제어기 제조사 담당자들을 만나면 많이 듣는 질문이고, 실무를 하면서 많이 겪었던 일이기도 합니다. 앞에서도 비슷한 형태의 대응 방안을 설명해 주셨는데, 다양하게 요청되는 OEM의 요구사항을 효과적으로 대응하기 위해서는 한 마디로 표준화 및 전략적 대응 방안 마련이 필요합니다.
제품 특성에 맞는 보안 요구사항 테일러링
국제표준에 따른 산출물 작성을 통해 OEM 요구 변화에 따른 수정사항 최소화
기본적으로 OEM들이 가지고 있는 표준 사이버보안 기능 요구사항이 있습니다. 하지만 이것은 보통 Super set이며 제어기마다 특성이 달라 모두 적용을 할 수 있는 것은 아닙니다. OEM들이 요구하는 것이 어떤 것인지를 제대로 파악하고, 우리가 할 수 있는 것과 그렇지 못한 것을 명확히 구분해야 합니다. 못하는 부분에 대해서는 대안을 제시 하던지, 아니면 안되는 사유를 정확히 소명해야 하고요. 필요시 후속 대응에 대한 계획 등도 제안해야 합니다.
OEM은 이러한 제어기 제조사들의 소명 자료를 형식 인증을 받는데 사용하게 됩니다. CIA(Cybersecurity Interface agreement) 관점에서도 OEM에서 요구하는 산출물들의 수준이 모두 조금씩 다르기 때문에 제어기 제조사 입장에서는 그 대응이 매우 어렵습니다. 이러한 어려움의 대안으로 ISO/SAE 21434 표준 기반으로 작성하고 국제 기준에 만족함을 충분히 설명해야 일의 반복이나 수정을 최소화할 수 있습니다.
그런데 현실적인 문제는 대부분의 제어기 제조사의 경우 전문 사이버보안팀을 보유하고 있지 않아 위와 같은 활동을 하기가 어렵습니다. OEM과 논의하면 할수록 모호성이 증가하여 일이 늘어나는 경우가 많아지죠. 이런 어려움을 해결하기 위해서는 보안에 대한 전문 역량을 보유하고 있는 조력자가 필요한데요. 페스카로와 같은 전문 업체가 그 대안이 될 수 있습니다.
페스카로는 국내 OEM을 대상으로 CSMS컨설팅/보안솔루션 제공/보안테스팅까지 수행하고 있습니다. OEM이 UNR155 인증을 받기 위해 제어기 제조사에서 해줘야 하는 사항이 무엇인지 제대로 알고 있고, 다수의 제어기 제조사를 대상으로 한 CSMS 컨설팅/사이버보안 매니저 대응/보안 솔루션 판매/엔지니어링 서비스 제공 등의 경험을 가지고 있어 업무를 효과적으로 수행할 수 있도록 가이드를 제공합니다.