기능안전 및 SOTIF와 조화를 이루는 사이버보안 표준

공유하다:

자동차 안전/보안 관련 국제 표준 현황

ISO/SAE 21434 : Road vehicles - Cybersecurity Engineering

▶ 배경

• 자동차의 연결가능성(Connectivity) 확장에 따른 외부 공격 가능성 증대
• 기존의 기능안전 국제표준을 사이버보안 영역에 동일하게 적용하는데 제한이 있음((모든 security critical system 이 safety critical system 은 아니며,고장이 나는 경우에도, 안전에 영향이 없는 security critical system 이 있음)
• 자동차에 적합한 사이버보안 용어 정의, 사이버보안 목표 수립, 요구사항과 지침 마련

▶ 목표

• 자동차 전기전자시스템 엔지니어링의 사이버보안 관점을 다룸
• 자동차 사이버보안 평가에 필요한 사이버보안 프로세스 및 활동과 최소한의 요구사항을 정의
• 자동차 산업에 적용할 수 있는 최신 수준(State of the art)의 사이버보안 엔지니어링 절차 수립
• 위험기반 접근법을 통해 다양한 공격기법과 새로운 공격기술에 대비하기 위한 전기전자 엔지니어링 방안 수립
• 추가로, 입법에 참고할 수 있을 정도의 엄격함과 법적 확실성을 보장할 것, ref. UNECE WP29 Cybersecurity regulation

▶ 주요 원칙

• Road vehicles 적용됨
• 합리적으로 절차에 기반하여 안전한 자동차 시스템 개발
• 자동차 제조사와 부품사가 “Due diligence” 를 보여주어야 함
• 자동차 사이버보안 엔지니어링에 주안점을 둠
• 사이어보안의 최신 기술에 기반해야 함
• 위험 기반 접근법
  • 위험 정도에 따라 우선 순위가 결정됨
  • 사이버보안 요구사항에 대한 위험 요소 분석
• 사이버보안 경영시스템(Management system) 구축(관리체계)
• 자동차 전체 수명 주기에 걸친 사이버보안 활동과 프로세스:
  • 설계, 개발, 생산, 운행, 정비, 유지보수 및 폐차

▶ 적용범위

• 도로용 자동차
• 전기전자 시스템, 하드웨어와 소프트웨어 부품, 인터페이스
• 외부 장비/네트워크와의 연결(접속)되는 시스템

▶ 아래의 내용은 다루지 않음

• 특정한 사이버보안 기술과 해법
• 특정한 개선 방법에 대한 요구사항
• 통신 시스템에 대한 요구사항
• 특정 통신서비스 및 그 제공기관에 대한 요구사항
• 전기차 충전에 대한 요구사항
• 자율주행자동차 기술에 대한 특정한 요구사항