01 안전 필수 시스템을 위한 안전성과 보안성 결합 모델

2018. 10. 11.
기술세미나
안전 필수 시스템을 위한
Safety와 Security 결합 모델
한 혁수
상명대학교 교수
소프트웨어 안전성 보증 연구센터장
Software Safety Assurance Research Center
SSARC : 소프트웨어 안전성 보증 연구센터
주관대학 : 상명대학교 참여 교수
소프트웨어 안전성 보증 연구센터 참여
참여대학(5) : 서울여자대학교, 부산대학교, 경기대학교, 충남대학교, 고려대학교 총 14 명
대학
참여 학생
총 42 명
참여기관(2) : ㈜에스피아이디, 기산전자㈜
참여 기업
참여 참여기업 : ㈜브이아이텍, ㈜ 인더스웰, 네무스텍㈜, 유엔젤㈜,
기업 비컴솔루션㈜, 오토아이티㈜, 가온미디어㈜, ㈜성원디엔텍 총 10 기업
▪ 사업 명
• 대학ICT연구센터육성지원사업 (ITRC) – SW 공학 (안전 SW)
▪ 지원기관
• 미래창조과학부 산하
정보통신기술진흥센터 (IITP)
▪ 과제 기간
• 2015년 ~ 2018년 (41개월 / 29.3억)
− ※ 2년 연장 가능
▪ Home page (http://ssarc.re.kr)
2 Copyright 2018 SSARC., All rights reserved.

[ 목차 ]
1. 안전 필수 시스템
2. 해저드(Hazard) 분석
3. 안전성(Safety)과 보안성(Security)
4. 안전과 보안 요구사항 분석 결합 모델
5. SSARC의 연구방향
6. Q & A
1. 안전 필수 시스템
“Freedom from unacceptable risk”

Safety
출처) ISO/IEC GUIDE 51
Safety is a degree of risk

The smaller the risk, the safer
허용
가능 위험
Safety Risk

Safety-Critical(안전필수, 고안전, 안전중심) System
인프라 교통 재난관리
• 원자력발전소제어시스템 • 열차자동정지시스템 • 종합홍수예보시스템
• 전력관리시스템 • 항공관제시스템 • 재난방송시스템
• 배전자동화시스템 • 고속도로교통정보시스템 • 재난상황전파시스템
• 댐수문관측시스템 • 선박교통관제시스템 • 산불상황관제시스템
• 수도오존공정시스템 • 선로전환기제어시스템 • 국가재난관리정보시스템
• 지역난방제어시스템 • 철도운영종합관제시스템 • 긴급구조시스템
출처) “SW 안전진단 및 컨설팅”, 한국정보통신기술협회(TTA), 2015

안전 필수 시스템의 개발 요건
1. 철저한 해저드(Hazard) 분석 및 조치
2. 전 개발 과정에서 엄격한 안전 활동 준수
3. 관련 표준 규정 준수

안전성 관련 표준 제정 및 안전 활동 준수 의무화
IEC 61508
(Meta Standard)
Functional safety of electrical/electronic/programmable electronic safety-related systems
전기/전자/프로그램 가능한 전자장치 안전 관련 시스템의 기능 안전성
자동차 철도 항공 원자력 의료
ISO 26262 EN 50129, ARP 4754, IEC 60880, IEC 62304,
EN 50126 DO-178 IEC 61513 IEC 60601
[ 사례 ]
차량 내 SW 결함으로 인한 사고 발생 시 기업은
ISO 26262 표준에 부합해 개발 했는지 증명해야 한다.

IEC 61508의 안전 생명주기(Safety Lifecycle)
1 Concept
2 Overall Scope Definition
3 Hazard & Risk Analysis
4 Overall Safety Requirements
Overall Safety
5
Requirement Allocation
E/E/PES System Safety

9
Requirements Specification
Overall Planning Safety-related

systems: E/E/PE Other risk
10 11 Reduction
Operation & Installation & Safety Realization: measures
6 7 8
Maintenance Commissioning Validation E/E/PE
Overall Installation &

12
Commissioning
13 Overall Safety Validation
Overall Operation, Overall Modification

14 15
Maintenance & Repair & Retrofit
16 Decommissioning or Disposal
참조) IEC 61508 : 2010

SSARC 안전성 보증 프로세스

기술 세미나 주제
제1회
MIT의 Safety 분석 기법 : STPA
제2회
Safety Requirement Analysis Method
제3회
Multi View 기반의 Hazard 분석 기법과 로봇의 안전성(ISO 13482)
제4회
안전 필수 시스템을 위한 Safety와 Security 결합 모델

2. 해저드 분석
Hazard ISO 12100: 2010

𝑃1
Risk
combination of
the probability of occurrence of harm
and the severity of that harm
Harm 𝑃2
Risk 평가
Probability of
Severity of
the Harm
Occurrence Risk
of Harm
𝑃1 x 𝑃2

이런 상황이 발생하는 이유는?
Hazard
Train starts with door open.
Door opens while improperly aligned with the platform.
Door closes while someone is in the doorway.
Doors cannot be opened for emergency evacuation.
A safety constraint is any constraint primarily intended to ensure a

minimum level of safety (e.g., a mandated safeguard).

Hazard와 Safety Requirements (Constraints)
Hazard Safety Constraints
Train must not be capable of moving with any

Train starts with door open.
door open.
Doors must be capable of opening only after

Door opens while improperly aligned with the
train is stopped and properly aligned with
platform.
platform unless emergency exists
Door areas must be clear before door closing

Door closes while someone is in the doorway.
begins
Means must be provided to open doors

Doors cannot be opened for emergency
anywhere when the train is stopped for
evacuation.
emergency evacuation

전통적인 분석 : Chain of Event Model
▪ Event의 chain을 끊을 수 있다면 사고 예방 가능

(특정 원인 Event를 제거한다면 사고 예방 가능)
▪ 예방책
• If chain can be broken, the accident will not happen
Cause
Direct Causality [ A B : If A Then B ]
Direct Relationship
Necessary
conditions
Linear Relationship

주요 Hazard 분석 방법들
PHL
Preliminary Hazard List
PHA
Preliminary Hazard Analysis
Concept 단계
SHA
System Hazard Analysis
SSHA IHA
Sub-System Hazard Analysis Interface Hazard Analysis
HAZOP
Hazard and Operability
FTA FMEA
Fault Tree Analysis Failure Mode and Effect Analysis

FTA (Fault Tree Analysis)
시스템에 문제를 발생시키는 특징 Failure에 대해 예상 가능한 근본 원인을 식별하고,

그에 대한 논리적 구조를 규명하는 분석 기법
Failure
Boolean Gate (ex. AND gate)
Input Causal Event

FMEA (Failure Mode and Effect Analysis)
시스템의 발생 가능한 고장 모드(Failure Modes)를 정의하고,

영향(Effect)을 분석하여, 해결 또는 예방책을 식별하는 분석 기법
% failures Effects
Critical Failure Probability Failure Mode
by mode Critical Noncritical
Open 90 X
A 1 X 10−3 Short 5 5 X 10−5
Other 5 5 X 10−5
Open 90 X
B 1 X 10−3 Short 5 5 X 10−5
Other 5 5 X 10−5
출처) W.E. Vesely, F.F. Goldberg, N.H. Robers, and D.F. Haasl, Fault Tree Handbook, NUREG-0492, U.S. Nuclear Regulatory Commission, Washington, D.D., 1981
HAZOP (HAZard and Operability Study)
시스템의 정상 동작으로부터 예측 가능한 이상 동작을

Guide Words를 활용하여 식별하는 분석 기법
No Guideword Interpretation
1 No/None Complete negation of the design intention No part of the intention is achieved and nothing else happens
2 More Quantitative increase
3 Less Quantitative decrease
4 As Well As All the design intention is achieved together with additions
5 Part of Only some of the design intention is achieved
6 Reverse The logical opposite of the design intention is achieved
Complete substitution, where no part of the original intention is achieved but something quite different
7 Other than happens
8 Early Something happens earlier than expected relative to clock time
9 Late Something happens later than expected relative to clock time
10 Before Something happens before it is expected, relating to order or sequence
11 After After Something happens after it is expected, relating to order or sequence

새로운 환경 : System Theory
▪ Modern System
• Too complex for complete analysis
• Too organized for statistics System taken as a whole
▪ The whole is more than the sum of the parts
▪ Safety as Emergent Property

• The relationships and interactions among system components and behavioral events
[ 시스템 구조 ]
ECU
Application SW
Sensor Device Actuator

OS
Driver
CPU Etc
Core Driver

Leveson’s Model
▪ STAMP - Systems Theoretic Accident Model and Processes
▪ STPA - System Theoretic Process Analysis
▪ CAST - Causal Analysis based on STAMP
STPA CAST
- Hazard Analysis - - Accident Analysis -
STAMP
- Accident Model -

Control Structure
Controller
Model
of Process
Control
Actions Feedback
Actuator Sensors
Controlled
Human Process
Operator

Unsafe Control Action
Type
A required control action is not provided or not followed
1
Type
An incorrect or unsafe control action is provided
2
Type A potentially safe control action is provided too early or too late,
3 that is, at the wrong time or in the wrong sequence
Type A continuous control action is provided too long or is stopped too

4 soon

STPA의 특징
▪ Safety 이슈를 Control 문제로 접근

• Component Failure가 없는, Unsafe/Unintended Interaction으로 인한 Failure 시나리오 도출 가능
▪ STPA를 위한 Functional Control Diagram과 Guide Words를 제공

SAMM : Safety Analysis based on Multi-view Modeling

3. 안전성과 보안성
Safety Security
Risk Risk
안전 필수 시스템 (Safety Critical System)
: 사고 발생 시에 인명 및 재산 피해가 발생하는 시스템
보안 필수 시스템 (Cyber Security Critical System)
: system that may lead to financial, operational, privacy, or safety losses

개념단계 보안활동 – SAE J3061
Feature Definition
Initiation of Cybersecurity Lifecycle

(Planning)
Identify Highest Risk Potential
Threats
Threat Analysis and Risk Assessment
Identify Cybersecurity Goals
Cybersecurity Concept
Identify Functional Cybersecurity

Requirements
Initial Cybersecurity Assessment
Concept Phase Review

Threat 분석 – MS의 STRIDE
위협 속성 정의 예
Spoofig 허가받지 않거나 인증 받지 않은 주체 또는 시스템

인증 인증 패킷 재사용
(스푸핑) 요소가 허가 또는 인정 받은 것처럼 위장하는 기술
Tampering 프로세스, 파일, 네트워크 전송 값과 같은 대상의

무결성 파일의 데이터 변경
(변조) 구성요소를 변조시키는 위협
Repudiation 주체가 대상에 대해 쓰기, 읽기, 접근과 같은 특정

부인 방지 중요한 파일 삭제 후 부인
(부인) 행위를 한 뒤 이를 부인하는 행위
Information Disclosure 대상의 민감 또는 중요 정보가 허락되지 않은 대상

기밀성 오류 메시지에 있는 정보 노출
(정보 노출) 또는 사람에게 노출되는 위협
자원 소모와 같은 특정 행위를 통해 대상의

Denial of Service
가용성 정상적인 동작을 방해하거나 중지시키는 모든 SYN 패킷을 대량으로 보냄
(서비스 거부)
위협
접근, 실행 권한이 없는 주체가 주체에 할당된

Elevation of Privilege 버퍼 오버런을 악용하여
권한 부여 권한보다 높은 권한이 할당된 대상에 접근하거나
(권한 상승) 시스템 권한 획득
실행하는 위협

Safety와 Security의 차이
Safety Security
Safety Critical System Security Critical System
Accidental Malicious
Hazard Analysis Threat Analysis
Malfunction Vulnerability
Hazardous Situation Attack

안전과 보안 요구사항
4. 분석 통합 모델
독립적 분석 통합 분석
Safety X Security Safety & Security
Hazard Threat
X

CHASSIS
(Combined Harm Assessment of Safety and Security for Information Systems)
Existing security model Existing safety model
Weakness, error, or
Human or event with
unexpected interaction Condition, event, or circumstance that
capability to exercise a
arising in policy, could lead to or contribute to an
vulnerability; achieving harm
requirements, development, unplanned or undesired event
to person, organization, or
implementation, or
assets
operation
Hazard
Flaw Threat-source
Occurrence of a specific hazard event
with likelihood and resulting impact
Flaw that can be exercised
(intentionally exploited or
unintentionally triggered),
leading to harm to
individuals, organization, or Mishap
assets
Potential for
Risk = net impact = impact * likelihood
harmful
Vulnerability +
security
event
Risk

개념단계의 통합 – SAE J3061
Feature Definition Potential Communication

Paths between Cybersecurity
And Safety Engineers
Initiation of Cybersecurity Lifecycle

(Planning)
Identify Highest Risk Potential
Safety Process
Threats
Threat Analysis and Risk Hazard Analysis & Risk

Assessment Assessment
Identify Cybersecurity Goals
Cybersecurity Concept Functional Safety Concept
Identify Functional Cybersecurity Functional Safety

Requirements Requirements
Initial Cybersecurity Assessment
Concept Phase Review Concept Phase Review

STPA-Sec : The Extension of STPA
▪ The focus shifts from “preventing failures” to “enforcing safety constraints on system
behavior”
▪ Top down approach

• The analysis moves from general to specific
− From organizational purpose and goals
• From strategic question
− what to how
▪ Vulnerabilities lead to security incidents

STPA-Sec Process
▪ Step 1: Establishing the Systems Engineering Foundation
▪ Step 2: Creating a Model of the High Level Control Structure
▪ Step 3: Identifying unsafe/unsecure control actions
▪ Step 4: Developing Security Requirements and Constraints
▪ Step 5: Identifying Causal Scenarios

Extended STPA-Sec
▪ Leveson의 STPA-Sec을 적용해보면서, safety 및 security의 동시 분석의 2가지 한계점을

식별 후, 개선된 STPA-Sec을 제안
▪ 보완해야 할 사항
• Attacker의 Intentional causal scenario의 식별에 대한 가이드라인
• Control structure model에 security 관련 요소
출처) Limitation and Improvement of STPA-Sec for Safety and Security Co-analysis 2016, Christoph Schmittner,
Zhendong Ma, and Peter Puschner

5. SSARC의 연구방향
SAMM + Security

Negative View 기반의 Hazard + Threat 분석
Safety Security Negative View 기반의 Hazard + Threat 분석

: Hazard 분석 : Threat 분석 : Hazard 및 Threat의 통합된 프로세스
Multi View
Modeling
Actor Use Case Sequence State Control

Requirement Structure
Adapted or
Extended
Guide Word
(HAZOP, STPA, Std ..)
Hazard Safety
Negative View Modeling
Hazardous Hazardous Failure Abnormal Unsafe

Requirement
Actor Use Case Sequence State Control Action
Add threat
that affect safety
to hazard list
Threat
Mis-Actor Misuse Case Misuse Vulnerable Unsecure
Sequence State Control Action

Q&A

01 안전 필수 시스템을 위한 안전성과 보안성 결합 모델

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

01 안전 필수 시스템을 위한 안전성과 보안성 결합 모델

Uploaded by

Copyright:

Available Formats

2018. 10. 11.

SSARC : 소프트웨어 안전성 보증 연구센터

▪ Home page (http://ssarc.re.kr)

2 Copyright 2018 SSARC., All rights reserved.

“Freedom from unacceptable risk”

Safety is a degree of risk

5 Copyright 2018 SSARC., All rights reserved.

Safety-Critical(안전필수, 고안전, 안전중심) System

• 원자력발전소제어시스템 • 열차자동정지시스템 • 종합홍수예보시스템

• 전력관리시스템 • 항공관제시스템 • 재난방송시스템

• 배전자동화시스템 • 고속도로교통정보시스템 • 재난상황전파시스템

• 댐수문관측시스템 • 선박교통관제시스템 • 산불상황관제시스템

• 수도오존공정시스템 • 선로전환기제어시스템 • 국가재난관리정보시스템

• 지역난방제어시스템 • 철도운영종합관제시스템 • 긴급구조시스템

출처) “SW 안전진단 및 컨설팅”, 한국정보통신기술협회(TTA), 2015

6 Copyright 2018 SSARC., All rights reserved.

7 Copyright 2018 SSARC., All rights reserved.

8 Copyright 2018 SSARC., All rights reserved.

IEC 61508의 안전 생명주기(Safety Lifecycle)

2 Overall Scope Definition

3 Hazard & Risk Analysis

4 Overall Safety Requirements

E/E/PES System Safety

Overall Planning Safety-related

Overall Installation &

13 Overall Safety Validation

Overall Operation, Overall Modification

9 Copyright 2018 SSARC., All rights reserved.

SSARC 안전성 보증 프로세스

10 Copyright 2018 SSARC., All rights reserved.

MIT의 Safety 분석 기법 : STPA

Safety Requirement Analysis Method

Multi View 기반의 Hazard 분석 기법과 로봇의 안전성(ISO 13482)

안전 필수 시스템을 위한 Safety와 Security 결합 모델

11 Copyright 2018 SSARC., All rights reserved.

Hazard ISO 12100: 2010

13 Copyright 2018 SSARC., All rights reserved.

이런 상황이 발생하는 이유는?

Train starts with door open.

Door opens while improperly aligned with the platform.

Door closes while someone is in the doorway.

Doors cannot be opened for emergency evacuation.

A safety constraint is any constraint primarily intended to ensure a

14 Copyright 2018 SSARC., All rights reserved.

Hazard와 Safety Requirements (Constraints)

Hazard Safety Constraints

Train must not be capable of moving with any

Doors must be capable of opening only after

Door areas must be clear before door closing

Means must be provided to open doors

15 Copyright 2018 SSARC., All rights reserved.

전통적인 분석 : Chain of Event Model

▪ Event의 chain을 끊을 수 있다면 사고 예방 가능

Direct Causality [ A B : If A Then B ]

16 Copyright 2018 SSARC., All rights reserved.

17 Copyright 2018 SSARC., All rights reserved.

FTA (Fault Tree Analysis)

시스템에 문제를 발생시키는 특징 Failure에 대해 예상 가능한 근본 원인을 식별하고,

Boolean Gate (ex. AND gate)

Input Causal Event

18 Copyright 2018 SSARC., All rights reserved.

FMEA (Failure Mode and Effect Analysis)

시스템의 발생 가능한 고장 모드(Failure Modes)를 정의하고,