자동차 및 임베디드 시스템 보안 교육

자율주행차에 대한 전망만큼 자동차 업계를 들끓게 하는 이슈도 없을 것입니다. 어떤 이들은 편리성 및 편의성, 안전성 측면에서 많은 혜택이 있다고 보는 반면, 어떤 이들은 해커의 차량 공격 가능성에 대해 우려하고 있습니다. 효과적인 임베디드 보안의 필요성은 자율주행차가 출현하기 전부터 대두되었습니다. 오늘날의 차량은 주행 거리계 조작, 차량 전자장치에 대한 불법 접근, 기타 여러 가지 위협 등으로부터 보호해야 할 필요가 있습니다.

이 보안 교육은 자동차 산업에 특화된 IT 보안 지식을 제공합니다. 교육 과정은 보안 ECU 설계부터 안전한 온보드 네트워킹 및 안전한 커넥티드 차량으로 이어지는 전체론적 접근방식을 따릅니다. 실습과 예제도 활용됩니다.

• 기간: 2일
• 수준: advanced

참가대상

• ECU, 온보드 네트워크 또는 커넥티드 카 서비스의 안전한 설계를 위해 자동차 보안 원칙에 대한 확고한 이해를 필요로 하는 제품 또는 프로젝트 관리자
• 보안 요구사항 및 보안 컨셉 분석 및 정의를 담당하는 자동차 제품 엔지니어

교육 목표

• 자동차 보안의 최근 동향에 대한 이해
• 자동차 보안에 대한 전체론적 관점 이해
• 안전한(보안) ECU 개발의 과제 및 솔루션에 대한 이해
• 안전한(보안) 네트워킹의 과제 및 솔루션에 대한 이해
• 커넥티드 카 보안의 과제 및 솔루션에 대한 이해
• 배운 이론을 실제 사례에 적용하는 방법 학습
• 주요 자동차 보안 표준에 대해 학습

요건

• 자동차 시스템에 대한 기본적 기술 이해(엔지니어링 수준)
• 암호화 기법 및 IT 보안에 대한 기본적 기술 이해(즉, 보안 제품 설계 또는 유사 설계에 관한 지식)

이 교육은 커넥티비티에 관한 기본적 이해를 제공하고 IoT 프로토콜 및 기술에 대해 자세히 다룹니다.

• 기간: 1일
• 수준: advanced

참가대상

• 커넥티드 또는 IoT 제품의 보안 설계에 대해 명확한 이해가 필요한 제품 관리자 또는 프로젝트 관리자
• 보안 요구사항의 분석 및 정의, 보안 컨셉의 정의를 담당하는 제품 엔지니어

교육 목표

• 커넥티비티에 관한 보안 측면 이해
• 접근 제어 강화의 주요 측면 이해
• 보안 프로토콜 구성 및 위험 요소에 대한 개괄적 지식 습득
• IoT 프로토콜에 대한 기초 학습
• 인터페이스에 대한 위협 및 완화 방법 이해
• 웹 서비스 및 발생가능한 취약점에 대한 기초 이해

요건

수학 및 정보 기술에 대한 기본적 기술 이해(엔지니어링 수준)

암호화 기법 및 IT 보안에 대한 기본적 기술 이해(즉, 보안 제품 설계 또는 유사 설계에 관한 지식)

제품 개발의 기술적, 조직적 측면을 다루는 기본 IT 보안 교육입니다. 이 교육은 기존 개발 프로세스 및 애자일 개발 프로세스의 보안 작업, 암호화 기법과 기본적인 IT 보안 조치에 대해 다룹니다.

• 기간: 2일
• 레벨: basic

참가대상

• 안전한 제품 설계를 위해 일반적인 보안 원칙, 프로세스 및 도구에 대한 확고한 이해가 필요한 제품 또는 프로젝트 관리자
• 보안 요구사항의 분석 및 정의, 보안 컨셉의 정의를 담당하는 제품 엔지니어

교육 목표

• 보안의 다양한 측면에 대한 이해(예: 이론과 실무 비교, 과제 등)
• 보안의 기초 학습 및 이해(예: 기초 용어)
• 안전한 소프트웨어 개발 라이프사이클 설정하는 방법 학습
• 암호화 툴, 알고리즘, 프로토콜에 대한 기본 지식 습득
• 접근 제어(인증, 권한 부여)의 주요 측면 이해
• 주요 보안 원칙 적용 방법 학습
• 보안 코딩 기법 이해

요건

수학 및 정보 기술에 대한 기본적인 기술적 이해(엔지니어링 수준)

이 교육을 통해 자동차 제품의 일반적인 사이버 보안 테스트 라이프사이클에 대해 배우고, 실용적이고 효과적인 보안 테스트 방법을 파악하고, 글로벌 자동차 규정 및 표준의 요구사항을 어떻게 충족할 수 있는지에 대해 이해할 수 있습니다.

• 기간: 1일
• 레벨: basic

참가대상

• 보안 테스트 방법과 해당 방법을 전체 개발 라이프사이클에 적용하는 방법을 명확히 이해해야 하는 제품 관리자, 프로젝트 관리자, 테스트 관리자, 보안 관리자
• 테스트 전략 실행을 담당하는 시스템 엔지니어, 시스템 설계자, 테스트 담당자

교육 목표

• 보안 테스트의 동기, 도전 과제 및 한계에 대해 이해
• 제품 개발 라이프사이클에서 보안 테스트를 철저히 고려하는 방법 파악(예: 라이프사이클의 각 단계에서 테스트 활동)
• 각각의 보안 테스트 방법에 대한 개요 및 차이점 이해
• 보안 테스트의 기본 원칙 학습 및 이해
• 보안 테스트를 실시하는 테스트 셋업(예: 시스템, 디바이스, 컴포넌트, 인터페이스)에서 무엇을 표적으로 정할 것인가에 대한 학습 및 이해
• 식별된 취약점에 대한 처리 및 완화 방법 이해
• 주요 표준 및 규정에 따른 보안 테스트 요구사항 이해
• 개별 주제에 대한 이해를 돕기 위한 연습

요건

• 시스템/제품 및 시스템/제품 개발에 대한 기술적 이해
• IT 보안에 대한 기본 지식이 있는 경우 도움이 됩니다.

견고한 TARA(Threat Analysis and Risk Assessment, 위협 분석 및 위험 평가)는 철저한 보안 컨셉의 기초로, 개발 프로세스에서 모든 보안 관련 단계의 기초가 됩니다. 이 코칭은 common criteria를 기반으로 ISO/SAE 21434에 완전히 부합하는 확립, 승인된 TARA 방법론에 대해 설명합니다.

이론적 설명과 더불어 실습을 진행합니다. 이 과정에서 고객 팀은 하나의 자체 시스템에 대한 TARA를 작성하고 이타스 강사는 작성 과정을 지원 및 검토합니다.

• 기간: 3일(약 3개월 소요)
• 레벨: coaching

참가대상

• 제품 개발 프로세스에서 위협 분석 및 위험 평가 방법론을 이해해야 하는 제품 관리자, 프로젝트 관리자
• 제품 개발 프로세스에서 위협 분석 및 위험 평가를 담당하는 보안 관리자

코칭 주제

• 위협 분석 및 위험 평가가 ISO/SAE 21434와 같은 맥락에서 효율적이고 효과적인 위험 관리에 어떻게 기여하는지 학습 및 이해
• 위협 분석 및 위험 평가가 수행되는 방법론 이해
• 시스템 중 하나에 대한 위협 분석 및 위험 평가 수행

소개를 시작으로 고객사의 현재 보안 테스트 상태를 평가하고, gap을 파악하며, 향후 전략을 개발합니다.

• 기간: 1일
• 레벨: coaching

참가대상

• 보안 테스트 방법과 해당 방법을 전체 개발 라이프사이클에 적용하는 방법을 명확히 이해해야 하는 제품 관리자, 프로젝트 관리자, 테스트 관리자, 보안 관리자

교육 목표

• 보안 테스트의 수행 동기, 도전 과제 및 한계에 대해 이해
• 제품 개발 라이프사이클에서 보안 테스트를 철저히 고려하는 방법 파악(예: 라이프사이클의 각 단계에서 테스트 활동)
• 각각의 보안 테스트 방법에 대한 개요 및 차이점 이해
• 보안 테스트의 기본 원칙 학습 및 이해
• 보안 테스트를 실시하는 테스트 셋업(예: 시스템, 디바이스, 컴포넌트, 인터페이스)에서 무엇을 표적으로 정할 것인가에 대한 학습 및 이해
• 식별된 취약점에 대한 처리 및 완화 방법 이해
• 워크숍 중에 보안 테스트 전략의 초안 작성
• 주요 표준 및 규정에 따른 보안 테스트의 요구사항 이해
• 강사와 함께 고객사의 현 상태 분석
• 현 상태와 모범 사례 및 기타 요구사항과 비교
• 미래를 위한 청사진 개발 및 다음 단계 정의

요건

• 시스템/제품 및 시스템/제품 개발에 대한 기술적 이해
• IT 보안에 대한 기본적인 지식이 있는 경우 도움이 됩니다.
• 자체 보안 테스트 전략의 개요(있는 경우)

이 교육에서는 최신 국제 표준에서 요구하는 보안 요구사항과 이를 구현하는 방법을 배웁니다.

• 기간: 1일
• 레벨: basic

참가대상

• 요구사항 표준 및 관련 카탈로그와 국제 표준에 명시된 보안 목표에 대해 지식을 얻고자 하는 리스크 관리자
• 표준 카탈로그에서 보안 요구사항을 도출하는 과정의 기초를 배우고자 하는 프로덕트 오너

교육 목표

• 정보 보안 표준 입문
• ISO 27001(정보 보안 관리)
• OWASP ASVS(Application Security Verification Standard, 애플리케이션 보안 검증 표준) v4.X
• OWASP MASVS(Mobile Application Security Verification Standard, 모바일 애플리케이션 보안 검증 표준) v1.2
• NIST 800-53(보안 및 개인정보 관리 카탈로그)

요건

• 관리 시스템에 대한 기초 지식
• 보안 표준에 대한 기초 지식

이 IT 보안 교육은 ISO/SAE21434 요구사항과 UN R 155(UNECE WP.29)에 따른 사이버 보안 관리를 중점적으로 다룹니다. 이 교육에서는 위험 평가 뿐만 아니라 컨셉부터 개발, 개발 후까지의 각 엔지니어링 단계를 다룹니다.

이 교육을 통해 TÜV [PA(SB3)] Rheinland의 "Cybersecurity Automotive Professional" 자격증을 취득할 수 있습니다.

• 기간: 2일
• 수준: advanced

참가대상

• 보안 관리자, 제품 관리자, 프로젝트 관리자
• 시스템 엔지니어, 소프트웨어 엔지니어, 하드웨어 엔지니어 및 개발자

교육 목표

• ISO/SAE 21434준수 보안 엔지니어링의 구성 요소를 이해
• ISO/SAE 21434가 UN R 155의 요구사항 충족에 어떻게 도움이 되는지 이해
• 제품 보안에 대한 ISO/SAE 21434의 위험 기반 접근 방식 이해
• 관련 케이스 스터디를 통해 ISO/SAE 21434에 대해 이해
• 사이버 보안 relevance 평가, 보안 목표, 보안 컨셉 등 컨셉 단계의 보안 엔지니어링에 대해 학습
• 사이버 보안 DIA, 설계, 구현, V&V 등 개발 단계에서 보안 엔지니어링의 중요성 이해
• 생산, 운영, 유지보수, 폐기에서의 사이버 보안 이해

요건

• 자동차 시스템에 대한 기본적 기술 이해(엔지니어링 수준)

콘텐츠

• 보안 엔지니어링 소개
• 거버넌스, 에코시스템
• 위험 관리
• 컨셉과 개발
• 생산과 운영

제품 개발의 기술적, 조직적 측면을 다루는 기본 IT 보안 교육입니다. 이 교육은 기존 개발 프로세스 애자일 개발 프로세스에서의 보안 작업, 암호화 기법과 기본적인 IT 보안 조치에 대해 다룹니다.

• 기간: 2일
• 레벨: basic

참가대상

• 안전한 제품 설계에 필요한 일반 보안 원칙, 프로세스 및 툴에 대해 명확히 이해해야 하는 제품 관리자 또는 프로젝트 관리자
• 보안 요구사항의 분석 및 정의, 보안 컨셉의 정의를 담당하는 제품 엔지니어

교육 목표

• 보안의 다양한 측면에 대한 이해(예: 이론과 실무 비교, 과제 등)
• 보안의 기초 학습 및 이해(예: 기초 용어)
• 안전한 소프트웨어 개발 라이프사이클 설정하는 방법 학습
• 암호화 툴, 알고리즘, 프로토콜에 대한 기본 지식 습득
• 접근 제어(인증, 권한 부여)의 주요 측면 이해
• 주요 보안 원칙 적용 방법 학습
• 보안 코딩 기법 이해

요건

수학 및 정보 기술에 대한 기본적 기술 이해(엔지니어링 수준)

이 교육에서는 Windows 설치 프로그램에 흔히 발생하는 공격에 대해 알아보고, Command & Control 프레임워크 등의 툴과 외부 공격자가 사용할 수 있는 Mimikatz 등의 멀웨어에 대해 살펴봅니다.

• 기간: 1일
• 레벨: basic

참가대상

• Windows 관리자
• Windows 호스트 기반 애플리케이션 또는 서비스 관리자
• 해당 시스템, 애플리케이션 및 서비스의 개발자 및 설계자
• Windows 시스템의 보안 및 하드닝 옵션 평가에 관심 있는 사용자

교육 목표

• Windows 설치 프로그램에 흔히 발생하는 공격 학습
• Command & Control 프레임워크 등의 툴과 외부 공격자가 사용할 수 있는 Mimikatz 등의 멀웨어 설명
• 구성 오류 및 권한 상승 가능성을 찾는 방법 학습
• Windows 하드닝 옵션 및 대응 조치에 대한 심층 이해
• 전반적 연습 과정을 포함한 해킹 실습

요구 사항

• Windows에 대한 기초 지식
• IT 보안에 대한 기본적 이해 및 지식

이 코칭은 위협 및 위험 분석과 위협 모델을 구축, 실행, 평가하는 방법에 대해 자세히 다룹니다.

• 기간: 2일
• 수준: advanced

참가대상

• 위협 모델의 방법론 및 설계 모델을 이해해야 하는 제품 및 프로젝트 관리자
• 위협 모델을 설계하거나 설계 모델을 이해해야 하는 보안 관리자
• 시스템, 소프트웨어, 하드웨어 엔지니어 및 개발자

교육 목표

• 위협 및 위험 분석/위협 모델에 대한 일반적인 정의 이해
• STRIDE 방법론에 따라 위협 모델을 수행하는 4단계에 대한 심층 이해
• 신뢰 경계를 포함한 자체 제품/서비스/솔루션의 데이터 흐름 다이어그램을 작성하는 방법 학습
• 위험 또는 위협을 평가/식별하는 방법에 대한 기초 이해
• 식별된 각 위협에 대한 대응 또는 완화 조치를 면밀히 구상하는 방법 학습
• 자체 분석을 평가하고 최적의 조치 사항을 면밀히 구상하는 몇 가지 방법 이해

요건

• IT 보안에 대한 기본적 이해 및 인식
• 시스템 개요, 사용된 기술 및 관련 컴포넌트 간 통신에 대한 지식

이 기초 교육에서는 웹 애플리케이션에서 가장 많이 발생하는 보안 취약점을 살펴보고 웹 애플리케이션을 보호하는 방법을 보여줍니다.

• 기간: 1일
• 레벨: basic

참가대상

• 기본적인 웹 애플리케이션 취약점과 이를 방지하는 방법을 배우고자 하는 개발자
• 웹 애플리케이션 또는 플랫폼 보호에 대해 자세히 알고 싶은 설계자

교육 목표

• OWASP Top10을 다루는 웹 애플리케이션 보안 소개
• 가장 일반적인 취약점과 그에 대한 대응 조치 학습
• 가장 일반적인 공격 데모를 포함한 OWASP Top 10
• 취약점:
  • 인젝션
  • 암호화 실패
  • 서버 사이드 요청 위조
  • 취약하고 오래된 구성 요소
  • 식별 및 인증 실패
  • 잘못된 보안 구성
• 기본적인 모의 해킹 기술을 학습할 수 있는 해킹 실습

요건

• 웹 애플리케이션에 대한 기초 지식
• 엔터프라이즈 IT 기술에 대한 배경 지식

이 교육에서는 클라우드 보안의 기초, 잠재적 공격 경로 및 완화 방법을 실제 CTF 방식의 연습을 통해 배웁니다.

• 기간: 1일(참가자의 경험에 따라 최대 2일)
• 수준: advanced

참가대상

• 클라우드 환경에서 작업해야 하는 제품 및 프로젝트 관리자
• 클라우드 제품 담당 보안 관리자
• 시스템, 소프트웨어, 하드웨어 엔지니어와 클라우드에서 작업하는 개발자

교육 목표

• 클라우드 보안의 정의 이해
• 사이버 킬 체인(cyber kill chains)에 대한 심층적 인사이트, 클라우드 시나리오에 어떻게 적용되는지 이해
• 주요 클라우드 공격 킬 체인에 대한 이해
• 취약한 환경에서 클라우드 공격 킬 체인 적용
• 아키텍처 및 클라우드 인프라에서 대응책 및 완화 조치 학습

요건

• IT 보안에 대한 기본적 이해 및 지식
• 시스템 개요, 사용된 기술 및 관련 컴포넌트 간 통신에 대한 지식
• 클라우드에 대한 기본 지식