이타스코리아-슈어소프트, 자동차 사이버 보안 테스팅 위한 업무협약 맺어

국내 자동차 업계의 UN 사이버 보안 법규 대응 위해 협력

[보안뉴스 이상우 기자] 이타스코리아(대표이사 황인득, 요코야마 타카유키)와 슈어소프트(대표 배현섭)는 슈어소프트 회의실에서 자동차 사이버 보안 테스팅 협업을 위한 업무협약을 체결했다.

[사진=이타스코리아]

2022년 7월 이후 유럽에서 형식 등록되는 신차는 UN 법규 No.155(UN R 155)에 따라 사이버 보안 관리 체계(CSMS)을 구축하고, ISO/SAE 21434 를 비롯한 국제 표준에 근거해 차량 형식별 위험 평가 및 보안 테스팅 수행 결과를 제출해야 된다. 이번 협약으로 이타스코리아는 임베디드 보안 자회사인 에스크립트를 통해 슈어소프트와 공동으로 국내 자동차 제조사 및 부품사에 사이버 보안 테스팅에 대한 컨설팅 및 테스트 서비스를 제공할 계획이다.

이타스코리아 황인득 대표는 “자동차 제조사 및 부품사들에게 자동차 형식 승인 취득을 위한 사이버 보안 법규 이행은 더 이상 선택이 아닌 필수가 되었다”며 “이타스코리아는 슈어소프트와 함께 국제 법규에 부합하는 사이버 보안 컨설팅 및 검증된 테스트 서비스를 제공함으로써 고객들이 국내에서 최적의 프로세스와 리소스로 형식 승인을 취득할 수 있도록 지원할 것”이라고 말했다.

슈어소프트 배현섭 대표는 “자동차 소프트웨어 산업이 발전하고 네트워크를 통한 협업이 증가하면서 외부 해킹에 대한 대비의 중요성도 함께 높아지고 있다”며 “슈어소프트는 이번 협약으로 국내 자동차 제조사 및 부품사들이 다가오는 UN 자동차 사이버 보안 법규를 효과적으로 대응할 수 있도록 지원할 것”이라고 말했다.

자동차 및 임베디드 솔루션 기업인 이타스코리아는 자회사인 에스크립트를 통해 자동차 보안 분야에서 필요한 전문 지식과 컨설팅, 소프트웨어 솔루션 및 일반 차량과 사업용 차량의 보안 서비스에 대한 종합적인 포트폴리오를 구축하고 있다. 특히, 에스크립트는 임베디드 보안 솔루션 전문 기업으로 UN 사이버 보안 법규, ISO/SAE 21434에 따른 형식 승인을 위한 사이버 보안 관리 체계(CSMS, Cyber Security Management System) 컨설팅 및 가상 차량에서의 보안 테스팅 서비스를 제공한다.

슈어소프트는 ISO21434 기반 차량 라이프 사이클에 부합하는 사이버 보안 평가 서비스를 제공한다. 설계 단계에서 도출되는 문서 검증과 소프트웨어, 시스템, 실차 단계에서 요구되는 검증 항목들을 수행함으로써 자동차 제조사 및 부품사가 차량 형식 승인을 적절하게 대응할 수 있도록 한다.

차량 연결성의 증가와 이에 따른 사이버 보안 위협의 증대로 UNECE WP. 29는 자동차 형식 승인에 사이버 보안 항목을 의무화하는 사이버 보안 관리 체계(CSMS)에 관한 법규를 지난 2020년 6월 채택했으며, 2021년 1월 21일 UN 법규 No.155(UN R 155)로 공식 발효됐다.

이에 따라 2022년 7월 이후 유럽에서 형식 등록되는 신차는 제품 개발에 사이버 보안에 관한 고려가 있었음을 증명해야 하고, 제조사 및 부품사는 ISO/SAE 21434와 같은 국제표준에 근거하여 사이버 보안 관리 능력을 의무적으로 인증받아야 한다. 이를 위해 국내 제조사 및 부품사는 차량 생산의 전체 가치 사슬에서 사이버 보안을 정의, 제어, 관리 및 개선할 수 있는 사이버 보안 관리 체계(CSMS)을 구축해야 한다. 또한, 차량 형식별 위험 평가(Risk Assessment) 및 보안 테스팅(Security Testing) 결과를 문서화해 형식승인기관(Type Approval Authorities) 또는 기술 서비스 기관(Technical Services)에 제출해야 한다.
[이상우 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)