UNECE 산하 자동차기준국제조화회의 ‘WP.29’ 자율자동차 사이버보안 국제기준 다뤄
국토교통부, WP.29와 함께 연구 진행...향후 자동차관리법 자동차안전기준에 포함시킬 것
자율차에 보안기술 적용시키려는 사이버 보안기업들, 국제기준 움직임에 관심 가져야
[보안뉴스 원병철 기자] 정부가 자율주행차를 차세대 먹거리로 판단하고 ‘대한민국을 자율주행차의 인큐베이터’로 만드는 데 힘을 쏟고 있다. 특히, 사업을 주도하는 국토교통부는 자율주행차(이하 자율차) 성공의 전제조건으로 ‘사이버보안’을 지목하고 자율차의 사이버보안을 강화하기 위한 노력도 함께 추진하면서 자동차 업계는 물론 사이버보안 업계의 관심도 쏠리고 있다.
[이미지=iclickart]
우선 국토교통부는 내년부터 고속도로에 정식으로 자율주행차가 달릴 수 있도록 하겠다고 밝히고 레벨3 안전기준 시행과 자율차 보험제도 마련, 자율주행 기술 테스트 및 운행 특례 부여 등을 추진했다. 아울러 2024년까지 완전자율주행을 위한 제도를 완비하기 위해 제작과 성능검증, 운행과 함께 보안체계 확립을 목표로 삼았다.
이러한 움직임은 비단 우리나라뿐만 아니다. 이미 UN 산하 유럽경제위원회(ECE) 자동차기준 국제조화 회의인 ‘WP.29’에서 자율주행 분야에서 ‘사이버보안과 소프트웨어 업데이트(TFCS)’ 연구를 진행하고 있다. UN WP.29는 △결의안(Cybersecurity Resolution)과 △규정(Cybersecurity Regulation), 그리고 △해석 가이드라인(Interpetration Doc)으로 세분화해 진행되고 있는데, 우리나라는 WP.29에 선제적으로 대응하기 위해 이미 연구 중이던 자율차 사이버보안의 결과물을 UN 국제회의에서 공개하고 함께 발전시키고 있다.
교통안전공단 자동차안전연구원 이은영 박사는 15일 열린 ‘자동차 사이버보안 법제도 마련을 위한 자율차 사이버보안 세미나’에서 현재까지 진행 중인 자율차 사이버보안 법제도에 대해 설명했다.
“국제사회가 자동차 사이버보안의 안전성을 확보하기 위해 UN ECE를 중심으로 자동차 사이버보안 지침을 마련했고, 우리나라 역시 자동차 사이버보안 기준과 관련 R&D를 바탕으로 지침을 마련했습니다. 특히, 우리는 그동안의 R&D 성과와 국제기준 논의 결과를 바탕으로 사이버보안 지침을 제시함으로써 사이버보안 안전기준 제정 전까지의 참고자료로 활용하고자 합니다.”
우선, 결의안에는 사이버보안 원칙과 위협 완화방안이 담겨 있다. 사이버보안 원칙에는 △조직의 보안은 가장 높은 조직 수준에서 소유, 관리 및 촉진되어야 한다 △조직은 자동차 수명 기간내 시스템이 안전(Secure)을 보장하도록 사이버보안 모니터링 및 사고 대응을 구현해야 한다 등과 같은 원칙과 자동차 제조사는 물론 하청업체까지 모두 이 원칙에 포함된다는 범위까지 포함하고 있다.
또한, 위협 완화방안 항목에서는 △내부자 공격의 위험을 최소화하기 위해 백엔드 시스템에 보안 제어가 적용돼야 한다 △데이터 침해 방지를 위해 백엔드 시스템에 보안 제어가 적용되야 한다는 등 구체적인 방안이 마련되어 있다. 다만, ‘방화벽’을 설치해야 한다던가, ‘자동차 전용 백신’을 설치해야 한다는 등 구체적인 솔루션을 지정하지는 않았다. 이는 구체적인 솔루션을 지정할 경우 미래가 어떻게 변할지 모르는 상황에서 또 하나의 ‘보안 홀’로 작용할 수 있다는 우려 때문이다.
“이런 지침들은 모두 무엇을 하면 되는지 기술하는 것이 아니라는 겁니다. 어떤 기술을 적용하라거나 혹은 이것을 하면 된다고 구체적인 내용이 아닙니다. 기술이나 솔루션을 특정할 경우 발전하는 공격에 대응하기 어렵기 때문입니다. 그것만으로 보안이 약화될 수 있기 때문이죠. 그래서 특정 보안기술이 들어가지 않습니다.”
세미나를 공동 주최한 국토교통부의 이창기 첨단자동차기술과 과장은 “자동차를 관리하는 자동차관리법에 일명 자동차안전기준이 있다”면서, “현재 진행 중인 지침이 이번 법체계에 포함되는 것이 목표”라고 설명했다. “UN ECE를 중심으로 국제사회에서도 자율차 사이버보안을 강화하는 기준을 만들고 있기 때문에, 그동안 국토교통부를 중심으로 연구됐던 연구결과를 과제로 제시하고 함께 국제기준을 만드는데 주력하고 있습니다.”
마지막으로 이은영 박사는 “사이버보안 원칙에 하청업체, 공급업체 및 잠재적 제3자를 포함한 모든 조직은 시스템의 보안을 강화하기 위해 협력해야 한다고 지적한 만큼 자율차의 사이버보안을 맡고 있는 보안기업들도 WP.29의 진행사항에 귀를 기울일 필요가 있다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
국토교통부, WP.29와 함께 연구 진행...향후 자동차관리법 자동차안전기준에 포함시킬 것
자율차에 보안기술 적용시키려는 사이버 보안기업들, 국제기준 움직임에 관심 가져야
[보안뉴스 원병철 기자] 정부가 자율주행차를 차세대 먹거리로 판단하고 ‘대한민국을 자율주행차의 인큐베이터’로 만드는 데 힘을 쏟고 있다. 특히, 사업을 주도하는 국토교통부는 자율주행차(이하 자율차) 성공의 전제조건으로 ‘사이버보안’을 지목하고 자율차의 사이버보안을 강화하기 위한 노력도 함께 추진하면서 자동차 업계는 물론 사이버보안 업계의 관심도 쏠리고 있다.
[이미지=iclickart]
우선 국토교통부는 내년부터 고속도로에 정식으로 자율주행차가 달릴 수 있도록 하겠다고 밝히고 레벨3 안전기준 시행과 자율차 보험제도 마련, 자율주행 기술 테스트 및 운행 특례 부여 등을 추진했다. 아울러 2024년까지 완전자율주행을 위한 제도를 완비하기 위해 제작과 성능검증, 운행과 함께 보안체계 확립을 목표로 삼았다.
이러한 움직임은 비단 우리나라뿐만 아니다. 이미 UN 산하 유럽경제위원회(ECE) 자동차기준 국제조화 회의인 ‘WP.29’에서 자율주행 분야에서 ‘사이버보안과 소프트웨어 업데이트(TFCS)’ 연구를 진행하고 있다. UN WP.29는 △결의안(Cybersecurity Resolution)과 △규정(Cybersecurity Regulation), 그리고 △해석 가이드라인(Interpetration Doc)으로 세분화해 진행되고 있는데, 우리나라는 WP.29에 선제적으로 대응하기 위해 이미 연구 중이던 자율차 사이버보안의 결과물을 UN 국제회의에서 공개하고 함께 발전시키고 있다.
교통안전공단 자동차안전연구원 이은영 박사는 15일 열린 ‘자동차 사이버보안 법제도 마련을 위한 자율차 사이버보안 세미나’에서 현재까지 진행 중인 자율차 사이버보안 법제도에 대해 설명했다.
“국제사회가 자동차 사이버보안의 안전성을 확보하기 위해 UN ECE를 중심으로 자동차 사이버보안 지침을 마련했고, 우리나라 역시 자동차 사이버보안 기준과 관련 R&D를 바탕으로 지침을 마련했습니다. 특히, 우리는 그동안의 R&D 성과와 국제기준 논의 결과를 바탕으로 사이버보안 지침을 제시함으로써 사이버보안 안전기준 제정 전까지의 참고자료로 활용하고자 합니다.”
우선, 결의안에는 사이버보안 원칙과 위협 완화방안이 담겨 있다. 사이버보안 원칙에는 △조직의 보안은 가장 높은 조직 수준에서 소유, 관리 및 촉진되어야 한다 △조직은 자동차 수명 기간내 시스템이 안전(Secure)을 보장하도록 사이버보안 모니터링 및 사고 대응을 구현해야 한다 등과 같은 원칙과 자동차 제조사는 물론 하청업체까지 모두 이 원칙에 포함된다는 범위까지 포함하고 있다.
또한, 위협 완화방안 항목에서는 △내부자 공격의 위험을 최소화하기 위해 백엔드 시스템에 보안 제어가 적용돼야 한다 △데이터 침해 방지를 위해 백엔드 시스템에 보안 제어가 적용되야 한다는 등 구체적인 방안이 마련되어 있다. 다만, ‘방화벽’을 설치해야 한다던가, ‘자동차 전용 백신’을 설치해야 한다는 등 구체적인 솔루션을 지정하지는 않았다. 이는 구체적인 솔루션을 지정할 경우 미래가 어떻게 변할지 모르는 상황에서 또 하나의 ‘보안 홀’로 작용할 수 있다는 우려 때문이다.
“이런 지침들은 모두 무엇을 하면 되는지 기술하는 것이 아니라는 겁니다. 어떤 기술을 적용하라거나 혹은 이것을 하면 된다고 구체적인 내용이 아닙니다. 기술이나 솔루션을 특정할 경우 발전하는 공격에 대응하기 어렵기 때문입니다. 그것만으로 보안이 약화될 수 있기 때문이죠. 그래서 특정 보안기술이 들어가지 않습니다.”
세미나를 공동 주최한 국토교통부의 이창기 첨단자동차기술과 과장은 “자동차를 관리하는 자동차관리법에 일명 자동차안전기준이 있다”면서, “현재 진행 중인 지침이 이번 법체계에 포함되는 것이 목표”라고 설명했다. “UN ECE를 중심으로 국제사회에서도 자율차 사이버보안을 강화하는 기준을 만들고 있기 때문에, 그동안 국토교통부를 중심으로 연구됐던 연구결과를 과제로 제시하고 함께 국제기준을 만드는데 주력하고 있습니다.”
마지막으로 이은영 박사는 “사이버보안 원칙에 하청업체, 공급업체 및 잠재적 제3자를 포함한 모든 조직은 시스템의 보안을 강화하기 위해 협력해야 한다고 지적한 만큼 자율차의 사이버보안을 맡고 있는 보안기업들도 WP.29의 진행사항에 귀를 기울일 필요가 있다”고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
