자동차 사이버 보안 및 보안 코딩 기술 동향
주가기술동향 2022. 9.7 (장대원_MDS인텔리전스 차장)
자동차 사이버 보안 및 보안 코딩 기술동향
I. 서론
커넥티드카, 자율주행, 사물인터넷, 가상현실, 증강현실 등
새로운 융합 기술이 차량에 적용되면서 자동차 시장에 급진적인 변화가 지속되고 있다.
이와 함께 차량에 대한 해킹 위험도 지속적으로 늘아나고 있다.
II. UNECE 사이버 보안 정의
"Cyber Security(사이버 보안)"
차량 및 그 기능이 전기 또는 전자 부품에 대한 사이버 위협으로부터 보호되는 상태
"Cyber Security Management System(사이버 보안 관리 시스템)"
차량에 대한 사이버 위볍과 관련되 위헙을 처리하고 사이버 공격으로부터
차량을 보호하기 위해 조직 프로세스, 책임 및 거버넌스를 정의하는 체계적인
위험 기반 접근 방식
Cyber Security Management System(CSMS)은 악의적인 사이버 위협으로부터
보호되는 상태를 체계적으로 대응하기 위해 차량의 전기/전자 부품에 대한 보안을 요구한다
뿐만 아니라, 사이버 보안을 위한 효과적인 프로세스 구축과 책임
그리고 추후 관리까지 전주기 대응을 필요로 한다.
CSMS 문서 내용중 구축해야 할 다양한 사이버보안 프로세스 일부 내용.
- Vehicle type의 사이버 보안 테스트에 사용되는 프로세스
- Risk assessment가 최신 상태로 유지되도록 하는데 사용되는 프로세스
- Cyber attacks, Cyber threats, vehicle types에 대한
vulnerabilities 모니터링, 탐지, 대응 프로세스
III. 보안 코딩 가이드와 ISO/SAE 21434
UN Regulation No.155의 5절 Approval을 통해 보안 코딩 관련
내용을 확인해 보면 다음과 같다.
5.3절 승인 당국(Approval Authorities)은 제조업체가 이 규정에서 다루는 사이버 보안 측면을
적절하게 관리하기 위해 만족스러운 조치와 절차를 마련했는지 확인하지 않고
형식 승인을 부여해서는 안 된다고 설명한다.
이러한 조치와 절차의 세부 내용을 5.3.1 (a), (b)를 통해 살펴보면, 다음과 같다.
(a) 적합한 사이버 보안 기술과 특정 자동차 위험 평가 지식1을 갖춘 역량 있는 인원
(b) 규정에 따른 일관된 평가를 위한 시행 절차
1 E.g. ISO 26262-2018, ISO/PAS 21448, ISO/SAE 21434
도메인별 사이버 보안 엔지니어링 표준 최신 기술 수집 및 파트너 간의 협력을
지원하는 ISO/SAE 21434는 기능 안전 관점의 사이버 보안 인터페이스만 다루는
ISO 26262: 2018 을 보완하기 위해 자동차 사이버 보안 표준 개발의 필요성에 따라 작성되었다.
IV. 보안 코딩 가이드 비교
CERT는 소프트웨어의 Safety, Reliability, Security를 개선하기 위한
코딩 가이드라인으로 Carnegie Mellon University의 Software Engineering Institute에서
유지 관리하는 보안 코딩 표준이다.
하지만, MISRA C:2012는 CERT C와는 다른 보안 접근 관점을 찾아볼 수 있다.
V. 결론
자동차 사이버 보안에 관한 국제기준 UNECE Regulation No.155 채택과
이로 인한 시장의 변화 그리고 보안 코딩 가이드 선택과 적용을 위해
MISRA와 CERT를 비교하여 보안코딩 대응방안에 대해 기술하였다.
현재 보안 코딩 가이드 적용하기 위한 구체적인 기준과 명확한
정책이 수립되지 않은 상황이다.
일부 차량 제조사는 명시적인 요구사항을 지정하여 보안 코딩 가이드 준수를
요구하기도 하지만 국내 이외의 제조사는
별도의 보안 코딩 가이드 요구가 지정되지 않고 있다.
이에 사용자는 역으로 보안 코딩 가이드 준수를 위한 계획을 제안하고
이를 위한 방안을 마련할 수 있어야 한다.