커넥티드카 해킹
도서+사은품 또는 도서+사은품+교보Only(교보굿즈)
15,000원 미만 시 2,500원 배송비 부과
20,000원 미만 시 2,500원 배송비 부과
15,000원 미만 시 2,500원 배송비 부과
1Box 기준 : 도서 10권
로그아웃 : '서울시 종로구 종로1' 주소 기준
이달의 꽃과 함께 책을 받아보세요!
1권 구매 시 결제 단계에서 적용 가능합니다.
해외주문/바로드림/제휴사주문/업체배송건의 경우 1+1 증정상품이 발송되지 않습니다.
패키지
북카드
키워드 Pick
키워드 Pick 안내
관심 키워드를 주제로 다른 연관 도서를 다양하게 찾아 볼 수 있는 서비스로, 클릭 시 관심 키워드를 주제로 한 다양한 책으로 이동할 수 있습니다.
키워드는 최근 많이 찾는 순으로 정렬됩니다.
작가정보
Alissa Knight
사이버 보안 분야에서 20년 이상 일했다. 지난 10년 동안 미국, 중동, 유럽 및 아시아의 고객을 위해 커넥티드카, 임베디드 시스템 및 IoT 장치 해킹을 위한 취약성 연구에 집중해왔다. 더욱 안전한 커넥티드카를 구축하기 위해 세계 최대의 자동차 제조사 및 OEM과 지속적으로 협력하고 있다. Brier & Thorn의 그룹 CEO이자 Knight Ink의 관리 파트너로, 사이버 보안 분야의 신규 브랜드 및 시장 리더를 위해 문서와 시각적 콘텐츠의 생성을 해킹을 융합한다. 연쇄 기업가로서 국제 시장에서 상장된 기업들에 인수 합병 거래로 매각한 회사인 Applied Watch와 Netstream의 CEO였다.
전문적으로 전 세계의 뛰어난 리더들과 만나고 배우며 글로벌 시장을 재편하는 파괴적인 힘에 관한 견해를 공유하는 데 열정을 갖고 있다. 먼 목표는 가능한 한 많은 조직들이 전략적 계획을 개발하고 실행하는 것이다. 또한 증가한 그들의 위험 영역에 집중하도록 돕고 조직 간 경계를 넘어 효과적으로 위험 관리를 할 수 있도록 사일로를 연결하고 장기적인 가치 창출을 위한 수단으로 지능적 위험을 추구하도록 하는 것이다.
현재 현대자동차에서 근무하고 있다. 자동차가 출시되기 전 자동차 주요 시스템 및 커넥티비티 서비스에서의 침투 테스트 기반 사이버 보안 평가 업무를 수행하고 있다. 국내에 자동차 해킹이라는 분야를 알리고 더 많은 자동차 전문 해커가 활동하는 데 조금이나마 도움이 되길 바라는 마음으로 이 역서 출간에 도전했다. 옮긴 책으로는 에이콘출판사에서 펴낸 『Car Hacker's Handbook』(2017)이 있다.
작가의 말
◈ 지은이의 말 ◈
처음 이 책을 쓰기로 결심했을 때, 지난 10년 간 사이버-물리 차량의 침투 테스트와 위험 평가를 수행하며 수년 간의 연구를 집대성하려고 보낸 시간이 사이버 보안과 자동차 메카트로닉스 분야의 융합됨에서 지속적으로 영향을 끼치길 바랐다. 지난 수년 동안 함께 작업했던 유럽과 아시아의 존경받는 연구자와 저자의 축적된 지식에 기반해 이 책이 전 세계 OEM들이 더 안전하고 보안성 있는 승용차를 만드는 데 도움이 될 것이라 믿는다.
◈ 옮긴이의 말 ◈
지난 수년간 자동차에 적용되는 새로운 기술들로 자동차는 단순히 ‘탈것’이라는 이동 수단의 개념에서 ‘스마트카’라는 개념으로 빠르게 변화하고 있다. 스마트카는 다양한 IT 기술의 융합을 기반으로 주변 인프라, 자동차 간의 데이터를 통신하며 다양한 센서로 상황을 판단해 자율주행한다. 이러한 변화로 인간의 삶은 보다 편리하고 안전하게 될 것이며 미래에 자동차는 지금보다 더 중요한 역할을 하게 될 것이다.
지금 이 순간에도 글로벌 자동차 제조사들은 경쟁사보다 더 뛰어난 ‘스마트카’를 만들기 위해 다양한 혁신 기술들을 자동차에 도입한다. 그리고 미래의 모빌리티 서비스 시장을 선점하기 위해 끊임없이 투자하고 노력한다. 전기차 플랫폼을 기반으로 한 신흥 자동차 제조사들은 우후죽순처럼 나타나며, 자동차의 기술적 발전은 더욱 가속화되고 있는 상황이다.
다만 한 가지 안 좋은 소식은 이러한 급격한 변화 속에서 ‘자동차 해킹’도 함께 발전하고 있다는 점이다.
자동차 해킹의 목적은 기존의 IT 서비스에 대한 해킹의 목적과는 엄연히 다른 지점이 있다. 공격자가 의도하든 의도치 않든 자동차가 해킹돼 자동차가 처리하는 데이터나 시스템에 문제가 발생할 경우, 생명과 관련된 안전사고로 직결될 수 있다. 이미 많은 언론보도로 자동차 해킹이 실제 전 세계 곳곳에서 발생하고 있으며 많은 연구자와 다양한 기관이 이러한 문제를 해결하고자 끊임없이 노력하고 있다는 소식을 접할 수 있다. 불과 몇 년 전만 하더라도 사람들은 자동차 해킹은 영화 속에서나 나올 법한 이야기로 생각했었다. 이제는 더 이상 영화 속 이야기만은 아니라는 것에 동감하고 실질적으로 대응하고자 노력하고 있다.
그러한 노력 중 하나는 자동차 제조사가 자동차를 출시하기 전, 자동차에서 발생할 수 있는 사이버 보안 관련 문제를 체계적으로 검토해 출시 후 발생할 수 있는 위험을 사전에 대비하는 것이다.
이 책에서는 자동차 제조사가 자동차에 대한 위험을 평가하고 검증하는 데 필요한 기술적 지식과 방법론을 저자의 경험을 기반으로 설명한다. 역자도 실제 현업에서 겪었던 유사한 경험과 수많은 고민을 책 속에서 느낄 수 있었고, 이는 번역을 결심하게 된 계기가 됐다. 자동차 사이버 보안과 관련된 업무를 하고 있거나 준비하고 있다면 분명 도움이 될 것이라고 확신한다.
이 책이 필요한 곳에서 조금이나마 도움이 되길 바라며, 자동차 보안 기술의 발전과 국내 자동차 보안전문가가 더 많아지는 계기가 돼 언젠가는 더 좋은 책이 우리의 손에서 출간되기를 희망해본다.
목차
- 1장. 사전 협의
__침투 테스트 수행 표준
__범위 정의
____아키텍처
____전체 공개
____배포 주기
____IP 주소
____소스 코드
____무선 네트워크
____시작 및 종료 날짜
____하드웨어 고유 일련 번호
__업무 규정
____타임라인
____테스트 위치
__작업 분할 구조도
__문서 수집 및 검토
____문서 사례
__프로젝트 관리
____콘셉트와 착수
____정의 및 계획
____착수 또는 실행
____성능/모니터링
____프로젝트 종료
__랩 구성
____필요한 하드웨어 및 소프트웨어
____노트북 설정
____Rogue BTS 옵션 1: OsmocomBB
____Rogue BTS 옵션 2: BladeRF + YateBTS
____WiFi Pineapple Tetra 설정하기
__요약
2장. 정보 수집
__자산 목록
__정찰
____수동형 정찰
____능동형 정찰
__요약
3장. 위협 모델링
__STRIDE 모델
STRIDE를 사용한 위협 모델링
__VAST
__PASTA
____1단계: 비즈니스 및 보안 목표 정의
____2단계: 기술 범위 정의
____3단계: 애플리케이션 세분화
____4단계: 위협 요소 식별
____5단계: 취약점 식별
____6단계: 익스플로잇 목록화
____7단계: 위험 및 영향 분석 수행
__요약
4장. 취약점 분석
__수동 및 능동적인 분석
____WiFi
____Bluetooth
__요약
5장. 익스플로잇
__가짜 BTS 만들기
____PC 내 네트워크 구성
____가짜 BTS를 온라인 상태로 만들기
__TCU 공격
____TCU의 MSISDN을 알고 있는 경우
____TCU의 IMSI를 알고 있는 경우
____TCU의 IMSI 또는 MSISDN을 모를 때
__암호 분석
____암호화 키
____위장 공격
__요약
6장. 포스트 익스플로잇
__지속적인 액세스
____리버스 쉘 생성
____리눅스 시스템
____시스템 내 백도어 설치
__네트워크 스니핑
__인프라 분석
____네트워크 인터페이스 검사
____ARP 캐시 검사
____DNS 검사
____라우팅 테이블 검사
____서비스 식별
____퍼징
__파일시스템 분석
____커맨드-라인 기록
____코어 덤프 파일
____디버그 로그 파일
____인증 정보 및 인증서
__무선 업데이트
__요약
7장. 위험 관리
__프레임워크
__리스크 관리 프로그램 수립
____SAE J3061
____ISO/SAE AWI 21434
____HEAVENS
__위협 모델링
____STRIDE
____PASTA
____TRIKE
__요약
8장. 위험평가 프레임워크
__HEAVENS
____위협 수준 결정
____영향도 결정
____보안 수준 결정
__EVITA
____공격 가능성 계산
__요약
9장. 차량 내 PKI
__VANET
____온보드 장치
____도로변 장치
____VANET의 PKI
____VANET의 애플리케이션
____VANET 공격 벡터
__802.11p 증가
____주파수 및 채널
__암호화
____공개 키 인프라
____V2X PKI
____IEEE 미국 표준
__인증서 보안
____하드웨어 보안 모듈(HSM)
____신뢰할 수 있는 플랫폼 모듈(TPM)
____인증서 고정(Certificate Pinning)
__PKI 구현 실패
__요약
10장. 결과 보고
__침투 테스트 보고서
____요약 페이지
____핵심 요약
____범위
____방법론
____제한 사항
____설명
____사용된 도구
____위험 등급
____발견 사항
____개선사항
____보고서 개요
__위험 평가 보고서
____소개
____참고문헌
____기능 설명
____헤드 유닛
____시스템 인터페이스
____위협 모델
____위협 분석
____영향 평가
____위험 평가
____보안 통제 평가
__위험 평가 표의 예
__요약
추천사
-
“보안에 대한 도전은 사회에 대한 도전과 마찬가지이다. 그러므로 사회 전체가 이 문제를 해결하기 위한 노력을 해야 하며, 단지 제품을 만드는 비즈니스로 보면 안 된다. 저자는 보안 인식과 모범 사례, 더욱 보안적이고 안전하게 미래를 주도하는 데 있어 챔피언이다. 이 책이 보안 인식과 보안 기술을 더욱 훌륭하게 만드는 데 도움이 되기를 바란다. 우리 모두의 이익을 위해 책임감 있게 콘텐츠를 사용하고, 지역 보안 연구 그룹에 가입하고, 저자의 사례가 지역 공동체로 환원됐으면 한다.”
-
“의도치 않은 변조로부터 시스템을 보호하려면 경계심이 강하고, 전략적인, 영리하고 조직적이고 재능 있는 인재가 필요하다. 이를 통해 커넥티드카, 자율주행차의 신뢰를 보장하고 활성화할 수 있다. 그리고 이러한 점에서 저자는 돋보이는 사람이다. 차량 사이버 보안에 열정적이며 사이버 보안 엔지니어 커뮤니티를 활성화하고 싶어 한다. 또한 차량 제조사와 해당 부품 공급 업체가 소프트웨어, 하드웨어 및 센서를 안전하게 만들 수 있도록 돕길 원한다.
저자는 텔레매틱 시스템과 기타 관련 주제를 테스트하고자 셀룰러 네트워크 기지국을 설정하고 테스트하는 방법에 대한 온라인 과정을 제공하고, 차량 시스템 보안을 하는 방법을 가르치려고 계속 노력했다. 차량 전자 시스템의 미래를 보호하기 위해 그녀와 함께 했던 프로젝트들과 저자가 자랑스럽다.”
출판사 서평
◈ 이 책에서 다루는 내용 ◈
◆ 전자 및 텔레매틱스 제어 장치(ECU 및 TCUs)
◆ 중간자(Man-in-the-middle) 공격
◆ 기밀성, 무결성 및 가용성에 영향을 미치는 공격
◆ 위험 평가, 위협 모델링 및 위험 처리 프레임워크
◆ 침투 테스트 상 TCU 및 헤드 유닛 킬 체인(kill chain)
◆ 바이너리 리버스엔지니어링 및 정적 코드 분석
◆ 키 교환과 그 외 암호 분석적 공격
◆ 온보드(On-board) 진단 평가
◆ 일반적인 ECU / TCU / HU 운영 체제 플랫폼에 영향을 미치는 취약점
◈ 이 책의 대상 독자 ◈
차량 메카트로닉스 분야에서 커넥티드카의 사이버 보안을 위해 요구되는 지식과 도구를 구축하길 원하는 사이버 보안 분야의 전문가, 침투 테스트와 차량 ECU의 위험 평가 수행을 위한 참조 가이드가 필요한 차량 메카트로닉스 전문가를 위해 쓰였다. 전통적인 네트워크 침투 테스트 경험이 없는 사람에게는 적합하지 않지만, 표면적인 수준에서 침투 테스트 방법론을 다룬다. 침투 테스트 경험이 없다면 차량 메카트로닉스와 차량 네트워킹을 추가적으로 학습하면서 보완하는 것이 좋다.
◈ 이 책의 구성 ◈
1장, ‘사전 협의’에서는 일반적으로 프로젝트를 시작하기 앞서 업무를 준비하고자 이해관계자와 기타 프로젝트 관리 단계를 정의하고 업무 규정과 작업 범위가 명확히 정의됐음을 확인하는 사전 협의 행위를 다룬다.
2장, ‘정보 수집’에서는 엔지니어링 문서 수집 단계, 이해관계자와의 회의, 접근 권한이 있어야 하는 테스트 벤치의 시스템에 대한 모든 자료 및 접근 권한이 있는지 확인한다.
3장, ‘위협 모델링’에서는 다양한 위협 모델링 프레임워크와 침투 테스트 프로세스의 일부로 위협 모델링을 수행하는 방법을 다룬다.
4장, ‘취약점 분석’에서는 능동 및 수동 취약성 분석을 살펴보고 테스트 대상의 개별 부품 및 소프트웨어에 적용할 수 있는 CVE 문서 및 공급 업체 권고 사항을 검토한다.
5장, ‘익스플로잇’에서는 이전 단계에서 악용될 수 있는 취약성의 익스플로잇 단계를 다룬다.
6장, ‘포스트 익스플로잇’에서는 표적에 대한 진입 발판이 확보된 후 피봇팅(pivoting)과 이용할 수 있는 포스트 익스플로잇 단계에 대해 설명한다.
7장, ‘위험 관리’에서는 위험 관리 프로세스, 위험 평가를 수행할 때 다룰 다양한 프레임워크, 위험 처리에 포함할 여러 단계, 위험 평가 수행 시 위협 모델링에 대한 표면적 검토를 설명한다.
8장, ‘위험 평가 프레임워크’에서는 존재하는 다양한 위험 평가 방법론을 다룬다. 따라서 특정 업무에 가장 적합한 프레임워크와 사용에 가장 적합한 방법론을 결정할 수 있다.
9장, ‘자동차의 PKI’에서는 이전 침투 테스트에서 발견된 다양한 암호화 분석 공격 옵션 및 기타 취약점을 설명한다.
10장, ‘결과 보고’에서는 업무의 가장 중요한 단계를 다룬다. 보고서의 여러 내용을 자세히 설명하고 테스트 결과를 가장 잘 표현하는 방법을 설명한다.
기본정보
| ISBN | 9791161756639 | ||
|---|---|---|---|
| 발행(출시)일자 | 2022년 09월 27일 | ||
| 쪽수 | 332쪽 | ||
| 크기 |
187 * 235
* 28
mm
/ 897 g
|
||
| 총권수 | 1권 | ||
| 시리즈명 |
해킹과 보안
|
||
| 원서(번역서)명/저자명 | Hacking Connected Cars/Knight, Alissa | ||
Klover
구매 후 리뷰 작성 시, e교환권 200원 적립
문장수집 (0)
e교환권은 적립 일로부터 180일 동안 사용 가능합니다. 리워드는 작성 후 다음 날 제공되며, 발송 전 작성 시 발송 완료 후 익일 제공됩니다.
리워드는 한 상품에 최초 1회만 제공됩니다.
주문취소/반품/절판/품절 시 리워드 대상에서 제외됩니다.
판매가 5,000원 미만 상품의 경우 리워드 지급 대상에서 제외됩니다. (2024년 9월 30일부터 적용)
구매 후 리뷰 작성 시, e교환권 100원 적립
![[eBook] 상반기 결산전](https://contents.kyobobook.co.kr/display/200x200_4a73fc47b5f14ca79e3d4730dbebd6b1.jpg)
