ISO/SAE 21434 자동차 사이버

자동차 사이버 보안은 인젝션, 데이터 유출, 랜섬웨어, 물리적 손상 등의 사이버 공격으로부터 자동차, 시스템, 네트워크, 디바이스 및 데이터 등의 정보와 자산 및 인간의 생명 보호하는 것을 의미 한다. 사이버 보안의 목표는 자동차, 컴퓨터 네트워크(로컬 및 공유 모두)를 외부 위협으로 부터 보호하는 것이다.

 

사이버보안이 자동차 안전성의 중요한 기준으로 대두됨에 따라 유럽경제위원회(UNECE) 산하 자동차 기준 국제조화 회의(WP.29)에서는 지난 2020년 6월 자동차 사이버보안에 관한 법규(UN Regulation No.155: Cybersecurity Regulation)를 채택 하였다.

우리나라 국토교통부에서도 지난 2020년 12월 ‘자동차 사이버보안 가이드라인’ 를 배포하며, 우리나라에 적합한 자동차 사이버보안 대응을 위한 준비에 나서고 있다.

 

기존 사이버보안 국제 표준으로는, SCADA시스템 및 그 네트워크 사이버보안에 관한 IEC 62443, 정보통신 하드웨어, 소프트웨어의 통합을 위한 공통기준(Common criteria)인 ISO 15408 등이 있으며, 사이버보안 문화(Culture)를 촉진하는 유럽의 ENISA 지침 등이 활용되며, 이 중 자동차 사이버보안 국제 표준인 ISO/SAE 21434 는 2021년 12월 제정을 목표로 하고 있다.

 

광범위한 개인정보와 중요한 데이터 유출, 그리고 기존 방어체계로 대응하기 어려운 전례 없이 복잡한 종류의 사이버보안 공격은, 4차 산업혁명이 촉발하는 기술 진전과 융합에 따라 AI‧IoT기기뿐 아니라 자율주행자동차 ‧스마트홈 디바이스 등 모든 사물과 환경을 해킹의 대상으로 삼고 있다. 지속적으로 다양하고 새로운 위협이 발생함에 따라 국민과 사회 안전 강화, 국가 안보 및 국제 평화에 기여하는 핵심 전략으로 사이버 보안의 중요성이 배가되고 있다.

 

자동차 사이버보안 법규에 따르면 오는 2022년 7월부터 UNECE 회원국(유럽, 아시아 등 60 여개국)에 등록되는 신형 자동차의 차량 형식승인(VTA: Vehicle Type Approval)을 받기 위해서는 자동차 사이버보안 관리체계(CSMS: Cybersecurity Management System)에 대한 인증을 의무적으로 취득해야만 한다. 또한, 기존에 이미 등록되어 있는 자동차의 경우에도 2024년 7월까지 자동차 사이버보안 관리체계(CSMS) 인증이 전제되어야 한다.

 

UNECE Regulation No. 155의 차량형식 승인은 사이버 공격으로부터 안전한 차량을 만들기 위하여 적절한 보안 기술이 차량에 탑재되어야 함을 의미한다. 어떤 보안 기술이 탑재되어야 하는지는 위험 분석을 통해 식별되며, 보안 시험을 통해 증명될 수 있다. 즉, 차량에 어떤 자산과 위협들이 있는지 식별하고 해당 위협들이 사이버 보안 관점에서 위험한지 분석한 후, 위험하다고 판단된 위협들을 완화하기 위해 보안조치를 취하게 된다. 그리고 완화 시키려는 보안조치는 공격에 이용하는 모의 해킹 등의 보안 시험을 통해 해당 위협으로 부터 차량이 안전함을 보임으로써 위험 분석 및 보안조치가 적절했음을 증명할 수 있다.