임베디드 디자인의 개인정보 보호 강화를 위한 요구사항 식별

인터넷 연결 장치가 널리 보급됨에 따라 개인 정보에 대한 위험이 증가하고 있습니다. 다행히도 설계가 침입을 방지하고 개인 데이터에 대한 무단 액세스를 방지하는 데 도움이 되는 많은 기성 칩과 서비스가 있습니다. 핵심은 완화가 필요한 특정 위협을 식별하는 데 있습니다.

일반적으로 개인 정보 보호에는 정보 소유자의 승인 없이 지정된 정보에 액세스할 수 없도록 유지하는 것이 포함됩니다. 개인 정보 보호에는 보안이 포함됩니다. 정보를 안전하게 유지하지 않고는 비공개로 유지할 수 없습니다. 그러나 그것들은 같은 것이 아닙니다. 정보 보안에는 악의적인 변경 또는 파괴 방지도 포함됩니다. 그런 의미에서 정보는 비공개로 유지되지 않고 안전하게 유지될 수 있습니다.

개인 식별 정보(PII)로 알려진 개인과 관련될 수 있는 정보의 프라이버시를 유지하기 위한 전 세계의 많은 정부 규정 및 요구 사항과 함께 정보를 비공개로 유지해야 하는 많은 이유가 있습니다. PII를 구성하는 대부분은 명백합니다. 개인의 이름, 주소, 계좌 번호, 위치, 건강 상태, 이미지 및 활동과 같은 사항은 모두 대부분의 사람들이 개인 정보를 보호할 가치가 있는 것으로 인식하는 PII입니다.

그러나 보안을 유지해야 할 수 있는 다른 유형의 정보는 그 자체로 개인을 식별할 수 없기 때문에 명백히 비공개가 아닙니다. 그러나 두 번째 정보와 쌍을 이루면 첫 번째 정보가 식별될 수 있으므로 개인 정보 보호가 필요합니다. 예를 들어 연결된 온도 조절기의 온도 설정이 개인 정보 보호가 필요하지 않은 것처럼 보일 수 있습니다. 어딘가에 온도 조절기가 55도로 설정되어 있습니다. 그래서, 무엇? 그러나 해당 설정을 온도 조절기의 현재 위치에 대한 정보와 연결하면 갑자기 개인 정보가 됩니다. 특정 집의 온도 조절기가 55도로 설정되어 있다는 사실을 알고 있는 사람은 소유자가 휴가 중이고 집이 도둑질하기에 비교적 안전하다고 추론할 수 있습니다.

전자 장치에서 보안을 유지해야 할 수 있는 정보 또는 데이터는 상당합니다. 네트워크를 통과하거나 전선과 회로를 따라 전달되는 이동 중인 데이터뿐만 아니라 메모리 또는 스토리지에 있는 저장 데이터 모두 보호가 필요합니다. 해당 보호에 암호화가 포함되는 경우 일반적으로 암호화 키도 보호해야 합니다. 그리고 존재하거나 이동하는 개인 데이터와 키 외에도 설계자는 시스템 소프트웨어와 펌웨어가 변조로부터 안전한지 확인해야 "악의적인 행위자"가 시스템 동작을 변경하여 비공개로 유지되어야 하는 정보를 공개하지 않도록 할 수 있습니다.

또한 전자 데이터 보안이 손상될 수 있는 방법이 상당히 증가하고 있습니다. 원격 공격자는 네트워크 통신을 도청할 수 있습니다. "중간자"는 전송 중인 메시지를 가로채 의도된 수신자인 것처럼 가장하여 적법한 당사자 간에 메시지를 전달하여 중단을 숨길 수 있습니다. 원격 공격자는 또한 시스템 약점을 유발하는 메시지를 보내거나 프로비저닝 또는 무선 업데이트 중에 맬웨어를 삽입하거나 다른 코드 취약점을 악용할 수 있습니다.

그림 1: 데이터 보안을 손상시킬 수 있는 다양한 형태의 공격이 있으며 다양한 대응책이 필요합니다. (이미지 출처:ARM)

공격자가 시스템에 물리적으로 접근할 수 있거나 심지어 근접한 경우에도 침입 및 비침입의 추가 공격 경로가 열립니다. 신호 버스를 조사하면 시스템을 통과하는 개인 정보가 드러날 수 있습니다. 전력선 또는 EMI 방사를 모니터링하면 암호화 키를 복구할 수 있는 정보를 제공할 수 있습니다. 프로빙 및 분석을 위해 다이를 노출시키기 위해 포장을 벗겨내는 것과 같이 물리적 액세스를 통해 코드 저장 장치의 내용을 변경하거나 교체하는 것도 가능합니다.

데이터 보안에 대한 물리적 액세스 공격은 장치가 배포된 이후가 아닌 다른 시간에도 발생할 수 있습니다. 예를 들어, 불량 행위자는 제조 및 조립 중에 암호화 키를 복사하거나 전체 시스템을 복제할 수도 있습니다. 그러면 장치의 클론이 마치 시스템에 속한 것처럼 시스템에서 작동하여 "내부" 활동으로 거의 모든 형태의 보안을 우회할 수 있습니다. 그리고 장치가 서비스 중단 및 폐기되면 누군가가 장치를 획득하고 여가 시간에 정보를 추출할 수 있습니다.

단일 방법은 가능한 무수한 유형의 공격에 대한 보안을 제공하지 않으며 가능한 모든 보안 방법을 구현하는 데 엄청난 비용이 소요될 수 있습니다. 또한 공격 기회와 위험은 애플리케이션에 따라 다릅니다. 따라서 개발자는 구현할 방법을 신중하게 선택해야 합니다. 시작 위치는 위협 모델을 생성하여 세부 설계를 시작하기 전에입니다. 모델은 장치 자체뿐만 아니라 장치에 연결된 시스템도 고려해야 합니다. 또한 전체 수명 주기뿐만 아니라 장치의 정상 작동 설정 환경도 조사해야 합니다.

위협 모델을 개발할 때 개발자가 취해야 하는 몇 가지 단계가 있습니다.

1. 보호해야 하는 자산(데이터)을 식별합니다. 개인 정보 보호를 위해 여기에는 장치를 통해 존재하거나 이동 중인 모든 PII가 포함됩니다. 사용되는 경우 암호화 키도 포함해야 하며 시스템 펌웨어, ID 코드, 메시지 메타데이터 등을 포함해야 할 수도 있습니다.

2. 이러한 자산이 받을 수 있는 공격 유형을 식별하고 가능성을 추정하며 성공적인 공격의 영향을 평가합니다. 제조, 배포 및 폐기를 포함하여 장치의 전체 수명 주기를 포함해야 합니다. 이렇게 하면 완화가 필요할 만큼 심각한 위협을 식별하는 데 도움이 됩니다.

3. 설계 시간, 성능 및 BOM 측면에서 필요한 대책과 구현 비용을 결정합니다.

이렇게 개발된 위협 모델은 데이터 개인 정보 보호에 필요한 하드웨어 및 소프트웨어 설계 속성을 안내하는 데 도움이 됩니다. 다행히도 반도체 산업은 대부분의 위협을 해결하고 올바른 대응책을 적용하는 데 있어 개발자 지원을 제공하는 수많은 장치와 서비스를 개발해 왔습니다.