브이웨이는 사이버보안 취약점 관리 전문 회사 Cybellum 공식 파트너사입니다.

자동차 보안 취약점 관리
자동차 보안 취약성에 대한 우선 순위를 지정하여 자동차 분야의 취약점을 관리합니다.

자동차 산업 분야를 위협하는 다양한 취약점

Cybellum을 통해 OEM 및 Tier-1 공급 업체는 안전한 자동차를 생산하고 이에 대한 보안을 유지할 수 있습니다. Cybellum은 가장 시급한 사이버 보안 취약점의 우선 순위를 지정하고 이를 완화하는데 필요한 가시성 및 각 취약점 간의 연관관계를 빠르게 분석하여 자동차 라이프 사이클 전반에 걸친 사이버 보안을 관리합니다.
그러나 자동차 소프트웨어가 보편화되면서 소스코드에 대한 보안 기술력의 부족, 예기치 못한 오류의 발생, 검증되지 않은 오픈소스 소프트웨어의 사용으로 인한 사이버 보안 취약점이 증가하고 있습니다. 실제로 자동차 소프트웨어의 70%가 오픈소스를 기반으로 개발되고 있지만 2020년 9월 NIST에 따르면, 12,000개 이상의 CVE 취약점이 탐지된 것으로 밝혀져 차량의 사이버 보안이 매우 취약한 것으로 나타났습니다.
이에 따라 자동차 분야의 경쟁력을 확보하기 위해 국제 표준을 준수하고 보안 취약점을 관리하여 각 OEM 및 공급 업체는 자동차의 전체 공급망에 걸친 사이버 보안을 강화해야 합니다.


현재 자동차 취약점 관리의 한계점

자동차 소프트웨어의 규모, 다양성 및 복잡성이 증가함에 따라 OEM 및 Tier-1은 보안 취약점을 관리하기 위한 지속적인 노력이 이루어지고 있습니다.
제품 보안을 담당하는 임원, 프로그램 보안 리더 및 PSIRT(Product Security Incident Response Team) 관리자는 비효율적인 소프트웨어 공급망에 불만을 갖고 있으며, 각종 위협 환경에 맞추어 적용할 수 없는 기존의 방법론과 도구에 대한 한계를 느끼고 있습니다. 자동차의 사이버 보안을 관리하기 위한 현재의 접근 방식의 한계는 다음과 같습니다.

  • 막대한 비용 및 리소스 소모 – 새로운 취약점, 진화하는 위협에 대한 수동 모니터링 및 분석은 비용이 많이 소모될 뿐 아니라 대응 속도 자체도 느립니다.
  • 비효율적인 관리 – 기존의 도구는 위협에 대한 우선 순위를 지정하지 못하기 때문에 가장 먼저 해결해야 하는 취약점을 해결할 수 없습니다.
  • 관리의 일회성 – 일회적인 보안 관리로는 끊임없이 변화하는 위협에 대응하여 차량의 운행 및 인명의 안전 문제를 해결할 수 없습니다.

보안팀은 지속적으로 취약점을 탐지하고 분석하기 위하여 차량의 전반에 걸쳐 적용할 수 있는 취약점 관리 기술을 활용해야 합니다.


혁신적인 자동차 보안 취약점 관리

Cybellum을 통해 OEM 및 Tier-1 공급 업체는 안전한 자동차를 생산하고 이에 대한 보안을 유지할 수 있습니다. Cybellum은 가장 시급한 사이버 보안 취약점의 우선순위를 지정하고 이를 완화하는데 필요한 가시성 및 각 취약점 간의 연관관계를 빠르게 분석하여 자동차의 전체 라이프 사이클에 걸친 사이버 보안을 관리합니다.


CYBELLUM을 통한 취약점 관리

  • 지속적인 취약점 모니터링
    위협 인텔리전스를 통해 새로운 취약점은 물론 진화하는 취약점까지도 실시간으로 추적
  • 취약점의 우선 순위 지정
    차량의 시스템, 플랫폼에 대한 취약점을 탐색하여 보안 위협 해결을 위한 우선 순위를 지정
  • 컴플라이언스 준수 지원
    국제 표준, 산업 규정 및 자체 보안 지침의 준수 여부 감사를 지원
  • 즉각적인 대응
    보안의 근본 원인 분석을 통해 위협을 신속하게 완화하고 향후 위협에 대한 노출을 방지

Cybellum에 대한 업계의 신뢰


자동차 내부 취약점

  1. 사이버 보안의 디지털 트윈
    Cybellum은 소스코드 없이 바이너리 파일 내에서 자동차 소프트웨어의 모든 특성을 추출하여 SBoM, 라이선스, 하드웨어 아키텍처, 운영 체제, 소프트웨어의 구성, 제어 흐름, API 호출 등을 포함한 각 차량의 구성요소를 분석합니다.
  2. 인텔리전스 기반 방어
    다양한 위협 인텔리전스 데이터베이스를 Cybellum Research Lab의 인사이트와 융합하여 새로운 취약점, 기존 위협에 대한 변경 사항 및 새로운 공격 방법을 추적합니다.
  3. 에이전트가 필요 없는 평가
    위협 및 정책 위반을 자동으로 확인하고 구성 요소 및 차량에 대한 전체 영향 평가를 생성합니다.
  4. 위험 기반 우선 순위 지정
    Cybellum은 차량의 각 구성 요소가 작동하는 취약점 간의 연관관계를 바탕으로 차량과 관련 없는 취약점을 걸러내고 취약점에 대한 우선 순위를 지정하여 개선 사항을 제공합니다.

국제 표준 준수 지원

Cybellum은 ISO/SAE 21434의 국제표준 및 규정 위험 평가 및 취약성 관리를 위한 문서화 및 준비에 이르기까지 모든 것을 포함하는 UNECE WP.29의 규정 준수를 지원하며, 감사를 통하여 코딩 모범 사례(CERT C, MISRA 등)와 자체 보안 및 개인 정보 보호 정책에 대한 준수를 지원합니다.

  • 완벽한 가시성
    노출되지 않은 소프트웨어 공급망 파악을 통한 바이너리 코드 취약점 탐지
  • 뛰어난 통찰력
    자동차 보안 취약성에 대한 우선 순위를 지정하여 문제 해결 지원
  • 민첩성 & 확장성
    개발 및 표준운영절차(SOP, Standard Operation Procedures) 이후 과정의 복잡성을 줄이고 취약점 관리 영역을 확장

개발 초기 단계부터 도로 주행까지 전체적인 자동차 라이프 사이클 보안

Cybellum은 개발 초기 단계부터 생산, 주행에 이르기까지 자동차 라이프 사이클 전반에 걸친 보안 위협을 관리할 수 있습니다.

 


WP.29 & ISO 21434 준수 위한 취약점 관리 백서 다운로드 신청

WP.29 & ISO 21434 준수 위한 취약점 관리 백서 다운로드
개인 정보 수집 및 활용 동의 *
● 개인정보의 수집 및 이용 목적 - WP.29 & ISO 21434 준수 위한 취약점 관리 백서 다운로드 - 마케팅 ● 수집하는 개인정보의 항목 - 이름, 회사명, 직위, 전화번호, E-mail ● 개인정보의 보유 및 이용기간 - 귀하의 개인정보 수집 및 이용 목적을 달성할 때까지 귀하의 개인정보를 보유 및 이용합니다. ● 동의를 거부할 권리 및 동의 거부에 따른 불이익 - 개인정보의 수집, 이용 등과 관련한 위 사항에 대하여 원하지 않는 경우 동의를 거부할 수 있습니다. 다만, 개인정보의 수집 및 이용에 동의하지 않을 경우 회사(㈜브이웨이)가 제공하는 편의가 이루어지지 않을 수 있습니다. ● 개인정보 제공자가 동의한 내용 외에 다른 목적으로 활용하지 않으며, 제공된 개인정보의 이용을 거부하고자 할 때에는 개인정보책임자를 통해 열람, 정정, 삭제를 요구할 수 있습니다.