사이버보안 관리체계 및 소프트웨어 업데이트 편
앞장서서 사이버보안 취약점 찾는 테슬라, SDV 등 최신 자동차 해킹 위험 늘어
[보안뉴스= 최광묵 페스카로 팀장] 지난 1월, 테슬라(TESLA)의 IVI(In-Vehicle Infotainment)와 게이트웨이(Gateway) 시스템 전체가 탈취됐다. 범인(?)은 프랑스 정보보안 기업 시낵티비(Synacktiv)였다. 이들은 자동차 전문 해킹대회인 제1회 ‘폰투온 오토모티브(Pwn2Own Automotive)’에서 중대한 사이버보안 취약점을 찾아 1등을 차지하며 약 6억 원의 상금을 획득했다.
출처 = gettyimagesbank
테슬라는 폰투온의 메인 스폰서로서 화이트해커들에게 자사 차량을 제공해 사이버보안 취약점을 찾는 데 앞장서고 있다. 시스템 설계 당시 사이버 공격에 면밀한 대비를 하더라도 보안 취약점은 나날이 진화하기 때문이다. 그래서 보안 패치가 존재하지 않는 신규 취약점(제로데이 취약점)을 발견하고 사전 대응해 후속 피해의 확산을 방지하는 것이 중요하다. 특히 SDV(소프트웨어 중심 자동차)처럼 소프트웨어로 제어되는 기능이 많아질수록 해킹 위험도 비례하기에 차량 안전에 대한 선제적이고 지속적인 대비가 필요하다.
국제적인 규제도 같은 궤도를 달리고 있다. UN 산하 자동차 국제기준 담당기구(WP.29)는 자동차 사이버보안 관리(UN R155) 및 소프트웨어 업데이트 관리(UN R156) 제도를 2020년에 도입했다. 국내에서도 국제 규제를 기반으로 우리나라 자동차 관리 법령에 최적화된 기준을 마련해 자동차들이 안전하게 운행될 수 있는 환경을 조성하고 있다. 그것이 지난 2월 공포된 ‘자동차관리법 개정안’이다.
자동차관리법 개정안이란?
자동차가 소프트웨어 중심으로 전환되면서 보완이 필요해진 조항을 개정한 것이다. 사이버보안 관리체계(CSMS : Cyber Security Management System)와 소프트웨어 업데이트 관련 내용이 핵심이다. 사이버보안 관리체계란 자동차를 사이버공격 및 위협으로부터 보호하기 위한 관리적·기술적·물리적 보호조치를 뜻한다. 자동차 제작사·수입사는 사이버보안 관리체계 인증을 보유한 경우에만 국내에 자동차를 판매할 수 있다. 인증이 취소된 경우에는 자동차 판매가 금지된다.
또한 자동차 제작사는 안전 기준과 관련된 기능의 소프트웨어를 업데이트하는 경우, 해당 정보를 국토교통부에 사전 제출해야 한다. 이때 소프트웨어 업데이트로 인해 발생할 수 있는 안전 기준 등에 대한 영향도 분석 결과를 협력사에 요청해 규제 준수를 위한 증빙자료로 사용할 수 있다.
여기서 자동차관리법 개정안과 UN 규제의 큰 차이점이 있다. UN 규제는 사이버보안 관리체계와 소프트웨어 업데이트 관리체계에 대한 시스템 인증을 모두 요구하지만, 자동차관리법에서는 사이버보안 관리체계 인증만을 요구한다. UN R155의 사이버보안 관리체계 인증이 있다면, 자동차관리법의 사이버보안 관리체계 인증을 대체할 수 있을까? 아쉽게도 그렇지 않다. 자동차관리법에서는 국토교통부를 통해 심사·발급된 인증서만 인정된다.
그러나 UN R155의 사이버보안 관리체계 인증을 획득한 자동차 제작사·수입사는 국토교통부의 사이버보안 관리체계 인증을 획득하는 데 큰 문제가 없을 것이다. 국내 자동차관리법 및 시행령이 UN R155·R156에 기반하고 있기 때문이다. UN R155와 자동차관리법 개정안의 사이버보안 관리체계 준비사항은 대동소이하기에, 국내법에 맞게 조직의 사이버보안 정책 및 절차 등을 조정하는 과정이 필요하다.
무엇을 어떻게 준비해야 할까?
UN R155 인증 취득 여부에 따라 준비 사항이 달라질 수 있다. 먼저 UN 인증을 취득하지 않은 자동차 제작사는 ISO/SAE 21434를 충족하는 사이버보안 관리체계를 구축하는 것이 가장 중요하다. 이는 개발 단계뿐만 아니라 생산 단계, 생산 이후 단계에서도 이행되어야 한다. 또한 TARA(Threat Analysis and Risk Assessment)와 사이버보안 시험 및 유효성 확인 절차를 갖추고, 이를 수행하기 위한 필요 자원을 확보해야 한다. 마지막으로 지속적인 사이버보안 모니터링 절차, 사이버보안 사고 대응 절차, 해당 사고 관련 데이터 제공 절차도 수립 및 운영해야 한다.
이미 UN R155의 사이버보안 관리체계 인증을 취득했다면, 자동차관리법에 따라 해당 체계를 재검토하고 보완하는 등의 최적화 작업이 필요하다.
당장 내년 시행되는 자동차관리법 개정안, 실리적 돌파구 필요
자동차관리법 개정안에 따라 신차는 2025년 8월, 기존차는 2027년 8월부터 규제가 시행될 예정이다. 이에 따라 국내 자동차 제작사·수입사는 자동차관리법 개정안에 대한 대응 준비를 서두를 필요가 있다. 자체적으로 규제 대응에 어려움이 있다면, 성공 사례를 기반으로 효율적인 대응전략을 제시할 수 있는 전문기업과의 협업도 고려할 수 있다.
페스카로(FESCARO)는 지난해 자동차 제작사 및 제어기 개발사가 CSMS, SUMS, VTA(UN R155·R156), ISO/SAE 21434 인증을 조기 획득하는데 기여하며, 세계 4대 자동차 사이버보안 인증 컨설팅 ‘그랜드슬램’을 달성한 바 있다. 이를 바탕으로 자동차관리법 개정안에 최적화된 가이드를 비롯해 가장 실리적인 대응 솔루션을 제시할 수 있다.
[글_ 최광묵 페스카로 프로세스개발팀 팀장(sales@fescaro.com)]
<출처: 보안뉴스([이슈칼럼] 내년 시행되는 자동차관리법 개정안, OEM이 주목할 부분은? (boannews.com))>