[도서 리뷰] Automotive Cybersecurity Engineering Handbook

휴가전에 출판사에서 Automotive Cybersecurity Engineering Handbook 책 출간 여부를 결정하기 위한 리뷰를 요청하였다. 리뷰는 이 책의 다루는 내용, 대상 독자, 시장성, 난이도 등을 고려하여 번역서를 출간해도 좋은지에 대한 것을 중점으로 진행하였다.

 

 

아래는 이 책이 다루는 내용이다.

파트1은 전체적으로 차량용 소프트웨어 및 사이버 보안에 대한 기본적인 이해를 위한 내용이다.

1장 "Introducing the Vehicle Electrical/Electronic Architecture" 에서는 전체적인 자동차의 EE 아키텍처에 대한 하드웨어/소프트웨어 구조 설명 및 자동차 네트워크에 대한 기본 설명을 함으로써 뒤에 나올 내용들에 대한 이해를 쉽게 하였다.

2장 "Cybersecurity Basics for Automotive Use Cases" 에서는 차량에서 이루어질 수 있는 Passive, Active 공격 유형에 대한 설명을 하고, 보안의 목적과 암호화에 대해서 이야기한다. 암호화부분에서 약간 난이도가 있게 이해를 해야하지만 전반적으로 Beginner 를 위한 내용들이다. 보안의 원칙에 대해서도 설명을 하고, 1장과 마찬가지로 뒷장에 나올 내용을 이해하기 쉽게하기 위해 도와주는 장이다.

3장 "Threat Landscape against Vehicle Components" 부터가 본격적으로 이 책에서 이야기하고자 하는 장이다. 외부 차량 인터페스, E/E 아키텍처, 차량 내 네트워크, 센서 등의 위협에 대해서 이야기한다.

파트 2는 보안 엔지니어링 개발 프로세스에 대해 이야기를 하고 있다. 자동차 분야의 사이버 보안에 대한 표준 및 기능 안전과의 상호작용에 대해서 설명한다.

4장 "Exploring the Landscape of Automotive Cybersecurity Standards" 에서는 사이버 보안에 대한 다양한 표준이 있고 이에 대해서 각각 간략히 설명한다. 필수로 지켜야할 것, 그 외의 것들에 대해서 각각 잘 설명해주고 있다.

5장 'Taking a Deep Dive into ISO/SAE21434"에서는 차량용 사이버 보안의 de facto 표준이라고 불리는 ISO/SAE21434에 대해서 조금 더 자세히 설명하다. 이 부분이 핵심 장 중에 하나로 봐도 무방할 듯 하다.

6장 "Interactions Between Functional Safety and Cybersecurity" 차량에서 중요한 기능안전 표준 ISO26262와 위에서 설명한 ISO/SAE 21434 사이버 보안의 관계에 대해서 이야기한다. 비슷한 내용들이 있기 때문에 통합 접근 방식에 대해서도 간단히 설명한다.

파트 2는 이론적인 설명이 강했다면 파트 3은 이를 실전에 조금 더 적용할 수 있도록 설명하고 있다.

7장 "A Practical Threat Modeling Approach for Automotive Systems" 에서는 TARA라는 위협 분석 및 위험 평가에 대한 이야기를 조금 더 하고 있다.

8장 "Vehicle-Level Security Controls" 에서는 다양한 사이버보안 위협이 어떻게 E/E 아키텍처와 관련 있는지 등에 대한 이야기를 한다. 그리고 어떻게하면 각 컴포넌트 레벨에서 보호를 할 수 있는지에 대한 간단한 이야기를 해주고 있다.

9장 "ECU-Level Security Controls"도 8장과 비슷하지만 ECU 레벨에서 보안을 어떻게 잘 할 수 있을지에 대한 이야기를 하고 있다.

결론

시장성은 잘 모르겠지만 대학 교재로 쓸 수 있을 만큼 이 책의 번역을 강력히 추천했다. 그리고 지인들에게 차량용 소프트웨어 (특히 사이버보안)에 대해 관심이 있으면 꼭 읽어보라고 했다. 목차와 내용이 정말 잘 정리되어 있는 책이다. 전체적인 리뷰를 위해 간략히 훑어보는 정도였지만 가능하면 추후에 도서를 구매해서 정독을 해볼까 한다.