ISO 21434(자동차 사이버 보안)
자동차 사이버 보안은 "도로 차량의 전기/전자 구성요소(부품) 및 기능에 대한 위협(Threat) 시나리오로부터 자산을 충분히 보호하는 조건"을 말합니다.
자동차는 굴러가는 컴퓨터로 정의하고, 인터넷 연결을 통해 할 수 있는 기능들이 많아지면서, 사이버 공격으로부터 자유로울 수 없는 상황이 되었습니다.
2020년 6월 유럽경제위원회(UNECE) 산하 자동차 기준에 관한 WP29 회의에서는 자동차 사이버보안에 관한 법규(UN Regulation No.155: Cybersecurity Regulation)를 채택하였습니다.
2022년 7월부터 UNECE 회원국(유럽, 아시아 등 60 여개국)에 등록되는 신형 자동차의 차량 형식승인(VTA: Vehicle Type Approval)을 받기 위해서는 자동차 사이버보안 관리체계(CSMS: Cybersecurity Management System)에 대한 인증을 의무적으로 취득해야만 합니다.
기존에 이미 등록되어 있는 자동차의 경우에도 2024년 7월까지 자동차 사이버보안 관리체계(CSMS) 인증이 전제되어야 합니다.
다음 2개의 법규를 우선 채택하고 있습니다.
- UNR No.155: Cyber security and Cyber Security Management System- CSMS(차량 사이버보안 관리체계) (‘20.6 채택, ’21.1 발효)
- UNR No.156: Software Update and Software Updates Management System - SUMS(차량 소프트웨어 업데이트 관리체계
우리나라 국토교통부에서도 2020년 12월 ‘차량 사이버보안 가이드라인’을 배포하며, 우리나라에 적합한 차량 사이버보안 대응 준비를 하고 있습니다.
UNECE는 CSMS 세부 활동을 수립하는데 참고 가능한 주요 국제표준으로 ISO/SAE 21434를 권장하고 있는데요,
자동차 제조사는 협력사의 사이버보안 위험을 CSMS 통해 인지 및 대응할 수 있음을 입증하라고 강조하고 있기 때문에 협력사도 필수적으로 추진해야 하는 것으로 이해하셔야 할 듯 합니다.
사이버 보안 컨설팅 고객
- 차량용 SW를 개발하는 기업으로서 해당 SW가 사이버 보안의 보장해야 하는 경우
- 사어버 보안을 충족하는 SW를 개발하여 OEM에 납품하는 기업
- 차량용 사이버 보안이 보장되어야 하는 SW를 개발하는 기업으로서, 자체적으로 사이버 보안 경영 시스템을 갖추고자 하는 경우
자동차 사이버 보안
적용 현황
자동차 안전 보안에 대한 표준 ISO 21434 는 2021년 확정되었지만, 표준이 확정되기 전부터 사안의 시급성과 중요성에 비추어 많은 고객들이 대비를 하고 있는 실정입니다. ISO 26262 기반의 기능안전이 훨씬 전에 도입되었음에도 불구하고, 더 빠르게 확산될 수 있는 가능성이 있습니다.
절대적으로 모든 기능안전은 사이버 보안이 보장이 되어야 합니다.(그 반대는 아님)
ISO 21434 표준이 ISO 26262 표준을 기반으로 만들어져 있기 때문에 두 모델을 통합하여 접근하는 방법도 많이 사용합니다.
ISO 21434
심사 모델
ISO 21434 모델은 ISO 26262와 거의 비슷합니다. 특히, 아이템 정의, 위험 분석과 같은 접근 방법을 거의 같으며, 일부 용어에서 차이를 보입니다. 관점이 안전이냐, 보안이냐 하는 측면이 다를 뿐입니다.
에이비앤아이
컨설팅의 특장점
접근 방법
- ISO 26262 및 ISO 21434 모델 기반의 다양한 컨설팅 역량을 갖춘 SPICE 선임심사원 및 심사원을 보유하고 있어 모델에 대한 정확한 이해를 바탕으로 심사 요구사항 및 업체 현황을 고려한 최적화된 방법 제시함
- 다양한 ICT 분야에 적용 가능한 모델로서 OTA(Over The Air) 등의 다양한 사업분야의 보안 요구에 효과적으로 대응할 수 있도록 함
- 컨설팅 및 심사 후 갭 분석 서비스를 제공하여 지속적으로 역량을 확보할 수 있는 동기를 마련할 수 있도록 함
지식 및 경험
- OTA(Over the Air) 등 다양한 보안 응용 분야의 심사 및 컨설팅 경험을 보유하고 있음
- 국제표준 관련 Global network를 구축하고 있으며, SPICE 뿐만 아니라 CMMI, Automotive SPICE 등의 컨설팅 및 심사경험을 통해 통합 프로세스 모델 구축을 지향
인프라
- 오랜 기관 통합 프로세스 관점에서 확보된 프로세스 자산(Process Asset)을 활용하여 짧은 기간 프로세스 구축하고 실현할 수 있음.
- 프로세스에 최적화된 공개 SW 기반의 ALM(Application Lifecycle Management) 도구를 도입하여 프로세스와 도구의 시너지 효과를 기대할 수 있음.