사이버보안 위험 평가 능력 내재화 및 보안 요구사항 이행 위한 보안 솔루션 도입 등 필요
[보안뉴스= 고영대 삼정KPMG 컨설팅부문 상무/이유식 이타스코리아 박사] 그동안의 연재를 통해 UNECE 자동차 사이버보안 규제 대응에 대한 필요성과 더불어 자동차 사이버보안 체계 수립에 있어 반드시 필요한 CSMS(Cyber Security Management System)와 VTA(Vehicle Type Approval), 위험평가 및 보안 테스팅에 대해 살펴봤다. 앞서 소개한 UNECE 자동차 사이버보안 규제의 요구사항들을 기초로 마지막 연재에서는 자동차 제조사 및 협력사들이 향후 자동차 사이버보안 체계 강화를 위해 반드시 수행해야 할 사항들에 대해 살펴보고자 한다.
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계, 차량 형식 승인
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는
[이미지=utoimage]
자동차 사이버보안 관리체계 정립을 위한 Security Enhancement
제조 환경을 포함한 국내 대다수 기업 및 조직들의 사이버보안 활동은 주로 IT 인프라 환경을 기반으로 대외로부터의 침해위협 대응과 대내로부터의 정보유출 예방과 방지 중심으로 발전해온 측면이 있다. 이러한 IT 중심의 정보보호 관리체계에서 자동차 업종에 특화된 자동차 사이버보안 체계를 새로이 정립하는 것이 단순히 쉬운 일은 아닐 것이다. 그동안 비교적 사각지대에 속해 있던 차량 기획부터 생산 및 생산 후 과정에 이르는 라이프 사이클(Life Cycle) 전반에 걸친 자동차 사이버보안 관리 활동을 위해서는 우선적으로 다음과 같은 사항들에 대한 고려가 필요하다.
우선, 기존 IT 중심의 정보보호 조직체계의 업무 역할에 대한 재분배를 통해 자동차 사이버보안 관리체계 수립을 위한 유관 부서간 책임과 역할을 재정립할 필요가 있다. 아래 예시에서 보는 바와 같이, 기존 정보보호 조직 내 자동차 사이버보안 관리에 필요한 CSMS 기획 및 운영에 필요한 제반 역할들을 담당할 ‘자동차보안 부서’를 신설하거나, 기존 보안업무 프로세스를 중심으로 유사 영역별 자동차 보안관리 기능을 할당하는 등 여러 가지 옵션을 선택할 수 있을 것으로 보인다. 즉, 자동차 사이버보안 관리체계 전담 부서(파트) 또는 담당자를 두고 이를 중심으로 CSMS를 대응해야 할 것이다.
▲자동차보안 조직 구성안[자료=삼정KPMG/이타스코리아]
조직적인 정비를 수행함과 더불어 당연히 필요한 것은 해당 조직에서 수행해야하 는 업무 프로세스와 이를 위한 세부 규정 또는 지침 마련이다. 자동차 사이버보안 관련 규정 및 지침, 이를 운영하기 위한 세부 가이드라인이 준비되어야 한다. CSMS에서는 자동차 사이버보안 관리체계 운영을 위한 별도의 규정과 세부 업무절차를 마련하도록 의무화하고 있기에 현재 각 기업에서 보유 및 운영하고 있는 정보보호 제반 규정을 보완해 CSMS에서 요구하고 있는 영역별 기능이 포함된 자동차 보안규정을 제·개정해야 한다. 다만, 기존 정보보호 규정을 개정하여 자동차 보안 관련 부분을 포함할 것이냐, 그렇지 않으면 자동차 보안관리 규정을 새로이 제정할 것이냐에 대한 조직 내부 조율이 필요할 것으로 보인다.
▲자동차보안 관리 규정 수립[자료=삼정KPMG/이타스코리아]
국내외 컴플라이언스 및 국제 표준에 대한 지속적인 변화관리
첫 번째 연재 내용인 ’ UNECE 자동차 사이버보안 규제 대응의 필요성’에서도 언급한 바와 같이 UNECE 자동차 사이버보안 규정 시행에 맞춰 국내에서도 자동차 사이버보안 법제화 및 표준 업무 가이드 작업이 국토교통부를 중심으로 진행되고 있다. 해당 표준 작업 방향에 따라 향후 우리나라의 자동차 사이버보안을 위한 컨트롤타워 수립, 중점 추진방향 및 세부 이행 가이드 등 다양한 분야에 대한 변화가 예상되어 이를 지속적으로 모니터링할 필요가 있다. 국내 법제화 및 표준 작업뿐만 아니라, 우리나라와 비슷한 상황에 놓인 중국, 미국, 일본 등과 같은 글로벌 자동차 수출국에 대한 동향 또한 놓쳐서는 안 될 것이다.
▲자동차 사이버보안 관련 제도[자료=삼정KPMG/이타스코리아]
또한, 자동차 사이버보안 국제 표준인 ISO/SAE 21434 규격의 최종 버전(final version)이 올해 초에 곧 배포될 예정에 있다. ISO21434 DIS 규격에 따르면, 일반적으로 널리 알려져 있는 Cyber Security와 관련한 국제 표준을 상당수 참고하고 있다. 정보보호 관리체계 국제표준인 ISO27001, 위험평가와 관련한 ISO31000 뿐만 아니라, OT(Operation Technology) 보안 관리 표준인 ISO62443 등을 그 예로 들 수 있다.
이에 보다 효율적이고 체계적인 UNECE 자동차 사이버보안 규정에 대응하기 위해서는 해당 규정 및 ISO21434 표준 이외에 국내외 각국의 법제화, 표준화 동향 및 전통적인 Cyber Security 표준 제도에도 관심을 기울여야 할 것이다.
자동차 제조사 및 부품 협력사간 사이버보안을 위한 상생 모델 수립
자동차 제조사의 경우, UNECE 자동차 사이버보안 규정 및 ISO21434 표준 이외에 제조사 자체적으로, 협력사가 준수해야할 자동차 사이버보안 표준 항목을 추가하여 보안 수준을 높이려는 움직임을 보이고 있다. 이러한 움직임은 자동차 사이버보안 체계 수립 및 운영을 위해 자동차 제조사와 협력사간 상호 유기적인 보완 활동이 필요하다는 공감에서부터 비롯된다고 볼 수 있다.
▲자동차 제조사 및 협력사간 주요 역할[자료=삼정KPMG/이타스코리아]
자동차 사이버보안 관리의 시작과 안정적 운영을 위해 자동차 제조사의 경우, 제조 및 비즈니스 환경 등을 고려해 부품 협력사와의 자동차 사이버보안 관리 수준 강화를 위한 상호 협력 방안을 만들고, 이를 지원해야 할 것이다. 또한, 부품 협력사의 입장에서도, 자동차 제조사와의 긴밀한 협력 하에 자동차 제조사의 사이버보안 요구사항에 부합하기 위한 내부관리체계를 마련하고 이를 지속적으로 관리해야 할 의무가 있을 것이다.
차량 형식 승인을 위한 실무 역량 강화 및 보안 솔루션 도입
UNECE Regulation No. 155가 말하는 차량 형식 승인의 본질은 사이버 공격으로부터 안전한 차량을 만드는 것이고, 이를 위하여 적절한 보안 기술이 차량에 탑재되어야 함을 의미한다. 어떤 보안 기술이 탑재되어야 하는가는 위험 분석을 통해 식별되며, 보안 시험을 통해 증명될 수 있다. 즉, 차량에 어떤 자산과 위협들이 있는지 식별하고 해당 위협들이 사이버 보안 관점에서 위험한 지 분석한 후, 위험하다고 판단된 위협들을 완화하기 위해 보안조치를 취하게 된다. 그리고 완화시키려한 위협을 공격에 이용하는 모의해킹 등의 보안 시험을 수행하여 해당 위협으로부터 차량이 안전함을 보임으로써 위험 분석 및 보안조치가 적절했음을 증명할 수 있다. 앞서의 과정이 차량 제조사와 협력사 사이에서 적용되는 과정을 살펴보면 다음과 같다.
▲안전성 확보를 위한 아이템 개발 과정[자료=삼정KPMG/이타스코리아]
이상에서 살펴본 바와 같이 차량 형식 승인을 받기 위해서 차량 제조사와 협력사는 긴밀하게 협력해야 하며, 다음과 같은 역량을 갖추고 키워야 한다는 걸 알 수 있다.
- 사이버보안 위험 평가(Risk assessment) 능력 내재화
- 사이버보안 요구사항 이행을 위한 보안 솔루션 도입(HSM, IDS, OTA 등)
- 사이버보안 요구사항 검증을 위한 보안 테스트 수행 및 검증(Fuzzing, Penetration Test 등)
한편, 삼정KPMG와 자동차 임베디드 솔루션 선도기업인 이타스코리아는 지난 2020년 10월 ‘자동차 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 자동차 사이버보안에 대한 전문적인 서비스를 제공하고 있다.
[글_ 고영대 삼정KPMG 컨설팅부문 상무/이유식 이타스코리아 박사]
[보안뉴스= 고영대 삼정KPMG 컨설팅부문 상무/이유식 이타스코리아 박사] 그동안의 연재를 통해 UNECE 자동차 사이버보안 규제 대응에 대한 필요성과 더불어 자동차 사이버보안 체계 수립에 있어 반드시 필요한 CSMS(Cyber Security Management System)와 VTA(Vehicle Type Approval), 위험평가 및 보안 테스팅에 대해 살펴봤다. 앞서 소개한 UNECE 자동차 사이버보안 규제의 요구사항들을 기초로 마지막 연재에서는 자동차 제조사 및 협력사들이 향후 자동차 사이버보안 체계 강화를 위해 반드시 수행해야 할 사항들에 대해 살펴보고자 한다.
[Automotive Cybersecurity: Are You Ready? 연재순서]
1. UNECE 자동차 사이버보안 규제 대응의 필요성
2. UN 자동차 사이버보안 요구사항 (1): 사이버보안 관리체계, 차량 형식 승인
3. UN 자동차 사이버보안 요구사항 (2): 위험평가, 보안 테스팅
4. 향후 자동차 사이버보안 강화를 위해서는
[이미지=utoimage]
자동차 사이버보안 관리체계 정립을 위한 Security Enhancement
제조 환경을 포함한 국내 대다수 기업 및 조직들의 사이버보안 활동은 주로 IT 인프라 환경을 기반으로 대외로부터의 침해위협 대응과 대내로부터의 정보유출 예방과 방지 중심으로 발전해온 측면이 있다. 이러한 IT 중심의 정보보호 관리체계에서 자동차 업종에 특화된 자동차 사이버보안 체계를 새로이 정립하는 것이 단순히 쉬운 일은 아닐 것이다. 그동안 비교적 사각지대에 속해 있던 차량 기획부터 생산 및 생산 후 과정에 이르는 라이프 사이클(Life Cycle) 전반에 걸친 자동차 사이버보안 관리 활동을 위해서는 우선적으로 다음과 같은 사항들에 대한 고려가 필요하다.
우선, 기존 IT 중심의 정보보호 조직체계의 업무 역할에 대한 재분배를 통해 자동차 사이버보안 관리체계 수립을 위한 유관 부서간 책임과 역할을 재정립할 필요가 있다. 아래 예시에서 보는 바와 같이, 기존 정보보호 조직 내 자동차 사이버보안 관리에 필요한 CSMS 기획 및 운영에 필요한 제반 역할들을 담당할 ‘자동차보안 부서’를 신설하거나, 기존 보안업무 프로세스를 중심으로 유사 영역별 자동차 보안관리 기능을 할당하는 등 여러 가지 옵션을 선택할 수 있을 것으로 보인다. 즉, 자동차 사이버보안 관리체계 전담 부서(파트) 또는 담당자를 두고 이를 중심으로 CSMS를 대응해야 할 것이다.
▲자동차보안 조직 구성안[자료=삼정KPMG/이타스코리아]
조직적인 정비를 수행함과 더불어 당연히 필요한 것은 해당 조직에서 수행해야하 는 업무 프로세스와 이를 위한 세부 규정 또는 지침 마련이다. 자동차 사이버보안 관련 규정 및 지침, 이를 운영하기 위한 세부 가이드라인이 준비되어야 한다. CSMS에서는 자동차 사이버보안 관리체계 운영을 위한 별도의 규정과 세부 업무절차를 마련하도록 의무화하고 있기에 현재 각 기업에서 보유 및 운영하고 있는 정보보호 제반 규정을 보완해 CSMS에서 요구하고 있는 영역별 기능이 포함된 자동차 보안규정을 제·개정해야 한다. 다만, 기존 정보보호 규정을 개정하여 자동차 보안 관련 부분을 포함할 것이냐, 그렇지 않으면 자동차 보안관리 규정을 새로이 제정할 것이냐에 대한 조직 내부 조율이 필요할 것으로 보인다.
▲자동차보안 관리 규정 수립[자료=삼정KPMG/이타스코리아]
국내외 컴플라이언스 및 국제 표준에 대한 지속적인 변화관리
첫 번째 연재 내용인 ’ UNECE 자동차 사이버보안 규제 대응의 필요성’에서도 언급한 바와 같이 UNECE 자동차 사이버보안 규정 시행에 맞춰 국내에서도 자동차 사이버보안 법제화 및 표준 업무 가이드 작업이 국토교통부를 중심으로 진행되고 있다. 해당 표준 작업 방향에 따라 향후 우리나라의 자동차 사이버보안을 위한 컨트롤타워 수립, 중점 추진방향 및 세부 이행 가이드 등 다양한 분야에 대한 변화가 예상되어 이를 지속적으로 모니터링할 필요가 있다. 국내 법제화 및 표준 작업뿐만 아니라, 우리나라와 비슷한 상황에 놓인 중국, 미국, 일본 등과 같은 글로벌 자동차 수출국에 대한 동향 또한 놓쳐서는 안 될 것이다.
▲자동차 사이버보안 관련 제도[자료=삼정KPMG/이타스코리아]
또한, 자동차 사이버보안 국제 표준인 ISO/SAE 21434 규격의 최종 버전(final version)이 올해 초에 곧 배포될 예정에 있다. ISO21434 DIS 규격에 따르면, 일반적으로 널리 알려져 있는 Cyber Security와 관련한 국제 표준을 상당수 참고하고 있다. 정보보호 관리체계 국제표준인 ISO27001, 위험평가와 관련한 ISO31000 뿐만 아니라, OT(Operation Technology) 보안 관리 표준인 ISO62443 등을 그 예로 들 수 있다.
이에 보다 효율적이고 체계적인 UNECE 자동차 사이버보안 규정에 대응하기 위해서는 해당 규정 및 ISO21434 표준 이외에 국내외 각국의 법제화, 표준화 동향 및 전통적인 Cyber Security 표준 제도에도 관심을 기울여야 할 것이다.
자동차 제조사 및 부품 협력사간 사이버보안을 위한 상생 모델 수립
자동차 제조사의 경우, UNECE 자동차 사이버보안 규정 및 ISO21434 표준 이외에 제조사 자체적으로, 협력사가 준수해야할 자동차 사이버보안 표준 항목을 추가하여 보안 수준을 높이려는 움직임을 보이고 있다. 이러한 움직임은 자동차 사이버보안 체계 수립 및 운영을 위해 자동차 제조사와 협력사간 상호 유기적인 보완 활동이 필요하다는 공감에서부터 비롯된다고 볼 수 있다.
▲자동차 제조사 및 협력사간 주요 역할[자료=삼정KPMG/이타스코리아]
자동차 사이버보안 관리의 시작과 안정적 운영을 위해 자동차 제조사의 경우, 제조 및 비즈니스 환경 등을 고려해 부품 협력사와의 자동차 사이버보안 관리 수준 강화를 위한 상호 협력 방안을 만들고, 이를 지원해야 할 것이다. 또한, 부품 협력사의 입장에서도, 자동차 제조사와의 긴밀한 협력 하에 자동차 제조사의 사이버보안 요구사항에 부합하기 위한 내부관리체계를 마련하고 이를 지속적으로 관리해야 할 의무가 있을 것이다.
차량 형식 승인을 위한 실무 역량 강화 및 보안 솔루션 도입
UNECE Regulation No. 155가 말하는 차량 형식 승인의 본질은 사이버 공격으로부터 안전한 차량을 만드는 것이고, 이를 위하여 적절한 보안 기술이 차량에 탑재되어야 함을 의미한다. 어떤 보안 기술이 탑재되어야 하는가는 위험 분석을 통해 식별되며, 보안 시험을 통해 증명될 수 있다. 즉, 차량에 어떤 자산과 위협들이 있는지 식별하고 해당 위협들이 사이버 보안 관점에서 위험한 지 분석한 후, 위험하다고 판단된 위협들을 완화하기 위해 보안조치를 취하게 된다. 그리고 완화시키려한 위협을 공격에 이용하는 모의해킹 등의 보안 시험을 수행하여 해당 위협으로부터 차량이 안전함을 보임으로써 위험 분석 및 보안조치가 적절했음을 증명할 수 있다. 앞서의 과정이 차량 제조사와 협력사 사이에서 적용되는 과정을 살펴보면 다음과 같다.
▲안전성 확보를 위한 아이템 개발 과정[자료=삼정KPMG/이타스코리아]
이상에서 살펴본 바와 같이 차량 형식 승인을 받기 위해서 차량 제조사와 협력사는 긴밀하게 협력해야 하며, 다음과 같은 역량을 갖추고 키워야 한다는 걸 알 수 있다.
- 사이버보안 위험 평가(Risk assessment) 능력 내재화
- 사이버보안 요구사항 이행을 위한 보안 솔루션 도입(HSM, IDS, OTA 등)
- 사이버보안 요구사항 검증을 위한 보안 테스트 수행 및 검증(Fuzzing, Penetration Test 등)
한편, 삼정KPMG와 자동차 임베디드 솔루션 선도기업인 이타스코리아는 지난 2020년 10월 ‘자동차 보안 사업 강화 및 협업을 위한 MOU’ 체결을 통해 자동차 사이버보안에 대한 전문적인 서비스를 제공하고 있다.
[글_ 고영대 삼정KPMG 컨설팅부문 상무/이유식 이타스코리아 박사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
