.gif)
김성범 전 자동차안전연구원 처장 “CSMS 인증부터 VTA까지 고려해야 진짜 자동차 사이버보안”
[보안뉴스 원병철 기자] 국내 자동차 사이버보안 법규가 시행됐다. 신규 등록 차종은 2025년 8월부터, 기존 양산 등록 차종(양산차)은 2027년 8월부터 법을 준수해야만 차량 판매가 가능하다. 따라서 업계는 ‘국내 법규를 어떻게 이해하고, 어떻게 대응할 것인가’라는 과제에 직면했다. 이 문제를 해결하기 위해 법 제정자와 인증 심사자, 두 축의 관점을 담은 ‘자동차 사이버보안 법규 대응 가이드 시리즈’를 기획했다. 이 시리즈는 규제 대응을 준비하는 기업에 전략적인 방향성을 제시할 것이다.
▲김성범 페스카로 기술고문[자료: 페스카로]
법은 원칙을 세우고, 기술은 원칙을 구현한다. 1편의 주인공은 법과 기술을 모두 경험한 인물이다. 자동차안전연구원(KATRI)에서 30여 년간 재직하며, 국내 자동차 사이버보안 법규 제정에 참여한 김성범 前 자율주행본부 처장을 만났다. 국내 법제화를 이끈 그는, 법적 요구사항을 충족할 수 있도록 기술적 해법을 제시하는 ‘페스카로(FESCARO)’의 기술고문으로 합류했다. 이번 인터뷰에서는 법과 기술을 잇는 그의 통찰을 들여다본다.
Q. 지난 8월, 국내 자동차 사이버보안 법규가 시행됐습니다. 간단히 배경을 설명해 주세요
차량이 하드웨어 중심에서 소프트웨어 중심으로 전환되고, 커넥티드카 시대가 본격화하면서 전 세계적으로 자동차 사이버보안 의무화가 확산하고 있습니다. UN 산하 자동차 국제기준 담당 기구(WP.29)는 2020년 6월, ‘UN R155’를 제정했습니다. 그리고 이를 기반으로 2024년 2월, 자동차관리법령(이하 자관법)에 기반한 사이버보안 제도가 마련됐습니다.
사이버보안 제도의 목적은 차량이 외부 통신 환경에서도 안전하게 운행할 수 있는 체계를 확보하는 것입니다. 이에 따라 차량 제작사는 사이버공격과 위협으로부터 자동차를 보호할 수 있는 ‘사이버보안 관리체계(이하 CSMS)’를 조직 내에 구축하고 인증을 받아야 합니다. 이는 기술적 요소뿐만 아니라 조직 및 프로세스 전반에 대한 대비를 요구합니다.
정부는 차량의 안전성과 신뢰성 확인을 위해 차량 제작사에게 자료 제출을 요구할 수 있으며, 규정 위반 시 인증을 취소하거나 효력 정지, 그리고 판매 중지 명령 등의 조치를 할 수 있습니다.
▲법규별 인증제도[자료: 페스카로]
Q. 자관법과 UN R155의 차이점은 무엇인가요?
사이버보안 관리체계 인증은 제작사의 사이버보안 조직 및 프로세스를, 차량 형식승인(VTA)은 실제 차량에 보안 대책이 제대로 적용됐는지를 검증합니다. 다만, UN 및 자관법은 차량 제작사가 인증을 획득하는 시점에 차이가 있습니다.
UN은 ‘사전인증제도’를 적용해 차량 판매 전에 두 가지 인증을 모두 취득해야 합니다. 반면, 자관법은 차량 제작사가 자동차 안전기준 적합 여부를 스스로 인증한 후 차량을 판매하며, 정부가 이를 사후에 점검하는 ‘자기인증제도’가 원칙입니다. 다만, CSMS 인증은 예외적으로 사전승인 제도를 도입했고, VTA는 기존의 자기인증제도를 유지하는 것이 UN R155와의 가장 큰 차이점입니다.
기존 자동차 안전기준인 충돌 및 제동 시험 등의 항목은 정량적인 기준이 명확합니다. 예를 들어 제동 시험의 경우 제동거리가 기준치를 넘었는지 등은 출시 후에도 객관적으로 평가할 수 있습니다. 그러나 CSMS는 제작사의 조직, 프로세스, 정책 등 정성적 요소가 많습니다. 예를 들어 ‘보안 전담 조직을 갖춰야 한다’라고 법규에 명시되어 있지만, 제작사마다 거버넌스 및 조직, 생산 규모 등이 다르기 때문에 보안 전담 조직에 대한 정량적이거나 구체적인 공통의 기준을 적용하는 것은 쉽지 않습니다. 따라서 CSMS는 관련 프로세스가 제대로 구축되었는지 사전에 점검하는 승인제도를 도입하게 된 것입니다.
Q. UN R155가 먼저 시행된 만큼 이미 관련 인증을 받은 기업도 있을 것 같습니다. 국내 자관법에 맞춰 보완해야 할 부분은 뭐가 있을까요?
UN R155의 CSMS 인증은 크게 12개의 주요 항목을 중심으로 평가가 이루어집니다. 자관법은 UN R155의 12개의 항목을 여러 개의 세부 항목으로 구체화하고, 항목별로 명확한 제작사의 의견 및 증빙자료를 요구합니다. 따라서 UN R155 인증을 이미 받은 기업이라도 국내 기준에 맞춰 추가적인 보완 작업이 필수적입니다. 단순히 기존 문서를 번역하거나 형식적으로 제출하는 수준이 아니라, 각 항목의 의도를 정확히 해석하고 이를 입증할 자료를 체계적으로 준비하는 전략이 중요합니다. 인증을 ‘한 번에’ 획득하기 위해서는 반드시 정교한 사전 준비가 수반되어야 합니다.
Q. 아직 UN R155 인증이 없는 수입사나 소규모 제작사는 무엇부터 시작해야 할까요?
우선 CSMS 구축부터 시작해야 합니다. CSMS는 단순한 기술 요건이 아니라, 조직 전체의 보안 거버넌스를 포함하는 관리체계입니다. 가장 중요한 것은 ‘지속 가능한 체계’를 만드는 것입니다. 조직 및 프로세스 구축 - TARA(Threat Analysis and Risk Assessment, 위협분석 및 위험평가) - 보안 기능 적용 및 검증 - 사후 모니터링 및 대응의 기본 구조를 명확히 세워두면, 인증 준비나 외부 심사 대응에서도 일관된 대응이 가능합니다.
먼저, 조직 내 역할과 책임을 명확히 정의하고 사이버보안 정책과 운영 절차를 수립해야 합니다. 이는 개발, 생산, 생산 이후 단계까지 전 주기에 걸쳐 유지되어야 하고요. 이후 TARA 프로세스를 정립해야 합니다. 아울러 보안 위협과 취약점을 체계적으로 식별하고, 이에 대한 대응 전략을 문서화해야 합니다. 이는 인증의 핵심 근간이 되기 때문에 보안 조직이 작더라도 반드시 갖춰야 합니다.
또한 지속적인 모니터링 및 사고 대응 체계를 수립해야 합니다. 사이버공격이나 이상 징후를 탐지하고, 신속히 대응할 수 있는 프로세스 마련은 물론, 다수의 협력사를 포괄하는 공급망 관리체계를 갖춰 유기적으로 얽힌 전체 생태계의 보안 신뢰성도 확보해야 합니다.
Q. 차량 제작사가 자관법에 대응할 때 유의해야 하는 점은 어떤 것이 있을까요?
현재 대부분의 차량 제작사가 CSMS 인증에 집중하고 있지만, VTA까지 함께 고려해야 한다는 점을 잊어서는 안 됩니다. 앞서 설명했듯 CSMS가 조직과 프로세스를 평가하는 단계라면, VTA는 실제 차량에서 사이버보안 조치가 제대로 구현됐는지 확인하는 절차입니다. 단순히 문서를 잘 준비하는 것만으로는 인증을 획득할 수 없습니다. VTA를 위해서는 제어기와 차량 단위로 다양한 보안 테스트를 수행해 사이버보안의 강건성과 유효성을 다각도로 검증해야 합니다. 결국 정책과 프로세스부터 실제 차량 구현까지 통합적으로 접근했을 때 비로소 자동차 사이버보안 체계가 완성된다는 것을 명심해야 합니다.
또한 사이버보안은 인증을 획득하는 것에서 절대 끝나지 않습니다. 기업 운영 전반에 사이버보안을 내재화해 생애주기 전반에 걸쳐 지속적으로 고도화해야 합니다. 나아가 예기치 못한 사고에도 신속히 복구할 수 있는 ‘사이버 복원력’이 갖춰진다면 기업의 미래 경쟁력을 한층 강화할 수 있을 것입니다.
이번 인터뷰에서는 국내 자동차 사이버보안 법규를 제정한 전문가의 시각에서 제도의 전체적인 구조를 짚어보았다. 하지만 법규의 이해만으로 완전한 대응은 어렵다. 다음 시리즈에서는 CSMS 인증 심사자를 만나 실제 심사 과정의 평가 기준과 실질적인 대응 방안을 함께 살펴볼 계획이다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 국내 자동차 사이버보안 법규가 시행됐다. 신규 등록 차종은 2025년 8월부터, 기존 양산 등록 차종(양산차)은 2027년 8월부터 법을 준수해야만 차량 판매가 가능하다. 따라서 업계는 ‘국내 법규를 어떻게 이해하고, 어떻게 대응할 것인가’라는 과제에 직면했다. 이 문제를 해결하기 위해 법 제정자와 인증 심사자, 두 축의 관점을 담은 ‘자동차 사이버보안 법규 대응 가이드 시리즈’를 기획했다. 이 시리즈는 규제 대응을 준비하는 기업에 전략적인 방향성을 제시할 것이다.
▲김성범 페스카로 기술고문[자료: 페스카로]
법은 원칙을 세우고, 기술은 원칙을 구현한다. 1편의 주인공은 법과 기술을 모두 경험한 인물이다. 자동차안전연구원(KATRI)에서 30여 년간 재직하며, 국내 자동차 사이버보안 법규 제정에 참여한 김성범 前 자율주행본부 처장을 만났다. 국내 법제화를 이끈 그는, 법적 요구사항을 충족할 수 있도록 기술적 해법을 제시하는 ‘페스카로(FESCARO)’의 기술고문으로 합류했다. 이번 인터뷰에서는 법과 기술을 잇는 그의 통찰을 들여다본다.
Q. 지난 8월, 국내 자동차 사이버보안 법규가 시행됐습니다. 간단히 배경을 설명해 주세요
차량이 하드웨어 중심에서 소프트웨어 중심으로 전환되고, 커넥티드카 시대가 본격화하면서 전 세계적으로 자동차 사이버보안 의무화가 확산하고 있습니다. UN 산하 자동차 국제기준 담당 기구(WP.29)는 2020년 6월, ‘UN R155’를 제정했습니다. 그리고 이를 기반으로 2024년 2월, 자동차관리법령(이하 자관법)에 기반한 사이버보안 제도가 마련됐습니다.
사이버보안 제도의 목적은 차량이 외부 통신 환경에서도 안전하게 운행할 수 있는 체계를 확보하는 것입니다. 이에 따라 차량 제작사는 사이버공격과 위협으로부터 자동차를 보호할 수 있는 ‘사이버보안 관리체계(이하 CSMS)’를 조직 내에 구축하고 인증을 받아야 합니다. 이는 기술적 요소뿐만 아니라 조직 및 프로세스 전반에 대한 대비를 요구합니다.
정부는 차량의 안전성과 신뢰성 확인을 위해 차량 제작사에게 자료 제출을 요구할 수 있으며, 규정 위반 시 인증을 취소하거나 효력 정지, 그리고 판매 중지 명령 등의 조치를 할 수 있습니다.
▲법규별 인증제도[자료: 페스카로]
Q. 자관법과 UN R155의 차이점은 무엇인가요?
사이버보안 관리체계 인증은 제작사의 사이버보안 조직 및 프로세스를, 차량 형식승인(VTA)은 실제 차량에 보안 대책이 제대로 적용됐는지를 검증합니다. 다만, UN 및 자관법은 차량 제작사가 인증을 획득하는 시점에 차이가 있습니다.
UN은 ‘사전인증제도’를 적용해 차량 판매 전에 두 가지 인증을 모두 취득해야 합니다. 반면, 자관법은 차량 제작사가 자동차 안전기준 적합 여부를 스스로 인증한 후 차량을 판매하며, 정부가 이를 사후에 점검하는 ‘자기인증제도’가 원칙입니다. 다만, CSMS 인증은 예외적으로 사전승인 제도를 도입했고, VTA는 기존의 자기인증제도를 유지하는 것이 UN R155와의 가장 큰 차이점입니다.
기존 자동차 안전기준인 충돌 및 제동 시험 등의 항목은 정량적인 기준이 명확합니다. 예를 들어 제동 시험의 경우 제동거리가 기준치를 넘었는지 등은 출시 후에도 객관적으로 평가할 수 있습니다. 그러나 CSMS는 제작사의 조직, 프로세스, 정책 등 정성적 요소가 많습니다. 예를 들어 ‘보안 전담 조직을 갖춰야 한다’라고 법규에 명시되어 있지만, 제작사마다 거버넌스 및 조직, 생산 규모 등이 다르기 때문에 보안 전담 조직에 대한 정량적이거나 구체적인 공통의 기준을 적용하는 것은 쉽지 않습니다. 따라서 CSMS는 관련 프로세스가 제대로 구축되었는지 사전에 점검하는 승인제도를 도입하게 된 것입니다.
Q. UN R155가 먼저 시행된 만큼 이미 관련 인증을 받은 기업도 있을 것 같습니다. 국내 자관법에 맞춰 보완해야 할 부분은 뭐가 있을까요?
UN R155의 CSMS 인증은 크게 12개의 주요 항목을 중심으로 평가가 이루어집니다. 자관법은 UN R155의 12개의 항목을 여러 개의 세부 항목으로 구체화하고, 항목별로 명확한 제작사의 의견 및 증빙자료를 요구합니다. 따라서 UN R155 인증을 이미 받은 기업이라도 국내 기준에 맞춰 추가적인 보완 작업이 필수적입니다. 단순히 기존 문서를 번역하거나 형식적으로 제출하는 수준이 아니라, 각 항목의 의도를 정확히 해석하고 이를 입증할 자료를 체계적으로 준비하는 전략이 중요합니다. 인증을 ‘한 번에’ 획득하기 위해서는 반드시 정교한 사전 준비가 수반되어야 합니다.
Q. 아직 UN R155 인증이 없는 수입사나 소규모 제작사는 무엇부터 시작해야 할까요?
우선 CSMS 구축부터 시작해야 합니다. CSMS는 단순한 기술 요건이 아니라, 조직 전체의 보안 거버넌스를 포함하는 관리체계입니다. 가장 중요한 것은 ‘지속 가능한 체계’를 만드는 것입니다. 조직 및 프로세스 구축 - TARA(Threat Analysis and Risk Assessment, 위협분석 및 위험평가) - 보안 기능 적용 및 검증 - 사후 모니터링 및 대응의 기본 구조를 명확히 세워두면, 인증 준비나 외부 심사 대응에서도 일관된 대응이 가능합니다.
먼저, 조직 내 역할과 책임을 명확히 정의하고 사이버보안 정책과 운영 절차를 수립해야 합니다. 이는 개발, 생산, 생산 이후 단계까지 전 주기에 걸쳐 유지되어야 하고요. 이후 TARA 프로세스를 정립해야 합니다. 아울러 보안 위협과 취약점을 체계적으로 식별하고, 이에 대한 대응 전략을 문서화해야 합니다. 이는 인증의 핵심 근간이 되기 때문에 보안 조직이 작더라도 반드시 갖춰야 합니다.
또한 지속적인 모니터링 및 사고 대응 체계를 수립해야 합니다. 사이버공격이나 이상 징후를 탐지하고, 신속히 대응할 수 있는 프로세스 마련은 물론, 다수의 협력사를 포괄하는 공급망 관리체계를 갖춰 유기적으로 얽힌 전체 생태계의 보안 신뢰성도 확보해야 합니다.
Q. 차량 제작사가 자관법에 대응할 때 유의해야 하는 점은 어떤 것이 있을까요?
현재 대부분의 차량 제작사가 CSMS 인증에 집중하고 있지만, VTA까지 함께 고려해야 한다는 점을 잊어서는 안 됩니다. 앞서 설명했듯 CSMS가 조직과 프로세스를 평가하는 단계라면, VTA는 실제 차량에서 사이버보안 조치가 제대로 구현됐는지 확인하는 절차입니다. 단순히 문서를 잘 준비하는 것만으로는 인증을 획득할 수 없습니다. VTA를 위해서는 제어기와 차량 단위로 다양한 보안 테스트를 수행해 사이버보안의 강건성과 유효성을 다각도로 검증해야 합니다. 결국 정책과 프로세스부터 실제 차량 구현까지 통합적으로 접근했을 때 비로소 자동차 사이버보안 체계가 완성된다는 것을 명심해야 합니다.
또한 사이버보안은 인증을 획득하는 것에서 절대 끝나지 않습니다. 기업 운영 전반에 사이버보안을 내재화해 생애주기 전반에 걸쳐 지속적으로 고도화해야 합니다. 나아가 예기치 못한 사고에도 신속히 복구할 수 있는 ‘사이버 복원력’이 갖춰진다면 기업의 미래 경쟁력을 한층 강화할 수 있을 것입니다.
이번 인터뷰에서는 국내 자동차 사이버보안 법규를 제정한 전문가의 시각에서 제도의 전체적인 구조를 짚어보았다. 하지만 법규의 이해만으로 완전한 대응은 어렵다. 다음 시리즈에서는 CSMS 인증 심사자를 만나 실제 심사 과정의 평가 기준과 실질적인 대응 방안을 함께 살펴볼 계획이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
