Proven by Intelligence

IoT(사물인터넷) 기술의 발전으로 자동차, 의료기기, 드론 등 다양한 기기들이 서로 연결이 되고 정보를 주고 받는 초연결사회로 진입하고 있습니다. 이에 따라 기기들이 서로 안전한 지 확인할 수 있는 인증과 보안을 강화하는 것이 필요합니다. 특히 자율주행 자동차의 상용화가 임박한 상황에서 생명과도 직결이 될 수 있는 자동차의 사이버 보안에 대한 안전성 문제는 무엇보다 시급합니다.

출처: 서울신문 (2020/09/21)

몇 가지 사례를 통해 심각성 및 앞으로 우리가 어떤 것들을 준비해야 할 지 알아보겠습니다.

사례 1 │ 차량 해킹으로 인한 금전/인명 피해 발생

자율 주행, 커넥티드 기술의 등장으로 편리성은 향상되고 있지만 동시에 해킹으로 인한 차량 탈취 등 금전, 인명 피해의 우려가 있습니다.

테슬라 ‘모델X’ 해킹 재연 영상 @ COSIC

사례 2 │  오작동 등으로 인한 사고/피해 발생

도로 시설물과 차량 간, 보행자 간 통신이 이루어지는 자율 주행 상황에서 해킹은 오작동을 포함한 예상할 수 없는 큰 사고 및 피해를 발생시킬 수 있습니다.

[서울신문] 해킹당한 순간 통제불능… 스마트카, 도로 위 폭탄 우려

사례 4 │  자율주행차에 대한 사이버 보안 이슈

자율 주행차의 경우 사람이 아닌 시스템이 직접 운전을 하기 위해 기존보다 더 다양한 부품과 시스템을 제어할 수 있어서 '달리는 스마트폰'이라는 표현까지 나오고 있습니다. 따라서 이런 시스템이 해킹이 될 경우 개인정보부터 차량 사고까지 많은 문제를 야기할 수 있기 때문에 보안을 더욱 철저히 해야 합니다. 

[정보통신신문] "자율차 일수록 사이버 보안 더 철저히 해야"

[보안뉴스] 커넥티드 자동차, 앞으로는 더 많은 공격에 노출될 것 예상돼

위에서 살펴본 내용처럼 자율 주행 자동차가 다른 차량, 디바이스 간 양방향 통신을 하고 자율 주행 차량이 증가되는 현 시점에서 자동차 네트워크, 소프트웨어, 하드웨어, 각종 디바이스 등에 대해 보안을 더욱 고려하여 설계 및 구현하고 제조하는 것이 매우 중요합니다.

​

ISO/SAE 21434에서는 자동차 사이버 보안과 관련되어 예상되는 사항에 대한 개요와 보안 강화를 위한 내용을 다루고 있으며 자동차 제조사, OEM 및 관련 부품 공급 업체는 ISO/SAE 21434을 준수해야 합니다.



ISO/SAE 21434 일정 계획 ─ 출처: 자동차 사이버 보안에 대한 표준화 동향 (Auto Journal 2020. 03)

ISO/SAE 21434(차량용 사이버 보안 국제 표준) 그리고 CSMS(Cyber Security Managmenet System)

ISO/SAE 21434에서는 도로상을 주행하는 차량(내부 시스템, 부품, 소프트웨어, 하드웨어)의 설계 및 보안 엔지니어링의 적용, 차량으로 연결되는 외부 디바이스의 고려, 생산부터 폐기까지의 관리 및 실시 방안 등 자동차 라이프 사이클의 전 단계를 다룹니다.

​

Wi-Fi 및 Bluetooth와 같은 차량 및 디바이스 간의 연결성이 증가하고 자율 주행 차량이 개발 및 점차 확산됨에 따라 사이버 공격의 위험과 그에 따른 피해도 증가하고 있습니다.

​

지금까지의 사이버 보안 대책 기준은 이러한 유형의 위험을 다루기에 충분하지 않았기 때문에 새로운 대책을 수립을 했어야 했습니다. 그래서 채택된 ISO/SAE 21434는 자동차와 사이버 보안을 통합화, 구조화하는 데 목적을 두고 있으며 자동차 제조사, OEM, ECU 공급 업체, 사이버 보안 회사, 관리 조직 등을 포함한 82개 이상의 회사들이 이 표준에 대해 적극적으로 참여하고 있습니다.

또한 한국과 일본, 유럽 등 주요 자동차 시장은 2022년부터 신차의 차량 형식 승인을 위해 CSMS(Cyber Security Management System)의 구축을 의무화하였고 ISO/SAE DIS 21434에도 명시되어 있듯이 ISO/IEC 27001, 27002에 해당하는 암호화 부분 요구사항을 충족해야 한다고 되어 있습니다.

​

CSMS 평가는 자동차 사이버 보안 관리 시스템에 대한 심사로 제조사 및 관련 업체의 생산 프로세스가 제품 생애주기 전체에 걸쳐 적합한 사이버 보안 프레임워크를 제공하는지, 사이버 보안 차량 규제의 요구사항을 충족하는지 여부를 확인하고 보장해야 합니다. 자동차 제조 업체는 인증된 CSMS를 유지해야 하고 최소 3년마다 재평가 및 갱신을 해야 한다고 합니다.

​

자동차 제조사 및 부품 공급 업체는 CSMS에 대한 증거를 제공하지 못하면 형식 승인을 받을 수 없으며 2022년 06월 이후부터는 해당 국가에 차량, 부품, 소프트웨어 등을 판매할 수 없게 됩니다. 따라서 Tier 1, Tier 2 제조 업체와 하드웨어 및 소프트웨어 공급 업체는 조직 및 엔지니어링 사이버 보안 프로세스 등과 같은 기업의 역량을 확인시키기 위해 CSMS 구축이 필수입니다.

​

CSMS 평가로 얻을 수 있는 이점으로는, 사이버 보안 규제에 따라 모든 요구사항을 충족한 제품을 통해 다양한 사업 기회에 대한 위험을 방지할 수 있고, 2022년 06월 이후에도 각 해당 국가에 차량을 판매할 수 있는 형식 승인, CSMS 인증을 준비할 수 있으며 제품 개발 사이버 보안 프로세스 효율성을 개선하여 출시 시간까지 최소화할 수 있습니다.

​

지금까지 말씀드린 내용을 정리해 보면, 발전하는 자동차 산업 및 자동차 사이버 보안에서 ISO/SAE 21434는 준수되어야 하고 CSMS의 구축 및 관리는 꼭 필요한 요소입니다.

특히 CSMS에서의 암호화는 ISO/IEC 27001를 따르고 있는데요. 자세한 내용은 저희 기술노트를 참고하시기 바랍니다.

국제 표준과 암호키 관리 ⑶ - ISO/IEC 27001 인증을 위한 암호화 준비

위 기술노트에서 보셨겠지만 MDS인텔리전스의 NeoKeyManager(네오키매니저)로 암호화 요건을 충족할 수 있는데요. 요약해 보면 NeoKeyManager는 아래 기능을 통해 암호화 및 키 관리 항목을 편리하게 수행할 수 있습니다.

​

1) 다양한 알고리즘 및 포맷 지원

2) 안전한 암호키 및 인증서 생성, 관리

3) 암호키의 라이프 사이클 제공

4) 안전한 백업 및 복구

5) 로그 기록 및 감사 기능을 통한 관리 기능

​

​

앞으로 더 중요해질 자동차 사이버 보안도 NeoKeyManager를 기반으로 CSMS 구축, ISO/SAE 21434 준수, 사이버 보안 위협으로부터 안전한 제품, 글로벌 지배까지 함께 하세요!