그러나 자동차 소프트웨어가 보편화되면서 소스코드에 대한 보안 기술력의 부족, 예기치 못한 오류의 발생, 검증되지 않은 오픈소스 소프트웨어의 사용으로 인한 사이버 보안 취약점이 증가하고 있습니다. 실제로 자동차 소프트웨어의 70%가 오픈소스를 기반으로 개발되고 있지만 2020년 9월 NIST에 따르면, 12,000개 이상의 CVE 취약점이 탐지된 것으로 밝혀져 차량의 사이버 보안이 매우 취약한 것으로 나타났습니다.

이에 따라 자동차 분야의 경쟁력을 확보하기 위해 국제 표준을 준수하고 보안 취약점을 관리하여 각 OEM 및 공급 업체는 자동차의 전체 공급망에 걸친 사이버 보안을 강화해야 합니다.

제품 보안을 담당하는 임원, 프로그램 보안 리더 및 PSIRT(Product Security Incident Response Team) 관리자는 비효율적인 소프트웨어 공급망에 불만을 갖고 있으며, 각종 위협 환경에 맞추어 적용할 수 없는 기존의 방법론과 도구에 대한 한계를 느끼고 있습니다. 자동차의 사이버 보안을 관리하기 위한 현재의 접근 방식의 한계는 다음과 같습니다.

• 막대한 비용 및 리소스 소모
  새로운 취약점, 진화하는 위협에 대한 수동 모니터링 및 분석은 비용이 많이 소모될 뿐 아니라 대응 속도 자체도 느립니다.
• 비효율적인 관리
  기존의 도구는 위협에 대한 우선 순위를 지정하지 못하기 때문에 가장 먼저 해결해야 하는 취약점을 해결할 수 없습니다.
• 관리의 일회성
  일회적인 보안 관리로는 끊임없이 변화하는 위협에 대응하여 차량의 운행 및 인명의 안전 문제를 해결할 수 없습니다.

 
보안팀은 지속적으로 취약점을 탐지하고 분석하기 위하여 차량의 전반에 걸쳐 적용할 수 있는 취약점 관리 기술을 활용해야 합니다.

• 지속적인 취약점 모니터링
  위협 인텔리전스를 통해 새로운 취약점은 물론 진화하는 취약점까지도 실시간으로 추적차
• 취약점의 우선 순위 지정
  차량의 시스템, 플랫폼에 대한 취약점을 탐색하여 보안 위협 해결을 위한 우선 순위를 지정
• 컴플라이언스 준수 지원
  국제 표준, 산업 규정 및 자체 보안 지침의 준수 여부 감사를 지원
• 즉각적인 대응
  보안의 근본 원인 분석을 통해 위협을 신속하게 완화하고 향후 위협에 대한 노출을 방지

• 사이버 보안의 디지털 트윈
  Cybellum은 소스코드 없이 바이너리 파일 내에서 자동차 소프트웨어의 모든 특성을 추출하여 SBoM, 라이선스, 하드웨어 아키텍처, 운영 체제, 소프트웨어의 구성, 제어 흐름, API 호출 등을 포함한 각 차량의 구성요소를 분석합니다.
• 인텔리전스 기반 방어
  다양한 위협 인텔리전스 데이터베이스를 Cybellum Research Lab의 인사이트와 융합하여 새로운 취약점, 기존 위협에 대한 변경 사항 및 새로운 공격 방법을 추적합니다.
• 에이전트가 필요 없는 평가
  위협 및 정책 위반을 자동으로 확인하고 구성 요소 및 차량에 대한 전체 영향 평가를 생성합니다.
• 위험 기반 우선 순위 지정
  Cybellum은 차량의 각 구성 요소가 작동하는 취약점 간의 연관관계를 바탕으로 차량과 관련 없는 취약점을 걸러내고 취약점에 대한 우선 순위를 지정하여 개선 사항을 제공합니다.

• 완벽한 가시성
  노출되지 않은 소프트웨어 공급망 파악을 통한 바이너리 코드 취약점 탐지
• 뛰어난 통찰력
  자동차 보안 취약성에 대한 우선 순위를 지정하여 문제 해결 지원
• 민첩성 & 확장성
  개발 및 표준운영절차(SOP, Standard Operation Procedures) 이후 과정의 복잡성을 줄이고 취약점 관리 영역을 확장