정보 침해가 발생하거나 적어도 의도한 것보다 더 많은 정보가 소프트웨어 간에 전달될 수 있습니다.
→ 모바일 앱
많은 사람들이 온보드 인터페이스를 통해 현대의 편리한 차량 커넥티비티를 즐기고 있습니다. 그러나 취약점으로 인해 라디오와 같은 간단한 기능에 의도하지 않은 액세스가 허용되면 악의적인 공격이 발생할 수 있습니다. 원격 파일을 포함하면 온보드 멀티미디어 앱에서 멀웨어가 재생될 수 있습니다.
→ 엔터테인먼트 시스템에 코드 삽입
공격자는 익스플로잇 가능한 시스템에서 멀티미디어 파일을 생성하여 그 안에 있는 코드를 변경할 수 있습니다. 이렇게 하면 커넥티드 차량의 다른 부분을 익스플로잇하고 원격으로 모니터링할 수 있는 경로가 열립니다.
무선 미디어 → 무선 미디어
위협 행위자는 블루투스 또는 Wi-Fi와 같은 무선 채널의 취약점을 공격하여 관리 권한을 우회할 수 있습니다.
→ 외부 센서 인터페이스
위협 행위자는 외부 센서를 스푸핑하여 차량이 원치 않는 동작을 하도록 만들 수 있습니다.
무선 키 입력 → 무선 키 입력
취약한 앱을 사용하여 무선 키 엔트리를 악용할 수 있으며, 공격자는 키와 자동차 사이에 프록시 브리지를 사용하여 마음대로 자동차를 잠그거나 열 수 있습니다. 이는 이미 여러 차량에 대한 공격을 통해 입증되었습니다.
OBD-II 포트를 통한 외부 장치 액세스 → 외부 장치 액세스
차량 내부 시스템에 잠재적으로 액세스할 수 있습니다.
→ 자동차 공급업체의 클라우드 서비스에 대한 공격
클라우드 인프라가 취약하면, 심지어 설정이 잘못되어도 위협 행위자가 한 번에 많은 커넥티드 차량을 공격할 수 있습니다.
정통한 엔지니어라면 심각한 문제가 발생하기 전에 코드에서 닫을 수 있는 일반적인 백도어가 많이 있습니다.
손상된 차량의 상황은 얼마나 심각한가요?
대부분의 자동차가 100% 안전하지 않으며, 자동차를 이용할 때 어느 정도 위험 요소가 있다는 것은 일반인들도 잘 알고 있습니다. 자동차 오작동, 사고, 음주 운전... 이 모든 것이 도로 이용자에게 치명적인 결과를 초래할 수 있습니다.
하지만 그 치명적인 차량 오작동이 실제로 악의적인 사이버 공격의 결과로 원격에서 발생한 것이라면 어떨까요? 생명을 위협하는 결과가 발생하면 전 세계가 사이버 보안에 대해 심각하게 생각하게 될 것이라고 오랫동안 제안되어 왔지만, 현실은 이미 그 영역에 들어섰으며, 개입하지 않으면 여기서부터 문제가 확대될 것입니다.
2015년에 보안 연구원들은 고속도로에서 주행 중인 지프 체로키의 엔진을 "죽이는" 데 성공했으며, 시스템 소프트웨어의 알려진 제로데이 익스플로잇을 사용하여 에어컨, 라디오, 스티어링, 브레이크 및 변속기를 무선으로 제어할 수 있었습니다. 비록 위험한 실험이었지만, 공격자가 차량과 탑승자를 얼마나 치명적으로 제어할 수 있는지를 증명한 사례였습니다. 이 사건 이후 수백만 대의 커넥티드 차량이 도로를 누비고 있으며, 각 차량에는 수백만 줄의 코드가 포함되어 있어 보안을 유지해야 합니다.
자율주행차 기술(및 그 채택)은 빠른 속도로 발전하고 있으며, 이로 인해 개발자들, 특히 미래의 편리함을 제공하는 코드를 개발하는 팀에게 엄청난 부담이 될 수 있습니다. 자동차 업계의 소프트웨어 개발자들이 보안에 대한 책임을 공유해야 할 필요성이 절실히 요구되고 있으며, ASRG는 많은 사람들이 최신 보안 지식, 도구, 동료 추천 및 지원을 얻기 위해 의존하는 커뮤니티 허브입니다. 글로벌 사이트( Secure Code Warrior tournament )에서는 전 세계 ASRG 지부를 대표하는 100명 이상의 개발자를 참여시키고, 평가하고, 영감을 주기 위해 노력했습니다. 이들은 선의의 경쟁과 교육에 참여하면서 업계에 널리 퍼져 있는 소프트웨어가 직면한 문제와 직접적으로 관련된 보안 코딩 과제를 해결하고자 했습니다.
자율주행차 기술(과 그 채택)은 엄청난 속도로 발전하고 있으며, 이는 미래의 편리함을 제공하는 코드를 개발하는 팀, 특히 제작자에게 엄청난 부담을 줄 수 있습니다.
tournament 및 교육 평가판의 사실과 수치
이는 높은 참여도와 계속 플레이하고 싶은 욕구를 나타내는 것으로, 훈련과 교육에서 게이미피케이션 기법의 매우 유익한 부산물입니다.
교육 및 tournaments 은 각 개발자가 원하는 언어와 프레임워크로 재생할 수 있으며, 일상 업무에서 접할 수 있는 실제 코드를 사용하여 관련성이 높은 과제를 해결하도록 보장합니다. 이러한 상황별, 한입 크기의 학습 접근 방식을 통해 조직의 SDLC에서 가장 많이 발생하는 문제를 해결하는 데 가장 중요한 콘텐츠를 신속하게 전달할 수 있습니다.
참가자들 사이에서 가장 일반적인 개발자 프로필
Tournaments 는
보안을 도입하는
보안 도입
표준을 도입하는
벤치마크
품질, 그리고
책임
방법을 배우기 위해
스쿼시 공통
보안 버그
코드에서
기타 중요한 결과:
글로벌 ASRG 가상 보안 코딩 Tournament: 언어별 보안 코드 점수
글로벌 ASRG 가상 보안 코딩 Tournament: 취약점별 보안 코드 점수
모든 참가자가 선택한 언어와 프레임워크에 어느 정도 능숙함을 보였지만, "100% 안전하다"고 간주되거나 숙달된 취약점 영역은 하나도 없었으며 평균 정확도 점수는 67%였습니다. 모든 개발자가 보안 전문가가 되기를 기대할 수는 없지만 tournaments 보안 표준, 품질 벤치마크, 코드의 일반적인 보안 버그를 없애는 방법을 배우는 책임감을 소개하는 좋은 방법입니다. 특히 코드가 다른 사람의 차량 원격 액세스 제어로 이어질 수 있거나 더 나쁜 경우....
Tournament 취약성 및 기술 기반 위험 요소에 대한 인사이트
ASRG tournament 및 교육 이니셔티브는 커넥티드 차량에 영향을 미치는 몇 가지 주요 취약점에 집중했습니다:
수천 분의 교육과 수백 번의 도전 끝에 액세스 제어, 민감한 데이터 저장, 그리고 우선적으로 메모리 손상 취약성에 집중해야 한다는 것이 분명해졌습니다. 후자는 초연결 차량뿐만 아니라 다른 많은 IoT 디바이스에서 잠재적으로 악용될 수 있는 것으로 알려져 있습니다.
최근 Cisco의 고객 경험 Assessment & 침투 팀(CX APT)이 Linux ARMv7 시스템에서 사용되는 라이브러리인 GNU Glibc에서 이러한 버그를 발견했으며, 패치가 생성되어 적용될 때까지 메모리 손상에 취약한 상태로 남게 됩니다. 여러 환경 지점에서 실시간 데이터 수집을 사용하는 센서가 많은 디바이스의 시대에는 디바이스의 원격 제어가 불가능하더라도 공격자가 얻을 수 있는 이득은 상당할 수 있습니다.
ASRG 팀은 검증된 도구 및 솔루션 디렉토리, 포괄적인 위키, 강력한 글로벌 커뮤니티를 통해 자동차 보안에 필요한 개발자를 위한 놀라운 리소스를 구축했습니다. 이러한 독립적인 그룹 이니셔티브는 풀뿌리 수준에서 변화를 주도하는 데 필요한 것이며, 새로운 것을 시도하고 회원들의 보안 인식의 토대를 구축하려는 의지는 매우 민감한 디바이스에서 반복되는 취약성을 막는 데 강력한 요소입니다.
보안 코딩 모범 사례에 지금 투자하면 투자 수익률 극대화
SAE International과 Synopsys 소프트웨어 무결성 그룹이 발표한 연구에 따르면 커넥티드 기술의 보안을 보장하고 기존 및 새로운 사이버 위협으로부터 보호하는 측면에서 자동차 산업은 다른 많은 산업에 비해 상당히 뒤처져 있는 것으로 나타났습니다.
이는 우려스러운 추세이지만 돌이킬 수 없는 추세는 아니며, 특히 ASRG와 같은 조직이 업계에서 보안을 최우선 과제로 삼고 자동차 회사가 철통 같은 보안 프로그램을 구축하는 데 필요한 솔루션, 도구 및 교육을 조명하기 위해 노력하고 있습니다.
참여도가 높은 글로벌 Secure Code Warrior Tournament 을 운영한 경험을 통해 개발 코호트 내의 핵심 위험 영역, 추가 학습 기회, 보안 코딩 챌린지의 정확도 통계, 업계의 요구와 관련하여 집중해야 할 주요 취약점을 파악할 수 있는 기회를 얻었습니다.
그렇다면 조직 내 보안 프로그램을 혁신하여 SDLC 초기부터 보안에 대한 인식과 행동을 심어줄 경우 예상되는 수익은 어느 정도일까요? 한 번 살펴보겠습니다:
보안 감사에서 매년 적지 않은 수의 취약점을 발견하는 기업의 경우, 이를 탐지하고 수정하는 데 드는 잠재적 비용이 상당할 수 있습니다. 또한 이러한 성가신 버그가 발견되는 위치에 따라 '간단한' 수정의 경우에도 수정 비용이 크게 증가할 수 있으며, 초기에 발견하여 수정한 경우와 비교하여 늦게 수정한 경우의 비용은 최대 30배까지 증가할 수 있습니다.
일반적인 취약점 무시
취약점을 무시하는 것은
가능한 순간까지 일반적인 취약점을 무시하는 것은 예산을 낭비하고
예산을 낭비하고 중요한 릴리스
날짜를 놓치게 됩니다. 왼쪽부터 시작하여
개발자에게 권한을 부여하여
수십 년 된 버그베어 제거
SQL 인젝션, XSS, 그리고
보안 설정 오류
비용은 말할 것도 없고
시간을 엄청나게 절약할 수 있습니다.
투자 수익률
이 세 가지 추정치는 시큐어코드 워리어의 교육(tournaments)과 문화 혁신을 통해 얻을 수 있는 세 가지 절감 효과의 잠재적 재정적 및 일별 효과를 보여줍니다.
연간 잠재적 비용 절감 효과