공공 안전 서비스 분야에서 사람이 수행하기 힘든 고난도 임무를 수행하는 지능형 서비스 로봇의 지속 가능하고 안전한 임무 수행을 위해 사이버보안 위협을 식별하고 이에 대응하기 위하여 사이버 레질리언스 중심의 핵심 보안기술 개발
지능형 서비스 로봇
사이버보안
데이터보안
개인정보보호
사이버 회복력
2
주관|
2023년 2월-2028년 2월
|1,214,600,000원
미래차 보안시스템 전문인력 양성
본 과제는 4차산업 시대 미래차 보안시스템 분야 전문지식을 기반으로 글로벌 창의 인재를 양성하는 교육·연구 연계 프로젝트임.
연구 목표는 산업계 수요반영과 글로벌 역량 및 교육 역량 강화를 통해 미래차 보안시스템 전문인력 5년간 189명 이상 양성, 취업률 80% 이상 달성임. 연구 내용은 3개 대학(고려대·단국대·숭실대)에서 AI 보안, SW 보안, 네트워크 보안, 클라우드 보안 4개 특화분야 교육과정 개발·운영, 산학프로젝트 수행 지원, KEA 집중교육과정 운영, 해외 학술·기술연수 지원임. 기대 효과는 AI 보안·SW 보안·네트워크 보안·클라우드 보안 핵심기술 확보로 사이버보안 사각지대 최소화 및 국가 사이버안전과 정보보호산업 기술력 강화, 국내 전문인력·기술력 축적을 통한 비용 절감과 국내 미래차 산업 활성화 기여임.
본 과제는 자율주행차량의 데이터와 차량-사물 통신(V2X) 네트워크를 사이버 위협으로부터 안전하게 보호하기 위한 보안성 평가 기술 및 시험 기준을 개발하는 연구임. 이는 자율주행차의 안전성과 신뢰성을 확보하는 데 중점을 둠.
연구 목표는 자율주행차량의 보안성 평가에 필요한 핵심 보안 API, 시나리오 자동화 프로그램, 알고리즘 검증 프로그램, OTA 보안 평가 소프트웨어 및 자율주행차량 보안성 검증 도구(HW+SW)를 개발하는 데 있음. 더불어 국내 V2X 통신 단말 및 구간 사이버 보안성 검증 평가 기술 표준을 수립하는 것임. 핵심 연구 내용은 사이버 보안 검증 툴 UI 및 API 개발, OTA 테스트 서버-단말 간 보안 프로토콜 검증 SW 설계, V2X 보안성 평가 플랫폼 개발, 그리고 V2X 통신 구간별 보안 요구사항 분석 및 기술 표준 초안 작성임. 기대 효과는 자율주행차량 내외부 네트워크 보안 안전성 강화 및 보안성 평가 도구 원천 기술 확보임. 이는 V2X 통신 기기 보안 공격에 선제적 대응을 가능하게 하고, 보안 신뢰도를 확보한 부품 국산화를 통한 수출 증대 및 자율주행차량 보급 가속화, 교통안전을 통한 인명·재산 피해 예방, 신규 시장 및 일자리 창출에 크게 기여할 것으로 전망됨.
o End Product - 보안성 평가 필수/핵심 보안 API(SW) - 보안 핵심 기능 평가 시나리오 자동화 프로그램(SW) - 알고리즘 검증 자동화 프로그램(SW) - OTA 테스트 서버-테스트 단말 구간 보안 필수 기능 평가 소프트웨어(SW) - 자율주행차량 보안성 검증 도구(HW+SW) - 프로토콜 제어 API 기술문서 - CAN 프로...
자율주행
차량보안성평가
V2X 보안
사이버보안관리 시스템
보안 진단 도구
5
주관|
2021년 4월-2022년 1월
|125,000,000원
차세대보안 분야 챌린지 R&D 선행연구
o 비인가 네트워크 접근 및 내부확산
- 네트워크 스캐닝을 통해 차량에 공개적으로 노출되어 있는 네트워크 접근 노드(Wi-Fi, Bluetooth 등)가 존재하는지 확인
- 디폴트 패스워드 및 간편 연결 취약점을 통해 연결 시도
- 인포테인먼트 장비에 접근 성공 시, 연결된 네트워크 디바이스 정보, 실행되고 있는 프로세스 정보, 설치되어 있는 앱 등 정보 수집
- 내부망에 연결되어 있는 디바이스에 대한 네트워크 스캐닝 수행
- 내부망에 포트가 노출되어 있는 디바이스의 취약점을 통해 lateral movement 수행
- 인포테인먼트 장비에 접근 실패 시, 해당 인포테인먼트 장비가 정상적으로 동작하지 못하도록 노출되어 있는 포트 및 센서에 DoS, 부르트포싱 등 공격 수행
o 인포테인먼트 장비 취약점 공격
- 제한적인 권한(앱 이용자 권한) 부여 시, 패치되지 않은 알려진 취약점, 알려지지 않은 커널 취약점, 높은 권한 서비스의 취약점 등을 이용하여 관리자 권한 획득
- 디바이스 드라이버, 마운트 정보 등을 통해 네비게이션, 오디오, 썬루프, ECU, 공조기 GPS 등 인포테인먼트 장비에 연결된 하드웨어 탐색
- 네비게이션, 오디오 등 사용자의 개인정보가 저장되는 디바이스가 사용하는 파일들을 수집하여 개인정보 추출
- 인포테인먼트 장비에서 중앙화 관리를 하지 않을 경우, 디바이스의 취약점을 이용하여 lateral movement 수행
- 인포테인먼트 장비에서 연결된 장비를 컨트롤하는 프로그램이 존재할 경우, reverse engineering을 통해 디바이스 명령 포맷을 파악한 후, 사용자의 의도와는 상관없는 동작을 수행하도록 지시
o 인포테인먼트 앱 취약점 공격
- 인포테인먼트 장비에 설치 가능한 앱 탐색
- 브라우저, 미디어 플레이어, 스트리밍 서비스 등 일반 컴퓨터 환경에서도 사용되는 앱의 알려진 취약점 탐색 후 인포테인먼트 환경에 최적화된 exploit 개발
- 인포테인먼트 장비에 설치된 앱이 OTA(Over-the-Air)를 통해 앱 업데이트를 수행할 때, TOCTOU(Time Of Check, Time Of Use) 취약점, race condition, weak file permission 등 취약점을 이용하여 업데이트 파일을 바꿔 persistence를 수행하거나 앱의 정상적인 기능을 임의의 기능으로 수정하여 사용자 의도와는 상관없는 동작을 수행하도록 지시
o 오픈소스 OS 취약점 탐지
- AGL(Automotive Grade Linux), webOS 등 오픈소스 OS에서 사용하고 있는 프로그램 혹은 커널의 버전을 식별하여 패치되지 않은 취약점을 탐