목록전체 글 (8)
song.3_3
이번 6강에서는 국가 보안적합성 검증 체계를 배웠다.앞선 강의에서는 암호가 어떻게 깨지는지, 양자내성암호는 어떤 원리인지, 자동차와 임베디드 코드에는 어떤 취약점이 생기는지를 살펴봤다. 이번 강의는 기술 자체보다는, 그렇게 만든 보안 제품을 국가·공공기관에서 사용하려면 어떤 검증 절차를 거쳐야 하는지를 다뤘다.처음에는 보안적합성 검증, 보안기능 확인서, KCMVP, CC 인증처럼 이름이 비슷한 제도가 계속 등장해서 헷갈렸다. 하지만 강의 전체를 관통하는 질문은 비교적 단순했다.“이 제품은 안전합니다”라고 개발자가 말하는 것과국가가 실제 시험을 거쳐 검증한 것은 무엇이 다른가? CTF에서는 주로 “내가 이 시스템을 깰 수 있는가?”를 생각한다. 하지만 제품 개발과 납품 단계에서는 질문이 달라진다.이 기능을..
이번 5강에서는 시큐어 코딩과 임베디드·자동차 코딩 표준을 배웠다.이전 강의에서는 암호가 어떤 원리로 깨지는지, 양자내성암호가 왜 필요한지, 자동차 안에는 어떤 장치와 통신망이 있는지를 살펴봤다. 이번 강의는 그보다 조금 더 코드에 가까운 내용이었다.버퍼 오버플로우, 해제된 메모리 사용, 널 포인터 역참조, 정수 오버플로우처럼 C와 C++에서 자주 발생하는 문제를 살펴보고, 이런 코드를 MISRA, AUTOSAR, CERT C 같은 표준에서는 어떻게 설명하는지 배웠다.이번 강의의 핵심은 단순히 다음과 같이 말하는 데 있지 않았다.이 코드는 위험하다. 조금 더 구체적으로 다음과 같이 설명할 수 있어야 한다.어떤 경계 검사가 빠졌는가?어떤 표준 규칙을 위반했는가?어떻게 수정해야 하는가?수정됐다는 사실을 어떤..
1~3일차에서는 암호나 PQC처럼 비교적 수학적인 내용이 많았다면, 이번 강의는 실제 자동차 안에 들어가는 ECU, CAN, 인포테인먼트, 키 포브, 충전기, 모바일 API 같은 현실적인 공격면을 중심으로 진행됐다.강의를 듣고 보니 자동차는 그냥 이동수단이 아니라 수많은 컴퓨터와 네트워크가 붙어 있는 하나의 거대한 임베디드 시스템에 가까웠다.자동차 안에는 여러 ECU가 있고, ECU끼리는 CAN, LIN, Ethernet 같은 내부 네트워크로 연결된다. 여기에 인포테인먼트, 블루투스, 모바일 앱, 텔레매틱스, EV 충전기까지 연결되면서 공격면이 점점 넓어지고 있다.자동차 보안에서 중요한 점자동차 보안이 일반 IT 보안과 다른 점은, 공격 결과가 단순한 데이터 유출에서 끝나지 않을 수 있다는 것이다.웹 서..