Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
시스템 소프트웨어 개발
[medini analyze] 도구 활용한 CySe
2026년 02월 12일

오늘은 Ansys medini analyze를 활용한 TARA(Threat Analysis and Risk Assessment) 실무 적용 사례를 소개해드릴게요.


​최근 자동차 산업에서는 기능안전(ISO 26262)뿐 아니라 사이버보안 표준 ISO/SAE 21434의 요구사항 대응이 필수가 되었습니다.


" 그 중심에는 바로 TARA가 있죠. " 


​하지만 막상 TARA를 직접 수행해보면, “어디서부터 시작해야 할까?”, “위협과 자산의 연결을 어떻게 관리하지?”라는 어려움이 많습니다.


그래서 이번 포스트에서는 medini analyze를 활용해 TARA를 쉽게, 체계적으로 수행하는 방법을 살펴보겠습니다.


01. 

TARA란 무엇일까?


TARA(Threat Analysis and Risk Assessment)는 자동차 전자 시스템의 보안 위협을 식별하고, 그 위험도를 평가하는 절차입니다.


​ISO/SAE 21434에서는 보안 프로세스를 다음과 같이 정의합니다.


    ·  자산(Asset) 식별

   ·  위협 시나리오(Threat Scenario) 정의

   ·  공격 경로(Attack Path) 분석

   ·  위험도 평가(Risk Assessment)

   ·  대응 전략(Controls / Mitigations) 도출

  

즉, 시스템의 취약점을 사전에 파악하고 위험도를 정량화하여, 보안 요구사항(Security Goals)을 도출하는 것이 핵심입니다.


  

02.

medini analyze로 TARA를 수행하면 좋은 이유


기존에는 엑셀 기반으로 TARA를 수행하는 경우가 많았지만, 다음과 같은 한계가 있습니다.




결국 medini analyze를 사용하면, 보안 분석의 효율성과 정확성을 동시에 확보할 수 있습니다.


03.

medini analyze에서의 TARA 절차


medini analyze에서는 TARA를 다음 5단계로 수행합니다.



1) 자산(Asset) 식별  : 시스템 블록 다이어그램을 기반으로 보호 대상 자산을 정의합니다.

   ·  ECU, 네트워크 노드, 소프트웨어 기능 등 식별 가능

   ·  중요 자산에는 Confidentiality / Integrity / Availability 속성을 설정

👉 Tip: ISO 26262의 기능 안전 분석(FMEA/Fault Tree) 모델과 동일한 프로젝트 내에서 자산을 연계할 수 있어, 안전-보안 통합 분석이 가능합니다.


2) 위협 시나리오(Threat Scenario) 정의 : 자산별로 가능한 공격 위협을 정의합니다.

   ·  공격원(Attacker Type) 및 동기 설정

   ·  공격 방법, 필요 자원, 진입점 등 기록

   ·  CWE, CAPEC 등 표준 위협 카탈로그 참조 가능

💡 포인트: medini는 Threat Library 기능을 제공해, 자주 사용하는 공격 패턴을 재사용할 수 있습니다.


3) 위험 평가(Risk Assessment) : 각 위협 시나리오에 대해 다음 요소를 평가합니다.

   ·  공격 가능성(Attack Feasibility): 시간, 전문성, 지식, 장비 등

   ·  영향도(Impact Rating): 안전성, 운영, 재정, 개인정보 영향

   ·  medini에서 자동으로 Risk Matrix 시각화

👉 위험도가 일정 수준 이상이면 Security Goal을 자동으로 제안해줍니다.


4) 대응 전략(Mitigation) 도출 : 평가된 위험에 대한 대응 전략을 정의합니다.

   ·  방어 메커니즘(예: 암호화, 인증, 메시지 무결성) 연결

   ·  각 대응 조치의 효과성을 평가

   ·  필요 시 대응 전후 위험도 비교 가능

📈 결과 보고: 대응 후 Risk Level 변화가 그래프로 표시되어, 보고용 자료로 바로 활용할 수 있습니다.


5) 보고서 자동 생성

   ·  Threat Matrix, Risk Table, Mitigation Summary 자동 생성

   ·  Word, PDF 형식으로 출력

   ·  보안 감사 대응 시 매우 유용


​-----------------------------------------


TARA는 이제 선택이 아닌 필수입니다.


Ansys medini analyze는 기능안전(FS)과 사이버보안(CS)을 통합적으로 수행할 수 있는 유일한 솔루션으로, 개별 문서나 엑셀 기반 분석보다 더 빠르고, 더 정확하며, 감사 대응에 강한 플랫폼입니다.

이번 블로그 컨텐츠 관련하여 궁금하신 사항이 있으시다면, 아래 메일 주소로 언제든지 연락주세요! 


MDS 인텔리전스

통합 기능 안전 / 사이버 보안 엔지니어링 솔루션, medini analyze

E. medini@mdsit.co.kr