Security

컨설팅 Security

Security

ISO/SAE 21434 차량용사이버보안

차량 기획 단계부터 생산 및 포스트 프로덕션 과정까지 사이버보안 활동에 관한 국제 표준

도입배경
Line 1

자동차는 커넥티드카, 자율주행 기술 등 소프트웨어 의존도가 크게 증가하고 있습니다.
이에 따라 사이버 공격의 표적이 될 가능성도 높아져, 차량 내 보안이 단순 물리적 보안을 넘어 디지털 보안까지 확대되었습니다.

실제로 2015년 이전까지 평균 12건에 불과했던 차량 관련 보안 사고는 불과 6년 사이에 485건으로 40배 이상 증가했고,
신규 취약점은 2019년 24개에서 2021년 139개까지 6배가량 증가해 그 심각성이 드러나고 있습니다.

이러한 상황을 예방하고 해결하고자 ISO/SAE 21434가 2021년 8월에 공식 발표되었습니다.
ISO 21434는 이를 관리하기 위한 국제적 합의된 방법론을 제공하여 관련 업계의 신뢰와 안정성을 증진시킵니다.

image
규격개요
Line 2

ISO/SAE 21434는 자동차 개발 및 운영 생태계 전반에 걸쳐
사이버보안 위험을 효과적이며 체계적으로 대처하기 위한 요구사항과 가이드라인을 제공합니다.

특히 이 표준은 자동차의 디지털화, 연결성 증가,
그리고 자율주행 기술 발전과 함께 증가하는 보안 위협을 효과적으로 완화하는 데 목적이 있습니다.

사이버 보안과 관련된 대표적인 규격은 총 4개가 있습니다. 각 규격은 특/장점이 있으며 부족한 부분을 보완하거나 특장점이 강화되어 있습니다.

ISO 21434는 차량 산업의 생명주기에서 각 섹션별 발생할 수 있는 사이버 공격과 그에 의해 발생하는 피해를 감소시키기 위한
대응 체제를 구축하고 운영하기 위한 활동을 정의하는 위험 관리 프로세스에 대한 국제 표준입니다.

ISO 21434는 총 15개 섹션으로 구성되어 있으며, 주요 섹션은 5~15 항목입니다.

각 섹션들은 크게 세 가지 형태로 구분할 수 있습니다.
기업 관리적 측면 (섹션 5, 8, 15)
차량 생산 프로세스 관리 측면 (섹션 6, 9, 10, 11, 12, 13, 14)
공급망 사이버 보안 활동 측면 (섹션 7)

구분
ISO 26262
ISO/PAS 21448
(SOTIF)
SAE J3061
ISO/SAE 21434
개요

차량에 탑재되는 E/E 시스템 결함
(E/E: Electric or Electronic Architecture)

차량에 탑재되는 E/E 시스템 결함
(E/E: Electric or Electronic Architecture)

E/E 시스템 결함이 없는 기능에서
발생할 수 있는 위험

차량의 사이버보안 분야에 대한
주요 접근 방법론 제시

차량 생산 생명주기를 기준으로
사이버 보안 관리

안전(Safety)
보안(Security)

차량 생산에 관여하는 모든 부품 제조사 (OEM, Tier1, Tier2 등)

중점
적용대상
BSI 표준 제정 기구

SAE, VDA, BSI 등 주요 표준 제정 기구 및 주요 OEM 82개 기업 참여

참여진
국제 표준 여부
등록
등록
미등록
등록
Line 86 Line 87 Line 88 Line 89 Line 90 Line 100 Line 91 Line 92 Line 96 Line 97 Line 95 Line 93 Line 94
Line 98
ISO/SAE 21434 구성도
image 79
Line 111
개요
Line 101
참고 문헌
Line 102
용어 및 약어 정의
Line 103
일반적인 고려사항
Line 104
조직 사이버 보안 관리
사이버 보안 정책
사이버 보안 문화
정보 공유
시스템 관리
도구 관리
정보 보안 관리
조직 사이버 문화 감사
Line 105
프로젝트 사이버 보안 관리
책임자 선정
보안 계획 수립
수정 작업
재사용 작업
불필요 요소
기성 요소
사이버 보안 사레
사이버 보안 평가
관리 내역 공개
Line 106
분산 사이버 보안 활동

공급망 내 이해관계자 능력 평가

보안 활동 업무 할당
책임 소재 확립
Line 107
지속적인 사이버 보안 활동
사이버 보안 모니터링
사이버 보안 이벤트 평가
취약점 분석
취약점 관리
Line 108
제품 개념 설계 단계
제품 개념 설계
아이템 선정
사이버 보안 목표 설정
사이버 보안 개념 설계
제품 개발 단계
제품 개발
사이버 보안 검증
제품 디자인
사이버 보안 목표 설정
개발 이후 단계
제품 생산

기술 지원 및 보증 종료

운영 및 유지
사이버 보안 사고 대응
업데이트
Polygon 18 Polygon 19
Line 109

위협 분석 및 위험 평가 방법 (TARA: Threat Analysis and Risk Assessment)

자산 정의
위협 시나리오 식별
영향도 측정
공격 경로 분석
실현 가능성 측정
위험도 측정
위험 관리 방법 결정
Line 110
한국형 CSMS

ISO/SAE 21434를 기반으로 OEM 및 Tier는 CSMS를 구축한 후 인증과정을 거쳐 CSMS 인증서를 취득할 수 있습니다.
인증 과정을 거친 업체는 부품 및 제품에 대한 형식승인(VTA)을 받아 UNECE 가입국에 차량을 수출 할 수 있습니다.
때문에 대부분의 UNECE 가입 국가는 UNECE WP.29의 R-155를 채택하고 있습니다.

한국은 UNECE 가입국이지만, 자동차 안전에 대해 자기인증제도를 취하고 있어 형식승인 기반의 UNECE R-155를 채택하지 않고 있습니다.
다만 차량 산업의 발전 및 국내 차량 산업의 해외 진출을 위해 ISO/SAE 21434의 국내 도입은 불가피하기 때문에
한국의 법 체계에 맞춘 한국형 CSMS 인증 체계를 제작해 UNECE R-155를 받아들일 계획에 있습니다.

그에 대한 첫 번째 준비 과정으로 2020년 12월 국토교통부에서 자동차 사이버보안에 대한 가이드라인을 발표했습니다.

한국형 CSMS는 법률 문제 등, 디테일한 부분에서 차이가 있습니다. 따라서 인증을 받을 때 세심한 유의가 필요합니다.

image 80
image
도입효과
Line 3
Management

미래의 보안 위협 및 기술 변화에 대비할 수 있는 기반 마련.
개발자와 기업이 표준화된 절차와 도구를 사용해 차량 및 부품의 설계, 개발, 테스트 과정에서 보안을 쉽게 통합.

Finance

보안 사고로 인한 재정적 손실(소송, 제품 리콜, 복구 비용 등) 및 브랜드 평판 손실을 예방.

Operations

공급망 전체에 대한 보안 요구사항을 정의하고 보안 사고의 전파를 방지.

Product Development

자율주행 차량처럼 연결성이 증가하는 환경에서, 해킹, 데이터 유출 등 사이버 위협으로부터 안전한 제품을 제공.

Sales & Marketing

ISO 21434 인증은 전 세계적으로 인정받는 사이버보안 표준으로, 신뢰도를 높이고 글로벌 시장 진입 장벽 완화.

Legal

ISO 21434는 UNECE R155를 준수하기 위한 기술적 표준으로, CSMS 구축 및 인증에 직접 활용 가능.

image
진행과정
Line 60
GAP 분석

조직이 요구사항을 이해하고
현재 비즈니스 관행을 검토

현재 활동을 해당 규격 요구사항과
비교한 다음 갭 분석을 실시

Line 83 Polygon 11
1단계
Polygon 12
Line 84

해당 품질경영시스템
도입 후 이익 분석 및 향후 전망 파악

해당 품질규격 도입 후
관리 및 운영방식에 대한 교육 진행

교육
Polygon 11
2단계
Polygon 14 Polygon 13
프로세스 구축 및 실행
시스템이 표준 요구사항을
충족하는지 검토

시스템 테스트 및
모의 심사 진행

Line 83 Polygon 11
3단계
Line 84

인증 심사 진행을 통한
해당 규격 인증 획득

인증획득
Polygon 11
4단계

※ 컨설팅 문의:
    담당자: 김영돈 책임
    Tel. 055-603-4123|Mail. Youngdon.kim@sesgm.com