An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors

이 논문은 자동차 반도체의 기능 안전과 사이버 보안을 통합적으로 분석하기 위해 교차 영역 상관 요인 (CDCF) 을 정량화하여 위험 우선순위를 개선하는 통합 실패 및 위협 모드 영향 분석 (FTMEA) 프레임워크를 제안하고, ASIC 구성 레지스터 사례 연구를 통해 그 유효성을 입증합니다.

핵심

이 논문은 현대 자동차의 '두뇌'라고 할 수 있는 반도체 칩을 더 안전하고 해킹에 강하게 만들기 위한 새로운 방법론을 소개합니다.

기존에는 **안전 (Safety)**과 **보안 (Cybersecurity)**을 따로따로 분석했는데, 이 두 가지가 서로 얽혀 있을 때 생기는 문제를 놓치기 쉽다는 문제점을 지적합니다. 이 논문은 이를 하나로 통합한 **'FTMEA'**라는 새로운 프레임워크를 제안합니다.

이 복잡한 내용을 누구나 이해할 수 있도록 비유와 예시를 들어 설명해 드리겠습니다.

---

🚗 1. 문제 상황: "안전한 차"와 "도둑이 없는 차"는 따로 생각하면 안 돼요

과거에는 자동차를 설계할 때 두 팀이 따로 일했습니다.

• 안전 팀 (Safety Team): "전선이 끊어지거나 부품이 고장 나면 차가 멈출까?"라고 걱정했습니다. (예: ISO 26262 표준)
• 보안 팀 (Security Team): "해커가 차를 해킹해서 조종할 수 있을까?"라고 걱정했습니다. (예: ISO 21434 표준)

하지만 현실은 다릅니다.
해커가 차의 설정을 바꾸면 (보안 문제), 그 결과로 브레이크가 오작동할 수 있습니다 (안전 문제). 반대로, 안전 장치를 너무 복잡하게 만들면 해커가 그 틈을 이용해 침투할 수도 있습니다.

기존 방법론은 이 **'서로 얽힌 관계'**를 제대로 파악하지 못해, 중요한 위험을 놓치거나 불필요한 비용을 들이는 경우가 많았습니다.

🔗 2. 해결책: "FTMEA"와 "상호작용 점수" (CDCF)

이 논문은 두 팀이 함께 일하며 서로의 영향을 정량적으로 계산하는 새로운 도구인 FTMEA를 제안합니다.

핵심은 **'CDCF (교차 영역 상관 계수)'**라는 개념입니다.
이를 쉽게 비유하자면 **"영향력 점수"**라고 할 수 있습니다.

• 상상해 보세요: 자동차의 브레이크 시스템에 해커가 침입하는 경로 (보안) 와 전선 고장 경로 (안전) 가 있다고 칩시다.
• 이 두 경로가 어느 정도 겹치는지, 해커가 브레이크를 조작할 때 고장 난 전선과 같은 효과를 내는지 등을 0 에서 1 사이의 숫자로 정확히 계산합니다.
• 마치 "이 보안 장치가 안전에도 얼마나 도움이 되는가?" 혹은 **"이 안전 장치가 해킹을 막는 데 얼마나 방해가 되는가?"**를 숫자로 나타내는 것입니다.

📊 3. 새로운 점수 계산법: "위험 우선순위 (RPN)"의 업그레이드

기존에는 위험도를 계산할 때 발생 가능성 (O) × 심각도 (S) × 탐지 가능성 (D)를 곱했습니다.
하지만 이 새로운 방법에서는 **상호작용 점수 (CDCF)**를 반영합니다.

• 예시: 해커가 설정을 바꾸는 것을 막는 '잠금 장치 (보안)'가 있다면, 이는 고장 난 전선으로 인한 오작동 (안전) 을 막는 데도 도움이 됩니다.
• 기존 방식은 이 '일석이조' 효과를 제대로 평가하지 못했지만, FTMEA는 이 효과를 점수에 반영하여 **"이 위험은 실제로는 덜 위험하다"**거나 **"이 대책은 훨씬 더 효과적이다"**라고 정확히 판단하게 해줍니다.

🛠️ 4. 실제 사례: 자동차 칩의 '설정 메모리' 분석

논문의 저자들은 실제 자동차 센서 칩의 **'설정 메모리 (Configuration Register)'**를 분석해 보았습니다.
이 메모리는 브레이크나 센서의 민감도를 조절하는 중요한 곳입니다.

• 기존 분석: "해커가 이 메모리를 바꿀 수 있다"와 "전원 고장으로 메모리가 바뀔 수 있다"를 따로 평가했습니다.
• FTMEA 분석:
  1. 해커가 메모리를 바꾸는 경로와 전선 고장 경로가 어디서 겹치는지 구조적으로 분석했습니다.
  2. 해커를 막는 '잠금 장치'가 고장 탐지에도 얼마나 효과적인지 **숫자 (점수)**로 계산했습니다.
  3. 그 결과, 기존에 위험하다고 생각했던 것 중 일부는 실제로는 안전 장치가 잘 작동하고 있어 위험도가 낮다는 것을 발견했고, 반대로 놓치던 새로운 위험을 찾아냈습니다.

💡 5. 결론: 왜 이것이 중요한가요?

이 논문의 핵심 메시지는 **"안전과 보안은 따로 떼어 생각하면 안 된다"**는 것입니다.

• 효율성: 불필요한 안전 장치를 줄이고, 해킹 방지를 위한 비용을 최적화할 수 있습니다. (돈과 시간을 아낄 수 있음)
• 정확성: 해커가 안전 장치를 우회하거나, 안전 장치가 해킹을 부추기는 상황을 미리 숫자로 예측할 수 있습니다.
• 협업: 안전 엔지니어와 보안 엔지니어가 같은 언어 (숫자와 점수) 로 대화하며 더 튼튼한 자동차를 만들 수 있습니다.

한 줄 요약:

"이 논문은 자동차의 안전과 보안을 따로따로 평가하는 구식 방식을 버리고, 두 가지가 서로 어떻게 영향을 주고받는지 숫자로 정확히 계산하는 새로운 지도를 제시합니다. 이를 통해 우리는 더 안전하고, 해킹에 강하며, 비용 효율적인 자동차를 만들 수 있게 됩니다."

기술 요약

1. 문제 정의 (Problem Statement)

현대 자동차 시스템, 특히 반도체 장치의 복잡성과 상호 연결성이 증가함에 따라 **기능적 안전 (Functional Safety, FuSa)**과 **사이버 보안 (Cybersecurity)**을 통합적으로 관리하는 것이 필수적이 되었습니다.

• 기존 한계: 기존의 고장 모드 및 영향 분석 (FMEA) 은 주로 하드웨어 고장에 초점을 맞추어 안전 관련 문제를 다루지만, 사이버 보안 위협과의 시너지적 취약점이나 공유된 결과를 체계적으로 포착하지 못합니다. 반대로 보안 분석 (TARA 등) 은 안전 메커니즘이 보안 취약점을 초래할 수 있는 상호 의존성을 정량화하지 못합니다.
• 필요성: 사이버 공격이 안전을 직접 위협하거나, 안전 메커니즘이 보안 취약점이 될 수 있는 상황에서, 두 영역을 분리된 실린더 (Silos) 로 분석하는 것은 위험을 간과하거나 우선순위를 잘못 설정하게 만듭니다. 현재 표준 (ISO 26262, ISO/SAE 21434 등) 은 통합 분석의 필요성을 인정하지만, 이를 수행할 구체적인 정량적 방법론이 부재합니다.

2. 제안된 방법론 (Methodology: FTMEA Framework)

저자들은 기능적 안전 (FuSa) 과 사이버 보안을 체계적으로 공동 분석하기 위한 통합 고장 및 위협 모드 영향 분석 (FTMEA) 프레임워크를 제안합니다. 이 프레임워크의 핵심은 **정량화된 교차 영역 상관 인자 (Quantified Cross-Domain Correlation Factors, CDCFs)**를 도입하여 두 영역 간의 상호 의존성을 수치화하는 것입니다.

주요 구성 요소 및 프로세스:

1. 공통 효과 (Common Effects) 식별: 고장 모드 (FM) 와 위협 모드 (TM) 가 초래하는 공통적인 악영향을 식별합니다.
2. CDCF 도출 (핵심 기여):
   • 정의: 고장 모드와 위협 모드, 그리고 각 영역의 대응 조치 (Countermeasures) 간의 상호 영향을 0(무상관) 에서 1(완전 상관) 또는 -1(부정적 영향) 사이의 수치로 정량화합니다.
   • 도출 방법:
     • 구조적 분석 (Structural Analysis): 게이트 레벨 넷리스트 (Netlist) 기반의 '영향의 원뿔 (Cone of Influence, COI)' 분석 및 SCOAP (Sandia Controllability/Observability Analysis Program) 기법을 활용합니다.
     • 공통 효과: 공격 벡터와 고장 전파 경로가 겹치는 논리 영역의 밀도와 중요도를 측정합니다.
     • 예방/탐지 영향: 보안 대응 조치 (예: 레지스터 잠금) 가 안전 메커니즘의 제어 가능성 (Controllability) 또는 관측 가능성 (Observability) 에 미치는 영향을 정량화합니다.
     • 검증: 구조적 분석과 함께 전문가 지식 및 고장/공격 주입 (Fault/Attack Injection) 캠페인 데이터를 결합하여 값을 검증합니다.
3. 수정된 위험 우선순위 번호 (RPN) 계산:
   • 기존 RPN ($O \times S \times D$) 을 개선하여, 도출된 CDCF 를 **발생률 (O)**과 **탐지율 (D)**에 통합합니다.
   • 수식: $O_{corr}$와 $D_{corr}$는 기존 점수에서 CDCF ($C_{ij}$) 의 영향을 반영하여 조정된 후, 다시 1~10 의 이산 스케일로 재조정 (Rescaling) 됩니다.
   • 이를 통해 교차 영역의 시너지 효과를 반영한 보다 정확한 위험 우선순위를 산출합니다.

3. 주요 기여 (Key Contributions)

• 정량화된 교차 영역 상관 인자 (CDCFs): 안전 고장과 보안 위협 간의 상호 영향을 투명하고 검증 가능한 수치로 모델링하는 새로운 메커니즘을 제시했습니다. 이는 기존의 정성적 판단이나 모호한 정의를 극복합니다.
• 수학적으로 견고한 RPN 개선: CDCF 를 발생률과 탐지율에 통합하고, 이를 표준 FMEA 스케일 (1~10) 로 재조정하는 체계적인 방법을 제시하여 재현 가능하고 논리적인 위험 우선순위 결정을 가능하게 합니다.
• 실행 가능한 통합 분석 방법론: 위험 식별부터 완화 전략 평가까지 전 생애주기에 걸쳐 안전과 보안을 통합하는 명확한 단계와 정의를 제공합니다.
• 실증 사례 연구 (Case Study): 자동차용 ASIC(응용 주문형 반도체) 의 구성 레지스터 (Configuration Register) 를 대상으로 한 상세한 사례 연구를 통해 프레임워크의 실용성을 입증했습니다.

4. 결과 및 검증 (Results & Validation)

• 사례 연구 결과: 자동차 센서 모듈의 ASIC 구성 레지스터를 분석한 결과, 기존 FMEA/TARA(위협 분석 및 위험 평가) 와 비교하여 FTMEA 를 적용했을 때 다음과 같은 성과를 보였습니다.
  • 과대평가된 위험 식별: 보안 대응 조치 (예: 잠금/잠금 해제 메커니즘) 가 안전 고장의 탐지 능력을 향상시켜, 실제 위험이 과대평가되었던 FM2 와 FM3 의 RPN 을 적절히 낮추었습니다.
  • 자원 최적화: 시너지 효과를 통해 위험이 감소한 항목에 대한 추가 조치 노력을 줄이고, 실제 위험이 높은 항목에 자원을 집중할 수 있게 되었습니다.
  • 정량적 근거: 구조적 분석 (SCOAP 등) 을 통해 도출된 구체적인 CDCF 값과 RPN 변화가 논리적으로 일치함을 보여주어 방법론의 타당성을 입증했습니다.
• 비교 분석: 기존 방법론 대비 교차 영역 위험이 더 명확하게 드러나고, 완화 전략의 효과가 정량적으로 입증되었습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 통합적 위험 관리: 기능적 안전과 사이버 보안을 분리된 영역이 아닌 상호 연결된 위험으로 인식하고, 이를 정량적으로 분석할 수 있는 통일된 프레임워크를 제공합니다.
• 표준 준수 및 개발 효율성: ISO 26262 및 ISO/SAE 21434 등 관련 표준을 준수하면서도, 두 영역 간의 상충 (Trade-off) 을 최소화하고 개발 비용을 절감할 수 있는 근거를 마련합니다.
• 협업 촉진: 안전 엔지니어와 보안 엔지니어 간의 공통된 정량적 언어를 제공하여, 더 견고하고 안전한 반도체 설계를 위한 교차 학문적 협력을 강화합니다.
• 한계 및 향후 과제: CDCF 도출을 위해 전문가 지식, 정교한 구조 분석 도구, 그리고 고장/공격 주입 캠페인이 필요하여 초기 설계 단계에서 리소스 소모가 클 수 있습니다. 향후 머신러닝/AI 를 활용한 자동화 및 동적 시뮬레이션과의 비교 연구를 통해 방법론을 고도화할 예정입니다.

이 논문은 자동차 반도체 개발에서 안전과 보안을 통합적으로 접근해야 하는 당면 과제를 해결하기 위한 구체적이고 정량적인 방법론을 제시했다는 점에서 중요한 의의를 가집니다.