보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[테크칼럼] 자동차 사이버보안 인증 ① CSMS와 ISO/SAE 21434의 핵심

입력 : 2023-11-08 09:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
UNECE WP.29, 자동차 사이버보안 생태계 마련 위해 UN Regulation No. 155 채택
완성차 제작사, 앞으로 CSMS(사이버보안 관리체계) 및 VTA(형식승인) 획득해야


[보안뉴스= 구성서 페스카로 글로벌사업개발본부 이사] 자동차 사이버보안 규제의 등장은 더이상 새로운 뉴스가 아니다. 이제는 ‘무엇을 해야 하느냐’가 아닌 ‘어떻게 해야 하느냐’가 관건이다. 실제로 완성차 제작사(OEM)와 제어기 개발사(Tier)는 보안기술 전문 기업과 협력하여 관련 규제에 대응하고 있다.

[이미지=gettyimagesbank]


‘페스카로’는 자동차 사이버보안 전문 기업으로서 관련 주요 인증(CSMS, ISO/SAE 21434, VTA, SUMS)을 모두 최전선에서 경험하며 ‘국내 유일 자동차 사이버보안 인증 컨설팅 그랜드슬램’을 달성했다. 그 성공 사례를 공유하기 위해, 자동차 사이버보안 규제 대응 전략 중 첫 번째 단계인 CSMS와 ISO/SAE 21434를 소개한다. 인증의 개념과 상관관계, OEM과 Tier가 준비해야 할 사항들을 중점적으로 설명한다.

자동차 사이버보안 인증 칼럼의 연재는 ① CSMS와 ISO/SAE 21434의 핵심, ② VTA를 아무나 못 하는 이유, ③ SDV를 위한 필수 전제 조건, SUMS 순으로 진행된다.

1. 자동차 사이버보안 규제의 등장
5년 전만 해도 완성차 제작사들은 사이버보안의 필요성을 인지했음에도 불구하고 경제적 부담으로 도입을 망설였다. 그러나 2022년 유럽 연합(EU)이 사이버보안 규제를 시행하며, 이를 준수하지 않을 경우 유럽 시장 진출이 사실상 불가해졌다. 사이버보안이 자동차 산업의 품질 제고를 넘어 생존을 위한 필수 요소로 부상한 것이다.

자동차 기능의 다양화, 소프트웨어의 고도화, 통신의 증가로 SDV(Software-Defined Vehicle, 소프트웨어 정의 차량)가 화두로 떠오르고 있다. 사이버보안은 완전한 SDV를 위한 최종 관문이다. 2020년 6월 UNECE WP.29(유엔 유럽경제 위원회 산하 국제 자동차 기준 조화 회의체)가 사이버보안 생태계를 마련하기 위해 UN Regulation No. 155(이하 UN R155)를 채택한 것은 업계에 널리 알려진 사실이다.

2. CSMS와 ISO/SAE 21434의 개념
UN R155의 주요 내용은 완성차 제작사가 CSMS(사이버보안 관리체계, Cybersecurity Management System) 인증과 VTA(형식승인, Vehicle Type Approval)를 획득해야 한다는 것이다. CSMS는 자동차에 대한 사이버위협과 리스크를 관리하고 사이버공격으로부터 차량을 보호하기 위한 조직적인 프로세스와 관리시스템을 의미한다.

ISO/SAE 21434는 자동차 사이버보안 엔지니어링 국제 표준이다. 차량의 전체 수명주기에 걸쳐 사이버보안 정책 및 프로세스를 정의하고, CSMS를 구현하는 기준을 제공한다. UN R155는 목적이 다소 추상적으로 표기되었기 때문에 실제로 준수해야 하는 요구사항 등 구체적인 평가 기준은 ISO/SAE 21434에 기술되어 있다. 즉, CSMS를 제대로 구현하려면 ISO/SAE 21434를 참조해야 한다.

3. CSMS 인증의 요구사항 및 유의사항
그렇다면, 사이버보안 관리체계(CSMS) 인증은 어떻게 획득할 수 있을까? 우선, UN R155 제7조 2항 2호의 지침을 준수해야 한다. 개발-생산-생산 이후 단계에 걸친 차량의 전체 수명주기에 사이버보안 관리체계를 적용해야 하며, 조직 내 사이버보안 관리, 위험 식별, 위험 평가, 사이버보안 테스트 등의 프로세스에 보안이 충분히 고려되었음을 입증해야 한다. 또한 사이버위협 및 취약점이 합리적인 시간 내에 완화되도록 보장하고, 탐지 및 대응을 위한 필드 모니터링을 지속 수행하는 것을 입증해야 한다. 마지막으로 유관 협력사 등 전체 공급망에 존재할 수 있는 사이버보안 의존성을 CSMS가 어떻게 관리할 것인지 입증해야 한다.

요구사항을 모두 충족했다면 시험기관(TS, Technical Service)을 통해 검증해야 하며, 이후 인증기관(AA, Approval Authority)의 심사를 통해 최종 승인을 받을 수 있다.

▲사이버보안 관리체계(CSMS) 요구사항[자료=UNECE]


아직 CSMS 구축 전이라면 다음 두 가지 사항에 유의해야 한다. 첫째는 유럽 및 관련 국가의 규제 시행 타임라인을 준수하는 것이고, 둘째는 시간 단축을 위해 기존 사항을 최대한 활용하며 규제 충족 방안을 찾는 것이다.

CSMS 구축을 위해서는 차량의 보안 취약점을 파악 및 분석해야 한다. 이를 위해 제어기별 TARA(Threat Analysis and Risk Assessment)를 수행하며, 중요도에 따라 보안 등급이 구분된다. 보안 등급이 높은 제어기는 HSM(Hardware Security Module)이 장착된 국제 보안 표준 반도체를 적용하는 추세다. 유관 업체들도 HSM과 호환되는 보안솔루션을 주로 제공하기에 기존에 HSM이 없는 비표준형 반도체를 사용 중일 경우 칩 변경이 필요하다.

이는 상당한 비용 부담으로 이어질 수 있는데, 완성차 제작사 및 제어기 개발사들의 특수한 상황을 다각도로 고려해 이러한 문제를 기술적으로 해결한 사례가 있다. 사이버보안 전문기업 페스카로가 HSM 보안성에 준하는 SW 솔루션을 독자 개발해 국내 글로벌 완성차 제작사가 기존 칩 50여종의 변경 없이 유럽 사이버보안 규제를 모두 충족하는데 기여한 것. 개발 비용 절감 및 기간 단축을 통해 생산 효율을 획기적으로 제공한 성공 사례로 평가받는다. 해당 보안솔루션은 국내외 여러 완성차 제작사의 7개 차종, 약 150종의 제어기 양산에 적용됐다.

또한, CSMS 인증에 있어 무엇보다 중요한 것은 타임라인 엄수다. 2022년 7월부터는 사이버보안 규제를 충족해야만 유럽에 신규 차량 출시가 가능해졌다. 2024년 7월부터는 생산 및 판매되는 모든 신차를 대상으로 규제가 적용된다. 인증 획득 타이밍을 놓치면 신차 출시에 차질이 생기거나 품질 경쟁력에 격차가 벌어질 수 있다. 개별 업체 소싱 및 품질 검증 등 제반 과정에 대한 추가 시간 소요까지 고려해야 한다.

관리 일원화를 통해 생산 효율 시너지를 극대화하기 위한 전략으로 CSMS 요구사항을 올인원(All-in-One)으로 제공하는 업체와 협업할 수 있다. 이때 해당 업체가 차량 라이프사이클 전반에 걸쳐 자체적인 기술력을 보유했는지 살펴봐야 한다. 예를 들어 인증 컨설팅부터 TARA, 보안솔루션, 보안테스트, 보안 게이트웨이 제어기, 보안관제 시스템을 포함한 IT 인프라까지 완성차 제작사와 제어기 개발사의 관점을 모두 고려해 선제적으로 대응할 수 있는 역량이 필요하다.

4. 완성차 제작사(OEM)와 제어기 개발사(Tier)의 인증은 어떻게 다른가
완성차 제작사와 제어기 개발사 모두 해당 규제 대응이 필수인가? UN R155에는 ‘CSMS 인증은 완성차 제작사가 받아야 한다’고 명시되어 있다. 다만 완성차 제작사는 제어기 개발사들의 사이버보안 활동도 관리할 수 있어야 하므로, 완성차 제작사의 요청에 따라 제어기 개발사도 CSMS를 구축해야 한다. 제어기 개발사가 ISO/SAE 21434의 제7조 ‘Distributed cybersecurity activities’에 따라 CSMS를 구축했다면, 시험기관(TS, Technical Service)을 통해 ISO/SAE 21434 인증을 획득할 수 있다. ISO/SAE 21434 인증을 보유하면 사이버보안 대응력을 입증해 글로벌 수주 경쟁력을 강화하는 데 도움이 된다.

정리하면 UN R155에 따라 완성차 제작사는 CSMS 인증 획득이 필수이며, 제어기 개발사는 필요에 따라 ISO/SAE 21434 인증을 획득한다.

전 세계 완성차 제작사 및 제어기 개발사는 글로벌 시장 공략을 위하여 관련 규제에 발 빠르게 대응하고 있다. 메르세데스 벤츠가 완성차 기업 최초로 사이버보안 인증을 획득했고, 폭스바겐 그룹이 그 뒤를 이었다. 국내 현황을 살펴보면 현대자동차 그룹이 2021년 12월에, KG모빌리티(전 쌍용자동차)가 2022년 12월에 CSMS 인증을 획득했다. ISO/SAE 21434는 카네비오토모티브(현 카네비모빌리티)가 2023년 2월에, 현대자동차 그룹의 글로벌 소프트웨어센터 포티투닷이 2023년 8월에 인증을 획득했다.

5. CSMS 인증을 관통하는 핵심
사이버보안 전문가로서 글로벌 완성차 제작사의 CSMS 인증과 제어기 개발사의 ISO/SAE 21434 인증 획득 과정을 최전선에서 경험하며 느낀 것은, CSMS 구축의 요점은 ‘차량의 전체 수명주기’이다. 과거에는 자동차가 생산되기 위한 개발 단계가 중요했다면, 소프트웨어의 취약점이 계속 진화하는 현재는 생산 이후까지 고려해야 한다. 차량의 라이프사이클 전반에 걸쳐 모든 프로세스를 최적화하고 유기적으로 연결된 사이버보안을 설계 및 운영해야 하는 것이다. 이를 위해 담당 부서와 유관부서, 외부 협력사의 이해관계를 바탕으로 다각도의 분석과 검토, 수백 차례의 논의와 조율을 거쳐야 CSMS 인증을 획득할 수 있다.

CSMS 인증을 획득했다면, 이를 준수하여 차량을 개발했는지 검증하는 VTA가 필요하다. 다음 편에서는 VTA를 위한 준비 사항을 사례와 함께 살펴볼 예정이다.
[글_ 구성서 페스카로 글로벌사업개발본부 이사(sales@fescaro.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)