차량 산업이 직면한 새로운 사이버보안 요구사항
[보안뉴스= 최영진 이타스코리아 사이버보안사업팀 매니저] 유럽경제위원회(UNECE) 산하 차량 기준 국제조화 회의(WP.29)에서는 지난 2020년 6월 차량 사이버보안에 관한 법규 2개를 채택했다.
[이미지=utoimage]
△UNR No.155: Cyber security and Cyber Security Management System
- CSMS(차량 사이버보안 관리체계)
△UNR No.156: Software Update and Software Updates Management System
- SUMS(차량 소프트웨어 업데이트 관리체계)
이번 연재에서는 두 법규 중에서 No.155 CSMS(사이버보안 관리체계)에 대해 소개하고자 한다. 차량 사이버 보안 법규에 따르면 UNECE 회원국(유럽, 아시아 등 60여 개국)에 승용차와 상용차 차량을 판매하고자 하는 자동차 제조사는 2022년 7월부터 CSMS 인증을 취득해야 한다. 그리고 CSMS 인증을 갖춘 자동차 제조사에 한해서 신차에 대한 차량 형식 승인(Vehicle Type Approval, 이하 VTA)을 신청할 수 있다. VTA는 기존의 기능안전 요건 외에 UNR No.155에 의거해 사이버보안 대책을 요구한다. 사이버보안 대책이 충족되지 않으면 2022년 7월부터 UNECE 회원국에 차량을 판매하지 못하게 된다. 이에 따라 우리나라 국토교통부에서도 2020년 12월 ‘차량 사이버보안 가이드라인’을 배포하며, 우리나라에 적합한 차량 사이버보안 대응을 위한 준비에 나서고 있다.
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는...
▲차량 사이버보안 관리체계(CSMS)와 차량 형식 승인(VTA)간의 관계[출처=에스크립트, 제공=이타스코리아]
글로벌 선두 자동차 제조사들은 CSMS 관리체계 수립을 시작했으며, 나머지 차량 제조사들도 분주하게 CSMS를 갖추기 위해 UNECE 요구사항을 분석해 CSMS 규정을 이해하고, 자체 차량 사이버보안 관리 수준을 평가하기 시작했다.
UNECE WP.29의 차량 사이버보안 법규는 자율주행 시대를 맞이하는 자동차 산업의 사이버보안에 대한 명확한 대책을 요구하고 있다. 그러므로 CSMS는 자동차 제조사와 협력사 모두의 사업 전략 실현을 위한 핵심 가치가 될 것이다. 회사는 경영진의 책임, 조직, 교육 문화, 기업 프로세스, 차량 및 차량 부품 단위에 대한 사이버보안 활동이 갖춰져야 한다. CSMS의 생명주기(차량 개발 및 양산 이후와 단종 시점) 범위는 모두 기술적 수단 측면에서 사이버보안을 포괄적으로 정의, 제어, 관리 및 개선하는 활동을 수행해야 한다.
UNR No.155와 ISO/SAE 21434
UNR No.155에 따라, 자동차 제조사는 차량 설계부터 생산 그리고 단종까지 생명주기 전반에 걸쳐 사이버보안 요건을 정의하고, CSMS 운영을 위한 업무 프로세스를 수립한 후 이를 적용해야 한다. UNECE는 CSMS 세부 활동을 수립하는데 참고 가능한 주요 국제표준으로 ISO/SAE 21434를 권장하고 있다. 현재 ISO/SAE 21434는 DIS 버전이며 올해 공식 제정될 예정이다.
▲UNR No.155와 국제표준 간의 관계[출처=에스크립트, 제공=이타스코리아]
자동차 산업에서는 이전부터 운전자의 생명 그리고 안전과 직결되는 차량 형식에 대해 기능안전 국제표준인 ISO 26262를 기반으로 차량 형식의 개발 및 양산에 대한 안전성을 준수토록 했다. 더불어 이제는 UNR No.155를 시작으로 국가별 법령이 제·개정 되면서 사이버보안 중요도가 증가하고 있다. ISO/SAE 21434는 기능안전과 유사하게 V-모델을 기반으로 구성되어 있으며, UNR No.155에 맞춰 차량 사이버보안 관리체계 수립을 위한 요구사항을 약 160여개 제시하고 있다.
CSMS와 ISMS 간의 차이
일반적으로 한 대의 차량이 생산 및 판매되는 과정에 있어 수많은 협력사들이 필수적으로 참여할 수밖에 없는 산업환경을 고려했을 때, CSMS에 대한 수립 및 운영 과정에는 차량 제조사와 협력사들 간의 밀접하고 유기적인 대응이 필요하다. 이러한 정보보안 관리체계와 공급망에 대한 관리 개념은 기업 정보보안 관리체계인 ISMS(ISO/IEC 27001,2)에서 이미 소개됐다.
▲ISMS와 CSMS간의 차이[출처=에스크립트, 제공=이타스코리아]
하지만, ISMS는 기업의 정보시스템을 보호하는데 집중하는 것으로 목적으로 두는 반면에 CSMS는 기업이 제조하는 제품(차량)에 대한 정보보호를 목적으로 하고 있다.
CSMS 수립 대상은 자동차 제조사, 그러나 협력사도 필수
차량 사이버보안은 이제 더 이상 선택이 아닌 필수 요건으로서, 차량 제조사를 포함한 다양한 이해당사자들의 적극적인 대응이 필요한 시점이다. 지난해 6월 당시만 해도 UNR No.155 해설서에서는 자동차 제조사에게 CSMS 인증을 요구하고 협력사에 대해서는 구체적인 요구사항이 없었다. 그러나 올해 1월 1일 UNR No.155 해설서가 개정되면서 자동차 제조사는 협력사의 사이버보안 위험을 CSMS 통해 인지 및 대응할 수 있음을 입증하라고 강조해 안내하기 시작했다. 이에 맞춰 글로벌 리딩 협력사들은 CSMS를 잘 갖추는 것이 차량 제조사의 요구에 부합함은 물론 계약 수주에 유리하기 때문에 이미 CSMS를 준비하고 있다.
▲UNR No.155 해설서 개정판(2021.01.01) 조항 7.2.2.5, 협력사의 CSMS 명시[출처=UNECE 홈페이지, 제공=이타스코리아]
CSMS 구성
이제 자동차 제조사와 협력사들이 경쟁하듯 수립하고자 하는 CSMS는 어떻게 구성되었는지 살펴보자. CSMS의 세부 도메인은 ①기업 관리 관점과 ②차량 프로세스 관리 관점 등 크게 두 가지로 구분할 수 있다.
▲CSMS 프레임워크 구성[출처=에스크립트, 제공=이타스코리아]
①기업 관리 관점
큰 그림에서 차량 제조사와 협력사는 차량 사이버보안 정책을 갖추고, 정책에 맞는 절차가 마련되어 있어야 한다. 또한, 각 절차는 수행 부서 정의가 명확해야 하며, 기업이 갖추고 있는 인증서들을 활용토록 권장하고 있다. 정책에서 가장 부각 되는 것은 ‘위험평가방법론’이다. 기업은 차량에 대한 위험평가방법론을 갖추고 있어야 하고, 이는 CSMS 인증 심사를 통해 적절한 위험평가 기준과 도출된 위험에 대한 대응 방안을 기업이 운영하고 있는지 확인받게 된다. 즉, 차량에 탑재되는 제어기들에 대하여 위험평가방법론을 일관되게 적용하고, 위험평가 결과에 따라 적절한 대응 방안이 수립되었음을 증명하는 것이 핵심이다.
또한, CSMS는 일반 IT환경에서의 침해대응과 마찬가지로 이제 차량에 대한 사이버보안 모니터링을 요구한다. 모니터링은 차량 생명주기 전체를 포함하고 있으며 정보수집 대상은 차량의 정보이기에 기업의 정보보안과 유사하면서도 다른 업무 속성을 가지고 있다.
②차량 프로세스 관리 관점
기업관점에서 갖춰야 할 사이버보안 활동이 모두 갖춰지게 되면, 차량에 대한 사이버보안 활동이 요구된다. 그 중 첫 번째가 프로젝트 단위로써 차량을 개발할 때 요구되는 활동이고, 두 번째는 양산부터 해당 차량 형식이 단종되는 시점까지에 대한 사이버보안 활동이다. 모든 구성은 V-모델을 기반으로 한다는 점에서 기능안전과 유사하지만, 분석 및 관리해야 할 정보와 위협요소가 모두 사이버보안에 대한 것이라는 차이가 있다.
보통 한 개의 차량 형식을 개발하는데 약 2~3년 걸린다고 가정하면, 자동차 특정 차량 형식에 대하여 2022년 7월 이후 양산 예정이라면 사이버보안 VTA를 받아야 하고, 개발 기간을 역산해 보면 2020년 7월 이후의 모든 프로젝트는 사이버보안에 입각해서 이루어져야 한다는 것이다. 만약 사이버보안 관리체계가 수립되어 있지 않았거나, 수립되어 있더라도 위험평가가 제대로 수행되고 있음을 입증하지 못한다면 차량 제조사는 해당 차량 형식을 더 이상 판매하지 못하는 상황이 발생하게 된다.
CSMS와 VTA의 관계
앞서 CSMS 관리체계는 자동차 제조사와 협력사 모두가 갖출 필요가 있고 그 범위는 차량 생명주기임을 설명했다. 기업의 관리 관점에서 차량을 제조하기 위한 프로세스와 조직이 구성되면, 이제 마지막 관문은 사이버보안 활동을 통해 생산된 차량에 대한 VTA가 남게 된다.
▲CSMS와 VTA간의 관계[출처=에스크립트, 제공=이타스코리아]
VTA는 기술 서비스 기관(Technical Service)이 차량 제조사가 신청한 차량 형식에 대해 기능안전과 사이버보안을 검증 및 심사하게 된다. 이 과정에서 자동차 제조사는 CSMS 인증서를 제출해야만 심사 신청이 가능하다. 일단 CSMS 인증서를 제출한 자동차 제조사는 시험기관에 설계/개발 과정에서 도출된 각종 사이버보안 활동의 증빙자료를 제출해야 한다. 이 때, 증빙자료는 ISO/SAE DIS 21434에서 제시하는 Work Product(WP)에 따라 갖춰져야 한다. 다음 그림은 ISO/SAE 21434에서의 설계/개발 활동별 요구사항에 대한 예시이다.
▲VTA를 받기 위해 구비해야 하는 증빙자료 유형에 대한 예시[출처=에스크립트, 제공=이타스코리아]
다음 편에서는 VTA를 위한 사이버보안 엔지니어링(Cyber Security Engineering, CSE) 항목 중 위험평가와 보안 테스팅에 대하여 자세히 알아볼 예정이다. 한편, 삼정KPMG와 차량 임베디드 솔루션 선도기업인 이타스코리아(ETAS Korea)는 지난 2020년 10월 ‘차량 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 차량 사이버 보안에 대한 전문적인 서비스를 제공하고 있다.
[글_ 최영진 이타스코리아 사이버보안사업팀 매니저]
[보안뉴스= 최영진 이타스코리아 사이버보안사업팀 매니저] 유럽경제위원회(UNECE) 산하 차량 기준 국제조화 회의(WP.29)에서는 지난 2020년 6월 차량 사이버보안에 관한 법규 2개를 채택했다.
[이미지=utoimage]
△UNR No.155: Cyber security and Cyber Security Management System
- CSMS(차량 사이버보안 관리체계)
△UNR No.156: Software Update and Software Updates Management System
- SUMS(차량 소프트웨어 업데이트 관리체계)
이번 연재에서는 두 법규 중에서 No.155 CSMS(사이버보안 관리체계)에 대해 소개하고자 한다. 차량 사이버 보안 법규에 따르면 UNECE 회원국(유럽, 아시아 등 60여 개국)에 승용차와 상용차 차량을 판매하고자 하는 자동차 제조사는 2022년 7월부터 CSMS 인증을 취득해야 한다. 그리고 CSMS 인증을 갖춘 자동차 제조사에 한해서 신차에 대한 차량 형식 승인(Vehicle Type Approval, 이하 VTA)을 신청할 수 있다. VTA는 기존의 기능안전 요건 외에 UNR No.155에 의거해 사이버보안 대책을 요구한다. 사이버보안 대책이 충족되지 않으면 2022년 7월부터 UNECE 회원국에 차량을 판매하지 못하게 된다. 이에 따라 우리나라 국토교통부에서도 2020년 12월 ‘차량 사이버보안 가이드라인’을 배포하며, 우리나라에 적합한 차량 사이버보안 대응을 위한 준비에 나서고 있다.
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는...
▲차량 사이버보안 관리체계(CSMS)와 차량 형식 승인(VTA)간의 관계[출처=에스크립트, 제공=이타스코리아]
글로벌 선두 자동차 제조사들은 CSMS 관리체계 수립을 시작했으며, 나머지 차량 제조사들도 분주하게 CSMS를 갖추기 위해 UNECE 요구사항을 분석해 CSMS 규정을 이해하고, 자체 차량 사이버보안 관리 수준을 평가하기 시작했다.
UNECE WP.29의 차량 사이버보안 법규는 자율주행 시대를 맞이하는 자동차 산업의 사이버보안에 대한 명확한 대책을 요구하고 있다. 그러므로 CSMS는 자동차 제조사와 협력사 모두의 사업 전략 실현을 위한 핵심 가치가 될 것이다. 회사는 경영진의 책임, 조직, 교육 문화, 기업 프로세스, 차량 및 차량 부품 단위에 대한 사이버보안 활동이 갖춰져야 한다. CSMS의 생명주기(차량 개발 및 양산 이후와 단종 시점) 범위는 모두 기술적 수단 측면에서 사이버보안을 포괄적으로 정의, 제어, 관리 및 개선하는 활동을 수행해야 한다.
UNR No.155와 ISO/SAE 21434
UNR No.155에 따라, 자동차 제조사는 차량 설계부터 생산 그리고 단종까지 생명주기 전반에 걸쳐 사이버보안 요건을 정의하고, CSMS 운영을 위한 업무 프로세스를 수립한 후 이를 적용해야 한다. UNECE는 CSMS 세부 활동을 수립하는데 참고 가능한 주요 국제표준으로 ISO/SAE 21434를 권장하고 있다. 현재 ISO/SAE 21434는 DIS 버전이며 올해 공식 제정될 예정이다.
▲UNR No.155와 국제표준 간의 관계[출처=에스크립트, 제공=이타스코리아]
자동차 산업에서는 이전부터 운전자의 생명 그리고 안전과 직결되는 차량 형식에 대해 기능안전 국제표준인 ISO 26262를 기반으로 차량 형식의 개발 및 양산에 대한 안전성을 준수토록 했다. 더불어 이제는 UNR No.155를 시작으로 국가별 법령이 제·개정 되면서 사이버보안 중요도가 증가하고 있다. ISO/SAE 21434는 기능안전과 유사하게 V-모델을 기반으로 구성되어 있으며, UNR No.155에 맞춰 차량 사이버보안 관리체계 수립을 위한 요구사항을 약 160여개 제시하고 있다.
CSMS와 ISMS 간의 차이
일반적으로 한 대의 차량이 생산 및 판매되는 과정에 있어 수많은 협력사들이 필수적으로 참여할 수밖에 없는 산업환경을 고려했을 때, CSMS에 대한 수립 및 운영 과정에는 차량 제조사와 협력사들 간의 밀접하고 유기적인 대응이 필요하다. 이러한 정보보안 관리체계와 공급망에 대한 관리 개념은 기업 정보보안 관리체계인 ISMS(ISO/IEC 27001,2)에서 이미 소개됐다.
▲ISMS와 CSMS간의 차이[출처=에스크립트, 제공=이타스코리아]
하지만, ISMS는 기업의 정보시스템을 보호하는데 집중하는 것으로 목적으로 두는 반면에 CSMS는 기업이 제조하는 제품(차량)에 대한 정보보호를 목적으로 하고 있다.
CSMS 수립 대상은 자동차 제조사, 그러나 협력사도 필수
차량 사이버보안은 이제 더 이상 선택이 아닌 필수 요건으로서, 차량 제조사를 포함한 다양한 이해당사자들의 적극적인 대응이 필요한 시점이다. 지난해 6월 당시만 해도 UNR No.155 해설서에서는 자동차 제조사에게 CSMS 인증을 요구하고 협력사에 대해서는 구체적인 요구사항이 없었다. 그러나 올해 1월 1일 UNR No.155 해설서가 개정되면서 자동차 제조사는 협력사의 사이버보안 위험을 CSMS 통해 인지 및 대응할 수 있음을 입증하라고 강조해 안내하기 시작했다. 이에 맞춰 글로벌 리딩 협력사들은 CSMS를 잘 갖추는 것이 차량 제조사의 요구에 부합함은 물론 계약 수주에 유리하기 때문에 이미 CSMS를 준비하고 있다.
▲UNR No.155 해설서 개정판(2021.01.01) 조항 7.2.2.5, 협력사의 CSMS 명시[출처=UNECE 홈페이지, 제공=이타스코리아]
CSMS 구성
이제 자동차 제조사와 협력사들이 경쟁하듯 수립하고자 하는 CSMS는 어떻게 구성되었는지 살펴보자. CSMS의 세부 도메인은 ①기업 관리 관점과 ②차량 프로세스 관리 관점 등 크게 두 가지로 구분할 수 있다.
▲CSMS 프레임워크 구성[출처=에스크립트, 제공=이타스코리아]
①기업 관리 관점
큰 그림에서 차량 제조사와 협력사는 차량 사이버보안 정책을 갖추고, 정책에 맞는 절차가 마련되어 있어야 한다. 또한, 각 절차는 수행 부서 정의가 명확해야 하며, 기업이 갖추고 있는 인증서들을 활용토록 권장하고 있다. 정책에서 가장 부각 되는 것은 ‘위험평가방법론’이다. 기업은 차량에 대한 위험평가방법론을 갖추고 있어야 하고, 이는 CSMS 인증 심사를 통해 적절한 위험평가 기준과 도출된 위험에 대한 대응 방안을 기업이 운영하고 있는지 확인받게 된다. 즉, 차량에 탑재되는 제어기들에 대하여 위험평가방법론을 일관되게 적용하고, 위험평가 결과에 따라 적절한 대응 방안이 수립되었음을 증명하는 것이 핵심이다.
또한, CSMS는 일반 IT환경에서의 침해대응과 마찬가지로 이제 차량에 대한 사이버보안 모니터링을 요구한다. 모니터링은 차량 생명주기 전체를 포함하고 있으며 정보수집 대상은 차량의 정보이기에 기업의 정보보안과 유사하면서도 다른 업무 속성을 가지고 있다.
②차량 프로세스 관리 관점
기업관점에서 갖춰야 할 사이버보안 활동이 모두 갖춰지게 되면, 차량에 대한 사이버보안 활동이 요구된다. 그 중 첫 번째가 프로젝트 단위로써 차량을 개발할 때 요구되는 활동이고, 두 번째는 양산부터 해당 차량 형식이 단종되는 시점까지에 대한 사이버보안 활동이다. 모든 구성은 V-모델을 기반으로 한다는 점에서 기능안전과 유사하지만, 분석 및 관리해야 할 정보와 위협요소가 모두 사이버보안에 대한 것이라는 차이가 있다.
보통 한 개의 차량 형식을 개발하는데 약 2~3년 걸린다고 가정하면, 자동차 특정 차량 형식에 대하여 2022년 7월 이후 양산 예정이라면 사이버보안 VTA를 받아야 하고, 개발 기간을 역산해 보면 2020년 7월 이후의 모든 프로젝트는 사이버보안에 입각해서 이루어져야 한다는 것이다. 만약 사이버보안 관리체계가 수립되어 있지 않았거나, 수립되어 있더라도 위험평가가 제대로 수행되고 있음을 입증하지 못한다면 차량 제조사는 해당 차량 형식을 더 이상 판매하지 못하는 상황이 발생하게 된다.
CSMS와 VTA의 관계
앞서 CSMS 관리체계는 자동차 제조사와 협력사 모두가 갖출 필요가 있고 그 범위는 차량 생명주기임을 설명했다. 기업의 관리 관점에서 차량을 제조하기 위한 프로세스와 조직이 구성되면, 이제 마지막 관문은 사이버보안 활동을 통해 생산된 차량에 대한 VTA가 남게 된다.
▲CSMS와 VTA간의 관계[출처=에스크립트, 제공=이타스코리아]
VTA는 기술 서비스 기관(Technical Service)이 차량 제조사가 신청한 차량 형식에 대해 기능안전과 사이버보안을 검증 및 심사하게 된다. 이 과정에서 자동차 제조사는 CSMS 인증서를 제출해야만 심사 신청이 가능하다. 일단 CSMS 인증서를 제출한 자동차 제조사는 시험기관에 설계/개발 과정에서 도출된 각종 사이버보안 활동의 증빙자료를 제출해야 한다. 이 때, 증빙자료는 ISO/SAE DIS 21434에서 제시하는 Work Product(WP)에 따라 갖춰져야 한다. 다음 그림은 ISO/SAE 21434에서의 설계/개발 활동별 요구사항에 대한 예시이다.
▲VTA를 받기 위해 구비해야 하는 증빙자료 유형에 대한 예시[출처=에스크립트, 제공=이타스코리아]
다음 편에서는 VTA를 위한 사이버보안 엔지니어링(Cyber Security Engineering, CSE) 항목 중 위험평가와 보안 테스팅에 대하여 자세히 알아볼 예정이다. 한편, 삼정KPMG와 차량 임베디드 솔루션 선도기업인 이타스코리아(ETAS Korea)는 지난 2020년 10월 ‘차량 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 차량 사이버 보안에 대한 전문적인 서비스를 제공하고 있다.
[글_ 최영진 이타스코리아 사이버보안사업팀 매니저]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
