새로운 자동차 사이버보안의 출현

공유하다:

UNECE WP29 사이버보안 법규 - 배경

▶ 유럽경제위원회

유럽, 북미, 아시아의 56개 회원국을 포함하며, 지속가능한 발전과 경제적 번영, 국제 협력을 촉진하기 위한 규범, 표준 및 규약을 규정한다.

▶ 차량규정의 일치화를 위한 세계포럼

광범위한 자동차 분야에 적용되는 기술 규제를 전담하는 포럼으로, 바퀴 달린 차량과 그 서브시스템 및 부품의 안전 및 환경적 성능을 다룬다.

▶ 자동/자율 커넥티드차량 실무그룹

차량 자동화 및 연결성의 안전과 보안, ADAS, Dynamic 관련 규정 제정

UNECE WP29 사이버보안 법규 - 개요

▶ 2개의 개별 인증으로 구성

• Type Approval(형식승인)

• 차종별 보안기술의 적용과 평가결과 인증(실차, 기능시험)

• Certificate of Compliance for CSMS(사이버보안 경영시스템 인증서)

• 사이버보안 조직, R&R, 차량 수명주기에 대한 사이버보안 프로세스 인증

▶ 적용 일정

• 2018년 12월: 법규 초안 수립
• 2020년 1월: 법규 최종안 수립
• 2020년 6월: WP29 총회(최종안 채택)
• 2021년 1월: UNECE CS 법규 발효
• 2022년 7월: EU 법규 적용(신차)
• 2024년 7월: EU 법규 적용(모든 차)

▶ UNECE WP29 참여국가

유럽연합 국가, 한국, 일본 등 아시아, 오세아니아, 아프리카 국가들에서 참여하고 있습니다.

• 법규 채택 확정 국가

• EU 연합 참여국가, EU 법규를 따르는 일부 국가(이스라엘, 팔레스타인, 이란, 터키 등)

▶ 차량 형식 승인(Vehicle Type Approval) 프로세스

이미지 출처: A Preliminary View on Automotive Cyber Security Management Systems, Conference Paper · March 2020

▶ 참고-문서패키지

• 자동차 상세 정보(도면, 사진 포함)
• 사이버보안 관련 시스템 및 관련 정보
• 위험 평가, 사이버보안 대책, 사이버보안 시험 관련 정보
• Supply chain관련, After market 지원 정보 등

UNECE WP29 R155 사이버보안 법규 - 상세요건

▶ Process 요건

1. 설계 관점의 사이버보안 위험을 식별하고 관리
2. 식별된 위험이 관리되는지 테스팅 등을 통해 검증
3. 위험 평가를 지속적으로 관리
4. 사이버 공격을 모니터링하고 대응
5. 모든 공격(시도되었거나 완료된)에 대한 분석을 지원
6. 사이버보안 대책이 새로운 위협과 취약점에도 유효한지 평가

▶ Type-approval 요건

1. 사이버보안 관리체계(CSMS)가 있고, 차량에 적용되었는지에 대한 증거
2. 위험평가결과를 분석하고, 우선순위를 식별(Critical)
3. 사이버보안 위험을 줄이기 위한 대책(Mitigation)의 적용
4. 사이버보안 시험(Testing)을 통한 검증으로 대책이 작동한다는 증거
5. 사이버 공격을 감지하고 방지하기 위한 조치 사항(IDPS)
6. 데이터 포렌식을 지원하기 위한 조치(Security logger)
7. 차량형식이 대한 적합한 모니터링
8. 승인기관으로 모니터링 활동을 보고

▶ 인증을 위한 제출 문서

• 자동차 상세 정보(도면, 사진 포함)
• 사이버보안 관련 시스템 및 관련 정보
• 위험 평가, 사이버보안 대책, 사이버보안 시험 관련 정보
• Supply chain관련, After market 지원 정보 등

▶ CSMS 인증 절차