Cyber security

ISO/SAE 21434:2021 를 사용한 자동차 사이버보안 경영시스템 구축

Cyber Security_1_1

Contact us:

무엇을 도와드릴까요?

문의사항 접수

필요한 정보를 모두 확인하셨습니까?

견적서 요청

전문가와 함께 사이버보안 엔지니어링 역량을 강화하십시오!

자동화되고 연결성이 강화되는 시스템으로 구성된 자동차가 출시됨에 따라, 자동차 생태계는 더 많은 공격 시나리오로부터 위협을 받고 있으며, 이로 인한 실질적인 피해가 발생하고 있습니다. 새롭게 발행된 도로용 자동차 – 사이버보안 엔지니어링 국제 표준(ISO/SAE 21434:2021)은, 도로용 자동차의 전기전자(E/E) 시스템에 대한 사이버보안 엔지니어링 요구사항들을 다루고 있습니다.

이 표준은 도로용 자동차의 전기전자 시스템 엔지니어링의 사이버보안 관점을 다룹니다. 사이버보안은 최첨단 공격 기술과 진화하는 공격 방법에 대응하고, 사이버보안 정책과 절차를 정의하고, 사이버보안을 관리하며, 사이버보안 문화를 육 성할 수 있도록 도와줍니다. 사이버보안 프레임워크는 사이버보안 위험을 완화하기 위해 ‘심층 방어 [Defense-in-depth]’ 접근 방식을 사용하며, 심층 방어는 공격 이나 공격자가 한 계층을 침투하거나 우회하는 경우, 다른 계층 이 공격을 억제하고 자산의 보호를 유지할 수 있도록 도울 수 있 습니다. 

이 프레임워크는 컴포넌트 및 인터페이스를 포함한 양산형 도로 용 자동차 E/E 시스템에 적용됩니다. ISO/SAE 21434:2021는 ISO 26262를 규범 참조로 사용하므로 ISO 26262와 함께 활용되 어야 합니다. 이를 통해 사이버보안이 기능 안전과 통합되고 조직이 사이버 위험에 대한 심층 분석을 수행할 수 있습니다.

ISO/SAE 21434:2021의 구조:

ISO/SAE 21434:2021는 사이버보안 요구사항[RQ], 권고사항[RC], 허가사항[PM] 및 작업 산출물[WP]을 포함하고 있으며, 각 절에 대해 ‘사전 요구사항[Prerequisites]’이 정의되어 있습니다. 이 접근방식은 개발자, 관리자와 심사원, 평가원 등의 이해관계자가 사이버보안 전략 및 후속 요구사항을 검토하면서 논리적 순서를 보장하는 데 도움이 될 것입니다.

표준은 공급망 전체에 사이버보안 위험 관리를 적용하여 사이버 보안 엔지니어링을 지원합니다. 또한 특정 상황의 요구를 수용하 기 위해 요구사항을 조정하는 조항을 제공하며, 표준의 적용범위 는 애프터마켓 및 서비스 부품을 포함한 양산형 도로용 자동차 의 사이버보안 관련 아이템 및 컴포넌트로 제한됩니다. 자동차 외 부의 프로토타입과 백엔드 시스템은 표준 적용에서 제외됩니다.

조항들은 개념부터 시작하여 제품 개발, 생산, 운영, 유지보수를 거쳐 마지막으로 사이버보안 지원의 종료와 폐기(폐차)를 위한 논 리적 순서를 다루도록 설계되었으며, 강력한 사이버보안 위험 관 리 프로세스를 기반으로 구축되었습니다. 이 표준은 ISO 26262- Part 3을 표준 참조로 사용하므로 ISO 26262 시리즈 표준과 함 께 읽고 구현되어야 합니다.

표준은 다양한 정보를 제공합니다.:

  1. 각 사이버보안 활동에 필요한 산출물의 요약
  2. 조직 내 취약하거나 강력한 사이버보안 문화에 대한 명확한 정의, 사 례와 지침
  3. 사이버보안 인터페이스 계약서(고객과 공급업체간 계약) 양식
  4. 아이템 또는 컴포넌트의 사이버보안 관련성을 확인하는 방법 및 기준
  5. 사이버보안 보증수준(CAL1, CAL2, CAL3, CAL4) 및 보증수준 도 달방법
  6. 안전, 재무, 운영 및 프라이버시 피해를 포함한 영향 등급에 관한 지침
  7. 공격가능성 평가 가이드라인,
  8. TARA(위협성 분석 및 위험도 평가) 방법 적용 사례

이 프레임워크는 다음의 이해관계자들에게 도움이 됩니다.

  • 자동차 제조사
  • 자동차 제조사의 공급망
  • 자동차 소프트웨어 개발 조직
  • 자동차 에프터마켓

ISO/SAE 21434:2021 및 ISO 26262:2018 를 채택해야하는 이유는 무엇일까요?

많은 자동차 산업의 이해관계자 및 규제기관은 자동차 형식 승인의 일부로 이 프레임워크를 준수하도록 요구하고 있습니다. 또한 이 프레임워 크는 다음과 같은 이점도 제공합니다.

  • 제조업체의 사이버 공격방법 이해 및 대비
  • 공급망 전반에 걸친 사이버보안 및 공통 언어 사용에 대한 협업 보장
  • E/E 컴포넌트 및 시스템 설계에 사이버보안이 포함되도록 보장
  • 사이버 보안 리스크 관리
  • 협력사 사이버 회복성 확보 및 사이버보안에 기반한 협력사 선정기준 수립

DNV는 어떤 도움을 줄 수 있을까요?

DNV 는 자동차 제조사와 부품개발사들이 제품을 개발하고, 생산하고, 판매하기 위해 ISO/SAE 21434:2021 표준을 채택할 수 있도록 지원하는 다 양한 서비스를 제공합니다.

교육(기본 및 심화)

당사의 교육 제안에는 프레임워크의 목적, 애플리케이션, 구조 및 컨텐츠와 ISO 26262와의 연관성에 대한 기본 지식을 제공하기 위한 짧은 입문 과정 또는 핵심 개요가 포함됩니다.

심화 과정은 표준의 각 부분에 대해 설명합니다. 심화 교육은 위험 분석 및 위험 완화 개념과 관련하여 다양한 분야(컴포넌트와 하위 컴포넌트)에서 사이버보안팀과 엔지니어의 기술을 향상시킬 것 입니다. 또한 이 교육은 실무자, 관리자, 컨설턴트 및 심사원 등 다 양한 수준의 담당자를 대상으로 합니다.

사전 진단(Gap analysis)

조직이 표준을 어느 정도 준수하는지 궁금하다면 사전 진단을 통해 정확한 데이터를 얻을 수 있습니다. 이 활동은 ISO/SAE 21434:2021를 준수하고자 할 때 조직이 보완해야 할 약점 또는 갭을 식별하는 보고서를 발행함으로써 종료됩니다. 여기서는 일반적 인 적합성 인증 접근 방식보다는 모범 사례와의 조정에 중점을 두 어 완전한 적합성 달성 방법을 보다 명확하게 파악할 수 있습니다.

내부 심사(audit)

내부 심사는 제품보다 프로세스에 초점을 맞춥니다. CMMI 및 자 동차 SPICE와 같은 프로세스 역량/성숙도 체계는 이미 업계에서 잘 확립되어 있습니다. 최신 사이버보안 심사 가이드라인을 활용 하고, 자동차와 사이버보안 전문가의 해석을 활용함으로써 조직의 프로세스 성숙도/역량 수준을 평가하여 ISO/SAE 21434:2021 요 구 사항 및 권고 사항을 준수하면서 역량/성숙도 척도에 따른 프 로세스 개선을 시작할 수 있습니다.

사이버보안 위험 평가(TARA)

당사의 통합 평가를 통해 ISO 26262 및 ISO/SAE 21434:2021 준수 에 대한 명확한 정보를 얻을 수 있습니다. 당사의 전문가들이 이 러한 보고서를 사용하여 잠재적인 위험과 적절한 완화 계획에 대 해 조언해 드릴 것입니다.

협력사 역량 평가(Supplier capability assessment)

점점 더 복잡하고 취약해진 공급망과 그에 대한 사이버 공격이 기하급수적으로 증가함에 따라 귀사의 명성, 브랜드, 비즈니스 탄력 성, 재무 안정성 및 고객 신뢰도가 위협받고 있습니다. DNV 전문 가는 귀사가 공급망에서 ISO/SAE 21434:2021 및 ISO 26262:2018 의 준수 를 확인하고 이러한 위협에 대처할 수 있도록 지원합니다. 당사의 서비스를 통해 협력사의 사이버보안 준비 상태를 기준으로 협력사를 식별하고 등급을 지정할 수 있으며, 협력사 선정 및 관리와 관련하여 보다 나은 결정을 내리는 데 도움이 될 것입니다.

사이버보안 경영시스템(CSMS) 구축:

사이버보안 엔지니어링을 가능하게 하기 위해 조직은 사이버보안 인식 관리, 역량 관리 및 지속적인 개선을 포함하여 사이버보안 거버넌스와 사이버보안 문화를 제정하고 유지해야 합니다. DNV 는 국제 표준의 목표에 따라 독립적으로 심사되는 조직의 규칙과 프로세스를 수립할 수 있도록 도와드립니다.

Contact us:

무엇을 도와드릴까요?

문의사항 접수

필요한 정보를 모두 확인하셨습니까?

견적서 요청

Related services you might find interesting: