Professional Documents
Culture Documents
Journal of The Korea Institute of Information Security & Cryptology ISSN 1598-3986(Print)
VOL.27, NO.6, Dec. 2017 ISSN 2288-2715(Online)
https://doi.org/10.13089/JKIISC.2017.27.6.1441
요 약
전기차 충전 인프라에서는 충전 및 결제 데이터를 포함하여 다양한 데이터가 전송되기 때문에 안전한 전기차 충
전 인프라를 구축하기 위해서는 이에 대한 보안 연구가 요구된다. 그렇지만 기존에 진행된 연구들은 전기차 충전을
위한 충전 인프라 보다는 전력 계통 인프라와 같은 스마트 그리드 관련 보안 연구가 주를 이루고 있다. 또한 충전
인프라 관련 연구는 아직 부족한 현실이며, 위협모델링과 같은 체계적인 방법론을 이용한 연구는 아직 진행되고 있
지 않다. 따라서 안전한 전기차 충전 인프라의 구축을 위해 위협모델링을 적용하여 보안 위협을 식별하고 보안요구
사항을 체계적으로 분석하는 것이 필요하다. 본 논문에서는 Data Flow Diagram, STRIDE, Attack Tree를
활용한 위협모델링을 이용하여 충전 인프라에서 발생 가능한 위협을 정확히 식별하고 객관적인 보안요구사항을 도출
하여 전기차 충전 인프라를 분석한다.
ABSTRACT
In order to build a secure electric vehicle charging infrastructure, security research is required because various data
including charging and payment data are transmitted in the electric vehicle charging infrastructure. However, previous
researches have focused on smart grid related security research such as power system infrastructure rather than charging
infrastructure for electric vehicle charging. In addition, research on charging infrastructure is still lacking, and research using
a systematic methodology such as threat modeling is not yet under way. Therefore, it is necessary to apply threat modeling
to identify security threats and systematically analyze security requirements to build a secure electric vehicle charging
infrastructure. In this paper, we analyze the electric vehicle charging infrastructure by accurately identifying possible threats
and deriving objective security requirements using threat modeling including Data Flow Diagram, STRIDE, and Attack Tree.
Keywords: Threat-Modeling, Electric Vehicle Charging Infrastructure, Threat Analysis
* †
I. 서 론 II. 관련 연구
개하였다. Adam Shostack은 [8]에서 소프트웨어 과 Trike Threat Modeling Tool을 사용하여 분
및 시스템을 개발할 때 발생할 수 있는 잠재적인 위 석을 진행하였다.
협을 분석하고 해결하기 위해 사용가능한 위협모델링 Goncalo Martins, Sajal Bhatia 외 4명은
기법을 소개하고 있으며 위협모델링을 수행하는 구체 [13]에서 CPS(Cyber Physical System)에 대한
적인 방법과 기대 효과 등에 대해 설명하였다. 위협모델링을 수행하였다. 특히 실제 사례 연구를 위
해 무선 철도 온도 모니터링 시스템을 이용하여 제안
2.2.2 보안위협모델링 활용 연구 된 접근법을 검증하였다. 그리고 NIST (National
Institute of Standard and Technology) 표준
IoT 및 CPS가 등장하며 연결에 따른 데이터의 을 사용하여 시스템에서 식별된 위협의 완화 방법을
흐름과 노출 위협이 증가함에 따라 보안위협모델링을 제안하였다.
활용한 연구가 다양한 시스템 및 제품을 대상으로 진 Tong Xin, Ban Xiaofang은 [14]에서 온라인
행되고 있다. 뱅킹의 보안 위협을 효과적으로 평가하기 위해
Paul Wang, Amjad Ali 외 1명은 [9]에서 스 STRIDE 위협 모델과 위협 트리 분석을 결합한 시
마트 시티 인프라의 보안 문제를 기술 및 비즈니스 스템 위협 분석 방법을 사용하였다. 핵심이 되는 비
운영 관점에서 살펴보고 위협을 분석하고 스마트 도 즈니스 데이터를 분석하여 STRIDE 위협 모델을 구
시 시스템의 데이터 보안을 향상시키는 방법을 제안 축한 후, 보안위협에 대한 Attack Tree를 계층별
하였다. Data Flow Diagram을 사용하여 시스템 로 분해함으로써 온라인 뱅킹 시스템에 대한 상세한
의 구조를 파악하였으며 위협을 평가하기 위해 위협 분석을 제공하였다.
HiSPO algorithm을 활용하였다.
Markus Tasch, Rahamatullah Khondoker 2.3 전기차 충전 인프라 보안 관련 연구
외 2명은 [10]에서 SDN의 보안 응용 프로그램인
OpenFlow-Random Host Mutation과 전기차 충전 인프라의 보안과 관련하여 기존에 몇
Resonance을 STRIDE를 사용하여 분석하고 몇 연구가 진행되었다. Hina Chaudhry,
SDN 보안 응용 프로그램을 설계할 때 고려해야 할 Theodore Bohn은 2012년 [15]에서 플러그인 전
일반적인 제안을 도출하였다. 분석 시 Data Flow 기 자동차가 충전 및 통신을 하는 과정에서 발생 가
Digram을 이용하여 시스템을 나타내었고 능한 보안 문제들에 대하여 연구를 진행하였다. 전기
STRIDE를 통해 위협을 분석하였다. 특히 자동차를 개인이 집에서 충전하는 시나리오에 대해
OCTAVE, Trike와 같은 STRIDE와 유사한 위협 각 충전 단계를 행위 주체 별로 정리하였다. 그 후
모델링 프레임워크를 소개하며 해당 논문에서는 그 데이터, 통신 네트워크, 인프라, 펌웨어 및 소프트웨
중 STRIDE 분석을 사용한 이유에 대해 구체적으로 어라는 총 4가지 범위에서 발생 가능한 주요 보안
소개하고 있다. 문제 및 잠재적인 영향력을 분석하고 보안 문제들에
Inger Anne Tøndel, Martin Gilje Jaatun 대한 대응책으로써 몇몇 솔루션을 제안하였다. 해당
외 1명은 [11]에서 AMI 시스템의 취약점을 분석하 논문은 충전 과정에서 각 주체별로 행위를 정리하고,
기 위해 하나의 실제 AMI 구성에 대한 위협모델링 이를 기반으로 보안 문제와 솔루션을 제공하였다는
을 수행하였다. Data Flow Diagram을 이용하여 특징이 있다.
시스템의 데이터 흐름을 파악하고 STRIDE 분석을 Mustafa A. Mustafa,Ning Zhang 외 2명은
사용하여 위협을 식별한 후 식별된 위협을 인터페이 [16]에서 스마트 그리드 환경에서의 전기차 충전 서
스 별로 분류하였다. 그 후 자산과 공격 목표를 고려 비스에 대한 포괄적인 보안 분석 연구를 진행하였다.
하여 Attack Tree를 작성하였다. 가정, 직장 및 공공장소와 같이 장소 별로 3가지 전
Anthony Hadding는 [12]에서 위협모델링을 기차 충전 시나리오를 설명하고 해당 유스 케이스 시
이용하여 임베디드 시스템을 분석하였다. 시스템을 나리오를 기반으로 애플리케이션 엔티티와 엔티티 간
분해하기 위해 Data Flow Diagram을 이용하였 의 상호 작용으로 구성된 스마트 전기차 충전을 위한
고 위협 분석을 위해 Attack Tree를 사용하였다. 일반 모델을 제시하였다. 그리고 해당 모델과 교환되
그리고 추가적으로 SDL Threat Modeling Tool 는 메시지를 기반으로 보안 문제 및 엔티티에 부과된
1444 위협모델링을 이용한 전기차 충전 인프라의 보안요구사항에 대한 연구
하였다[18]. Fig. 2.는 Level 0 DFD로써 전기차 개의 Process, 그리고 6개의 Data Store와 36개
충전 인프라를 하나의 프로세스로 보고 포괄적으로 의 Data Flow를 도출하였다. Table 2.에서는
그린 것이다. Level 2 DFD의 각 Element에 대해 설명한다.
Fig. 3.은 Level 1 DFD로써 Level 0 DFD를
분할하여 보다 상세하게 구성 요소 및 데이터 프로세 3.2 Attack Library 수집
스를 기술하고 있으며, Fig. 4.는 Level 2 DFD로
해당 DFD를 통해 2개의 External Entity와 15 Attack Library는 분석 대상에서 발생 가능한
공격들의 리스트로 본 논문에서는 Attack Library 델링 방법으로 인증, 무결성, 부인 방지, 기밀성, 가
작성을 위해 전기차 충전 인프라, RF System, 용성, 권한 부여와 같은 보안 속성을 고려하여 DFD
Embedded System, Smart Grid와 관련된 신뢰 의 각 요소에 존재하는 위협을 식별한다. STRIDE
할 수 있는 기관 혹은 저자의 기술 보고서, 논문, 표 는 Spoofing, Tampering, Repudiation,
준, 컨퍼런스 발표, 공신력 있는 약점, 취약점 데이 Information disclosure, Denial of service,
터베이스를 수집하였다. Table 3.에서는 전기차 충 Elevation of privilege와 같은 위협 용어의 영어
전 인프라의 Attack Library를 보여준다. 약자를 사용한다. STRIDE를 활용하면 위협 분석
시 분석자의 역량에 따른 영향을 최소화 할 수 있으
3.3 STRIDE를 이용한 분석 며, 분석 대상의 전 범위에 대해 누락 없이 분석이
가능하다.
STRIDE는 Microsoft사에서 개발한 보안위협모 DFD의 각 요소별로 STRIDE에 적용 가능한 항목
Paper Malicious Data Attacks on the Smart Grid Oliver Kosut Hardware/Network [2]
Paper Security & Vulnerability in Electric Power Systems David Watts System/Network [23]
Research for Vulnerability Detection of Embedded System
Paper Jin-bingHou Firmware [24]
Firmware
A study of open port as security vulnerability in common
Report Kuruvilla Mathew Network [25]
user computer
Smart Border
White paper RFID Security and Privacy White Paper Hardware/Network [26]
Alliance
Security in RFID and Sensor Networks(Attacking RFID
Book Pedro Peris-Lopez Network [27]
Systems)
Technical Trends of DDoS Attacks and Defense in Cellular
Report S. W. Yi Network [28]
Network
Conference New Attacks against RFID-Systems Lukas Grunwald Network [29]
Conference TCP Injection attacks in the wild Gabi Nakibly Network [30]
Table 5. STRIDE
Element Threat
No Name STRIDE Description
Type No.
Entity E1 User S Attacker can spoof user and receive the displayed approval result T1
Entity E1 User S Attacker can spoof user and enter charge amount T2
Entity E1 User S Attacker can spoof user and enter payment card information T3
Entity E1 User R User repudiates that he/she did not receive displayed approval result T4
Entity E2 Administrator S Attacker can spoof administrator and do the authenticate process T5
Entity E2 Administrator S Attacker can spoof administrator and do the manage process T6
Attacker can spoof administrator and receive analyzed information,
Entity E2 Administrator S T7
error alarm, and request
Administrator repudiate that he/she did not receive analyzed
Entity E2 Administrator R T8
information, error alarm, and request
Attacker pretends to have normal charge amount and tries to access
Process P1 Enter Payment Information S T9
to charger
Attacker pretends to have normal payment card information and tries
Process P1 Enter Payment Information S T10
to access to RF device
Enter payment information process repudiates that it did not receive
Process P1 Enter Payment Information R T11
charge amount
Enter payment information process repudiates that it did not receive
Process P1 Enter Payment Information R T12
payment card information
Process P1 Enter Payment Information I Attacker learns payment card information T13
Process P1 Enter Payment Information I Attacker learns charge amount T14
Process P1 Enter Payment Information D Process cannot enter charge amount to charger T15
Process P1 Enter Payment Information D Process cannot enter payment card information to RF devide T16
Process P1 Enter Payment Information E Attacker passes data to change the flow of program execution T17
Elevation of privilege using remote code execution to enter payment
Process P1 Enter Payment Information E T18
card information
Process P1 Enter Payment Information E Attacker passes data to change the flow of program execution T19
Elevation of privilege using remote code execution to enter charge
Process P1 Enter Payment Information E T20
amount
Attacker pretends to have normal payment card information and tries
Process P2 Read Card Information S T21
to access to charger
Process P2 Read Card Information T Read card information process can be tampered by spoofed data storage T22
정보보호학회논문지 (2017. 12) 1449
Element Threat
No Name STRIDE Description
Type No.
Process P2 Read Card Information D Excessive resource consumption for the read card information process T23
Process P3 Check Version T Check version process can be tampered by spoofed data storage T24
Process P3 Check Version D Excessive resource consumption for the check version process T25
Attacker pretends to have normal payment approval result and tries
Process P4 Approve Payment S T26
to access to charger
Process P4 Approve Payment T Approve payment process can be tampered by spoofed data storage T27
Approve payment process repudiates that it did not receive payment
Process P4 Approve Payment R T28
card information
Process P4 Approve Payment D Excessive resource consumption for the approve payment process T29
Process P4 Approve Payment D Process cannot send payment approval result to charger T30
Process P4 Approve Payment E Attacker passes data to change the flow of program execution T31
Elevation of privilege using remote code execution to receive payment
Process P4 Approve Payment E T32
card information
Process P4 Approve Payment E Elevation of privilege using remote code execution to approve payment T33
Process P5 Display T Display process can be tampered by spoofed data storage T34
Attacker pretends to have normal error alarm and tries to access to
Process P6 Notice fault S T35
operations management server
Process P6 Notice fault T Notice fault process can be tampered by spoofed data storage T36
Process P6 Notice fault D Excessive resource consumption for the notice fault process T37
Attacker pretends to have normal error alarm and tries to access to
Process P7 Notice fault S T38
monitoring device
Process P7 Notice fault T Notice fault process can be tampered by spoofed data storage T39
Process P7 Notice fault D Excessive resource consumption for the notice fault process T40
Attacker pretends to have normal analyzed information and tries to
Process P8 Analyze S T41
access to monitoring device
Process P8 Analyze T Analyze process can be tampered by spoofed data storage T42
Process P8 Analyze D Excessive resource consumption for the analyze process T43
Process P9 Monitoring T Monitoring information process can be tampered by spoofed data storage T44
Middle omission
Analyzed
Flow F22 T Analyzed information (from / sent from)may be tampered T122
Information
Analyzed
Flow F22 I Analyzed information (from/ sent from)may be sniffed by an attacker T123
Information
Analyzed Interrupt analyzed information data flow so that it cannot be sent to
Flow F22 D T124
Information the destination
Operating and Control
Flow F24 T Operating and Control Info. Request may be tampered T125
Info. Request
Operating and Control
Flow F24 I Operating and Control Info. Request may be sniffed by an attacker T126
Info. Request
Operating and Control Interrupt Operating and Control Info. Request data flow so that it
Flow F24 D T127
Info. Request cannot be sent to the destination
Flow F26 Request T Request sent from operations management server may be tampered T128
Request sent from operations management server may be sniffed by
Flow F26 Request I T129
an attacker
Interrupt request data flow so that it cannot be sent to the
Flow F26 Request D T130
destination
Flow F27 ID, Pwd T ID, Pwd sent from administrator may be tampered T131
Flow F27 ID, Pwd I ID, Pwd sent from administrator may be sniffed by an attacker T132
Interrupt ID, Pwd data flow so that it cannot be sent to the
Flow F27 ID, Pwd D T133
destination
Operating and Control
Flow F31 T Operating and Control Info., command may be tampered T134
Info., Command
Operating and Control
Flow F31 I Operating and Control Info., command may be sniffed by an attacker T135
Info., Command
Operating and Control Interrupt Operating and Control Info., command data flow so that it
Flow F31 D T136
Info., Command cannot be sent to the destination
Operating and Control Info.,
Flow F34 T Operating and Control Info., Charger Info. Request may be tampered T137
Charger Info., Request
Operating and Control Info., Operating and Control Info., Charger Info. Request may be sniffed by
Flow F34 I T138
Charger Info., Request an attacker
Operating and Control Info., Interrupt Operating and Control Info., Charger Info. Request data
Flow F34 D T139
Charger Info., Request flow so that it cannot be sent to the destination
Flow F36 Command T Command sent from operations management server may be tampered T140
Command sent from operations management server may be sniffed by
Flow F36 Command I T141
an attacker
Interrupt command data flow so that it cannot be sent to the
Flow F36 Command D T142
destination
1450 위협모델링을 이용한 전기차 충전 인프라의 보안요구사항에 대한 연구
다. 도출해낸 총 46개의 최하의 노드 공격 중에서 지 못하고 있다. 따라서 추후 분석의 범위를 넓혀서
사회공학기법이 적용된 공격이나 추상적이고 적용이 보안위협 및 보안요구사항을 도출해야하는 향후 과제
불가한 공격들은 체크리스트에서 제외하였다. 가 남아있다.
Table 6.은 도출된 체크리스트를 보여주며 총
59개의 점검 항목이 도출되었다. 도출한 체크리스트 References
항목들은 위협모델링 기법을 적용하여 분석대상 범위
를 체계적으로 분석하여 도출하였기 때문에 전기차 [1] Kyunghyang Opinion, “In the era of in
충전 인프라의 분석 범위 전체를 다룰 수 있다. 또한 ternal combustion engine,” http://new
해당 체크리스트가 Attack Tree 분석을 통해 도출 s.khan.co.kr/kh_news/khan_art_view.h
한 공격을 모두 포함하고 있다는 것을 보여주기 위해 tml?artid=201709201405001&code=990
점검 항목 별로 대응하는 공격 항목을 작성하였다. 100#csidx818d94bbcfed09083b6ff176980
90df
V. 결 론 [2] Oliver Kosut, Liyan Jia, Robert J.
Thomas, and Lang Tong, “Malicious
기존 전기차 충전 인프라의 보안과 관련한 몇몇 data attacks on the smart grid,” IEEE
연구들은 전기차 충전 시나리오를 작성하여 일반화된 Transactions on Smart Grid, vol. 2,
모델 혹은 논리적 아키텍처를 제시하고, 해당 내용을 no. 4, pp. 645-658, Dec. 2011
기반으로 보안위협과 보안요구사항을 도출하였다. 그 [3] Wenye Wang and Zhuo Lu, “Cyber se-
렇지만 위협모델링과 같은 체계적인 방법론을 적용하 curity in the Smart Grid: Survey and
여 충전 인프라에서 발생 가능한 보안위협을 분석하 challenges,” Computer Networks, vol.
고 보안요구사항을 도출한 연구는 거의 이루어지지 57, no. 5, pp. 1344-1371, Apr. 2013
않았다. [4] Todd Baumeister, “Literature review
본 논문에서는 보안위협모델링을 적용하여 분석 on smart grid cyber security,”
범위의 완전성 및 내용의 추적성을 만족하도록 분석 Collaborative Software Development
을 수행하였다. 분석 대상을 국내 환경부 산하 한국 Laboratory at the University of
환경공단의 전기차 충전 인프라로 선정하고 정확한 Hawaii, Dec. 2010
분석을 위해 한국환경공단의 전기자동차 충전기 통신 [5] Korea Environment Corporation, EV
규약 문서 및 특허 문서를 참고하여 Data Flow Charging Information System, http://
Diagram을 작성하였다. Attack Library는 신뢰 www.ev.or.kr/web/link/?pMENUMST_I
할 수 있는 기관 혹은 저자의 기술보고서, 논문, 표 D=21460
준, 취약점 데이터베이스를 참고하여 작성하였다. 그 [6] Adam Shostack, “Experiences Threat
리고 Microsoft사에서 공개 소프트웨어로 제공하는 Modeling at Microsoft,” Microsoft,
Microsoft Threat Modeling Tool 2016을 이용 2008
하여 STRIDE 분석을 수행하고 보안위협을 식별하 [7] P, Torr, “Demystifying the threat
였으며 위와 같은 내용을 근간으로 Attack Tree modeling process,” IEEE Security &
및 체크리스트를 도출하였다. 해당 체크리스트는 Privacy, vol. 3, no. 5, pp. 66-70, Oct.
Attack Library 활용에 따라 현존하는 공격사항들 2005
을 포함하고 있기에 전기차 충전 인프라 분석 범위 [8] Adam Shostack, Threat Modeling:
전체에 대한 분석에 사용이 가능하다. Designing for Security, John Wiley &
추후 전기차 충전 인프라를 구축하는 인프라 사업 Sons, Feb. 2014
자들은 인프라 구축 시 본 논문에서의 보안요구사항 [9] Paul Wang, Amjad Ali, and William
과 체크리스트를 참고할 수 있을 것이다. 하지만 본 Kelly, “Data security and threat mod-
논문에서는 분석의 범위를 일부 제한하였기에 모든 eling for smart city infrastructure,”
Use-case와 충전 인프라 관련 서비스에 대해 다루 2015 International Conference on
정보보호학회논문지 (2017. 12) 1453
rence on Computational Science and [34] Elaadnl, “EV Charging Systems Security
Technology (ICCST), IEEE, 2014 Requirements,” https://www.encs.eu/w
[26] Smart Border Alliance, “RFID Securit p-content/uploads/2017/06/Security_Re
y and Privacy White Paper,” https://w quirements_Charge_Points_v1.0_april20
ww.dhs.gov/xlibrary/assets/foia/US-VI 16.pdf
SIT_RFIDattachE.pdf [35] Ofer Shezaf, “Who can hack an plug,”
[27] Yan Zhang and Paris Kitsos, Security https://conference.hitb.org/hitbsecconf
in RFID and Sensor Networks, CRC 2013ams/materials/D2T2%20-%20Ofe
Press, Apr. 2009 r%20Shezaf%20-%20The%20Infosec%20
[28] S.W. Yi, J.H. Kim, and D.I. Seo, Risks%20of%20Charging%20Electric%2
“Technical Trends of DDos Attacks 0Cars.pdf
and Defense in Cellular Network,” [36] International Energy Agency, “Vehicle
ETRI Electronics and telecommu- -Grid Integration Cyber-security of P
nications trend, 26(6), Dec. 2011 EVs,” https://www.iea.org/media/topic
[29] Lukas Grunwald, “New attacks against s/transport/VehicletoGridCybersecurit
RFID-systems,” BlackHat USA, USA, yBrief.pdf
2006 [37] Isaac Ghansah, “Smart grid cyber se-
[30] Gabi Nakibly, “TCP Injection attacks curity potential threats, vulner-
in the wild,” BlackHat USA, USA, abilities and risks,” California Energy
2016 Commission, PIER Energy-Related
[31] Brendan O’Connor, “Vulnerabilities in Environmental Research Program,
Not-So-Embedded Systems,” BlackHat CEC-500-2012-047, 2009
USA, USA, 2006 [38] Common Vulnerabilities and Exposu-
[32] Mark Carey(PHORKUS), “Hacking res, https://cve.mitre.org/index.html
Embedded Devices,” DefCon 21, 2013
[33] SANS Institute, “Exploiting Embedded
Devices,” https://www.sans.org/readin
g-room/whitepapers/testing/exploiting
-embedded-devices-34022
정보보호학회논문지 (2017. 12) 1455
<저 자 소 개 >
차 예 슬 (Ye-Seul Cha) 학생회원
2013년 2월: 이화여자대학교 심리학과 졸업
2016년 3월~현재: 고려대학교 정보보호대학원 석사과정
<관심분야> IoT 보안, 정보보증, 개인정보 보호