Automotive Cybersecurity: Are You Ready?
제조사·협력사 차량 라이프사이클 전 과정의 사이버보안 관리 필요
지난해 6월 국토교통부는 자동차 사이버보안 국제기준(UNR No.155)을 바탕으로 자동차제작사에 대한 권고안을 주요 내용으로 하는 사이버 보안 가이드라인을 마련했다. 권고사항을 요약하면, 제작사가 사이버 보안 관리체계를 갖추고, 그 체계에 따라 자동차 사이버 보안을 관리해야 한다는 것이다. 관리체계는 사이버 위험에 대응하기 위한 조직체계의 총체로, 사이버보안 확보를 위한 각종 행정절차 및 운영지침(프로세스), 조직의 책임‧권한 배분 등을 의미한다. 이에 본지는 삼정KPMG 및 ETAS Korea와 함께 자동차 사이버보안 인증(CSMS: Cyber Security Management System) 제도 의무화와 관련하여 연재기획을 마련했다. [편집자주]
[이미지=utoimage]
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계, 차량 형식 승인
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는...
[보안뉴스= 삼정KPMG 컨설팅부문 고영대 상무] 사이버보안이 자동차 안전성의 중요한 기준으로 대두됨에 따라 유럽경제위원회(UNECE) 산하 자동차 기준 국제조화 회의(WP.29)에서는 지난 2020년 6월 자동차 사이버보안에 관한 법규(UN Regulation No.155: Cybersecurity Regulation)를 채택했다.
자동차 사이버보안 인증 의무화 시행
자동차 사이버보안 법규에 따르면 오는 2022년 7월부터 UNECE 회원국(유럽, 아시아 등 60 여개국)에 등록되는 신형 자동차의 차량 형식승인(VTA: Vehicle Type Approval)을 받기 위해서는 자동차 사이버보안 관리체계(CSMS: Cybersecurity Management System)에 대한 인증을 의무적으로 취득해야만 한다. 또한, 기존에 이미 등록되어 있는 자동차의 경우에도 2024년 7월까지 자동차 사이버보안 관리체계(CSMS) 인증이 전제되어야 한다.
이에 따라 우리나라 국토교통부에서도 지난 2020년 12월 ‘자동차 사이버보안 가이드라인’을 배포하며, 우리나라에 적합한 자동차 사이버보안 대응을 위한 준비에 나서고 있다.
▲자동차 사이버보안 제도화 로드맵(국제기준)[출처=국토교통부 ‘자동차 사이버보안 가이드’]
제조사 및 협력사의 차량 Life Cycle 전 과정에 대한 사이버보안 관리
UNECE 자동차 사이버보안 법규에 따라 제조사는 차량 기획부터 생산 및 생산 후 과정에 이르는 라이프사이클(Life Cycle) 전반에 걸쳐 사이버보안 요건을 정의하고 이러한 요건에 따른 자동차 사이버보안 관리체계(CSMS) 운영을 위한 업무 프로세스를 수립하고 이를 적용해야 한다.
일반적으로 한 대의 자동차가 생산 및 판매되는 과정에 있어 수많은 협력사들이 필수적으로 참여할 수밖에 없는 환경임을 고려했을 때, 자동차 사이버보안 관리체계(CSMS)에 대한 수립 및 운영 과정에는 차량 제조사뿐만 아니라, 여러 부품업체들과의 보다 밀접하고 유기적인 대응이 필요하다.
즉, 앞으로는 차량 제조사와 각 부품사들은 자동차 라이프사이클 전반에 걸쳐 각 사간 반드시 준수해야 할 사이버보안 요구사항과 증빙 자료를 구체화하고 이를 계약 및 검수 과정에 명시해야 할 것으로 보인다.
자동차 사이버보안을 위한 적극적이고 선제적인 참여 및 대응전략 수립 필요
자동차 사이버보안은 이제 더 이상 선택이 아닌 필수요건으로서, 차량 제조사를 포함한 다양한 이해당사자들의 적극적인 대응이 필요한 시점이다.
다만, 제조사와 부품사의 경우 자동차 사이버보안이 다소 생소한 분야이다 보니 전문 인력과 노하우가 부족한 실정이다. 향후 이러한 자동차 사이버보안 규정을 준수하지 못할 경우 매우 심각한 문제에 직면할 수도 있기에 제조사 및 협력사의 차량 생산 전 과정에 대한 사이버보안 관리에 대해 보다 적극적이고 선제적인 대응전략 수립을 마련해야 할 것이다.
향후 연재에서는 이러한 UNECE 자동차 사이버보안 규정과 연관된 자동차 사이버보안 국제 표준(ISO/SAE 21434) 및 차량의 사이버보안 활동(CSE: Cyber Security Engineering)에 대해서 보다 구체적으로 다루어 보도록 할 예정이다. 한편, 삼정KPMG와 자동차 임베디드 솔루션 선도기업인 ETAS Korea는 지난 2020년 10월 ‘자동차 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 자동차 사이버보안에 대한 전문적인 서비스를 제공하고 있다.
[글_ 고영대 삼정KPMG 컨설팅부문 상무(youngdaiko@kr.kpmg.com)]
제조사·협력사 차량 라이프사이클 전 과정의 사이버보안 관리 필요
지난해 6월 국토교통부는 자동차 사이버보안 국제기준(UNR No.155)을 바탕으로 자동차제작사에 대한 권고안을 주요 내용으로 하는 사이버 보안 가이드라인을 마련했다. 권고사항을 요약하면, 제작사가 사이버 보안 관리체계를 갖추고, 그 체계에 따라 자동차 사이버 보안을 관리해야 한다는 것이다. 관리체계는 사이버 위험에 대응하기 위한 조직체계의 총체로, 사이버보안 확보를 위한 각종 행정절차 및 운영지침(프로세스), 조직의 책임‧권한 배분 등을 의미한다. 이에 본지는 삼정KPMG 및 ETAS Korea와 함께 자동차 사이버보안 인증(CSMS: Cyber Security Management System) 제도 의무화와 관련하여 연재기획을 마련했다. [편집자주]
[이미지=utoimage]
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계, 차량 형식 승인
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는...
[보안뉴스= 삼정KPMG 컨설팅부문 고영대 상무] 사이버보안이 자동차 안전성의 중요한 기준으로 대두됨에 따라 유럽경제위원회(UNECE) 산하 자동차 기준 국제조화 회의(WP.29)에서는 지난 2020년 6월 자동차 사이버보안에 관한 법규(UN Regulation No.155: Cybersecurity Regulation)를 채택했다.
자동차 사이버보안 인증 의무화 시행
자동차 사이버보안 법규에 따르면 오는 2022년 7월부터 UNECE 회원국(유럽, 아시아 등 60 여개국)에 등록되는 신형 자동차의 차량 형식승인(VTA: Vehicle Type Approval)을 받기 위해서는 자동차 사이버보안 관리체계(CSMS: Cybersecurity Management System)에 대한 인증을 의무적으로 취득해야만 한다. 또한, 기존에 이미 등록되어 있는 자동차의 경우에도 2024년 7월까지 자동차 사이버보안 관리체계(CSMS) 인증이 전제되어야 한다.
이에 따라 우리나라 국토교통부에서도 지난 2020년 12월 ‘자동차 사이버보안 가이드라인’을 배포하며, 우리나라에 적합한 자동차 사이버보안 대응을 위한 준비에 나서고 있다.
▲자동차 사이버보안 제도화 로드맵(국제기준)[출처=국토교통부 ‘자동차 사이버보안 가이드’]
제조사 및 협력사의 차량 Life Cycle 전 과정에 대한 사이버보안 관리
UNECE 자동차 사이버보안 법규에 따라 제조사는 차량 기획부터 생산 및 생산 후 과정에 이르는 라이프사이클(Life Cycle) 전반에 걸쳐 사이버보안 요건을 정의하고 이러한 요건에 따른 자동차 사이버보안 관리체계(CSMS) 운영을 위한 업무 프로세스를 수립하고 이를 적용해야 한다.
일반적으로 한 대의 자동차가 생산 및 판매되는 과정에 있어 수많은 협력사들이 필수적으로 참여할 수밖에 없는 환경임을 고려했을 때, 자동차 사이버보안 관리체계(CSMS)에 대한 수립 및 운영 과정에는 차량 제조사뿐만 아니라, 여러 부품업체들과의 보다 밀접하고 유기적인 대응이 필요하다.
즉, 앞으로는 차량 제조사와 각 부품사들은 자동차 라이프사이클 전반에 걸쳐 각 사간 반드시 준수해야 할 사이버보안 요구사항과 증빙 자료를 구체화하고 이를 계약 및 검수 과정에 명시해야 할 것으로 보인다.
자동차 사이버보안을 위한 적극적이고 선제적인 참여 및 대응전략 수립 필요
자동차 사이버보안은 이제 더 이상 선택이 아닌 필수요건으로서, 차량 제조사를 포함한 다양한 이해당사자들의 적극적인 대응이 필요한 시점이다.
다만, 제조사와 부품사의 경우 자동차 사이버보안이 다소 생소한 분야이다 보니 전문 인력과 노하우가 부족한 실정이다. 향후 이러한 자동차 사이버보안 규정을 준수하지 못할 경우 매우 심각한 문제에 직면할 수도 있기에 제조사 및 협력사의 차량 생산 전 과정에 대한 사이버보안 관리에 대해 보다 적극적이고 선제적인 대응전략 수립을 마련해야 할 것이다.
향후 연재에서는 이러한 UNECE 자동차 사이버보안 규정과 연관된 자동차 사이버보안 국제 표준(ISO/SAE 21434) 및 차량의 사이버보안 활동(CSE: Cyber Security Engineering)에 대해서 보다 구체적으로 다루어 보도록 할 예정이다. 한편, 삼정KPMG와 자동차 임베디드 솔루션 선도기업인 ETAS Korea는 지난 2020년 10월 ‘자동차 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 자동차 사이버보안에 대한 전문적인 서비스를 제공하고 있다.
[글_ 고영대 삼정KPMG 컨설팅부문 상무(youngdaiko@kr.kpmg.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
