ISO/SAE 21434
Cybersecurity compliance obligations!
ISO/SAE 21434를 기반으로 자동차 제조사 및 부품 공급업체가 효과적인 사이버 보안 관리를 실현할 수 있도록 사이버 보안 관리 시스템(CSMS) 구축, 위협 분석 및 위험 평가(TARA), 보안 설계 및 개발 지원, 보안 테스트 및 검증, 규제 대응 및 인증 지원을 포함한 종합적인 솔루션을 제공합니다. 이를 통해 기업이 UNECE R155를 준수하고 안전하고 신뢰할 수 있는 차량 사이버 보안 체계를 구축할 수 있도록 지원합니다.
자동차 사이버 보안의 필수 기준 ISO/SAE 21434
자동차의 디지털화와 연결성이 확대되면서 사이버 보안이 차량 안전의 핵심 이슈로 떠올랐습니다. 이를 대응하기 위해 제정된 ISO/SAE 21434는 2022년 7월부터 UNECE R155 규정에 따라 모든 신차에 적용이 의무화되었습니다. 자동차 제조사와 부품 공급업체는 개발부터 운영까지 보안 관리 체계를 구축해야 하며, 이를 준수하지 않으면 글로벌 시장 진입이 어려워집니다.
ISO/SAE 21434 준수는 법적 요구를 넘어 기업 경쟁력과 브랜드 신뢰도에 직결됩니다. 사이버 공격으로 인한 사고, 리콜, 고객 신뢰 하락은 막대한 손실로 이어질 수 있습니다. 따라서 기업은 위협 분석(TARA), 보안 설계, 테스트, 사이버 보안 관리 시스템(CSMS) 운영 등 보안 체계를 철저히 구축해야 합니다. 이는 안전한 차량을 제공하고 지속 가능한 경쟁력을 확보하기 위한 필수 전략입니다.
GAP ANALYSIS를 통해 얻을 수 있는 이점
What we support ?
제품 수준에 따른 접근 방법
ISO/SAE 21434는 자동차 사이버 보안을 보장하기 위해 제품의 개발 단계 및 특성에 따라 차별화된 접근 방식을 요구합니다. 각 제품 수준에서 보안 요구사항을 적절히 적용해야 효과적인 사이버 보안 관리가 가능합니다.
1. 지적 재산(IP) 및 시스템 온 칩(SoC) 보안
IP 및 SoC 단계에서는 하드웨어 보안이 핵심입니다. 이 단계에서는 보안 부트, 하드웨어 신뢰 루트(HRoT), 키 관리, 침입 탐지 시스템(IDS), 물리적 복제 방지 기능(PUF) 등을 적용해 하드웨어 수준에서 보안을 강화해야 합니다.
2. 기본 소프트웨어 보안
기본 소프트웨어 계층에서는 운영체제(OS), 네트워크 스택, 드라이버 등의 보안이 중요합니다. 이 단계에서는 패치 관리, 실행 무결성 검증, 전송 계층 보안(TLS), 인터넷 프로토콜 보안(IPSec), 보안 게이트웨이 등의 기능을 적용해 ECU 간 안전한 데이터 교환을 보장해야 합니다.
3. 런타임 환경(RTE) 보안
런타임 환경(RTE)은 애플리케이션과 기본 소프트웨어 간 인터페이스 역할을 수행하며, 메모리 보호, 접근 제어, 샌드박스 실행 환경 등을 적용해 보안성을 강화해야 합니다. 특히, AUTOSAR 환경에서는 보안 RTE 설정을 통해 안전한 데이터 흐름을 보장해야 합니다.
4. 애플리케이션 보안
애플리케이션 계층에서는 차량 제어 시스템(예: ADAS, IVI 등)이 실행되며, 보안 코딩, 정적 및 동적 코드 분석, 취약점 평가, 무선 소프트웨어 업데이트(OTA) 보안 등의 보안 기술을 적용해야 합니다.
5. 안전 기능 보안
최상위 계층인 안전 기능 단계에서는 사이버 공격이 차량의 기능 안전(ISO 26262)에 미치는 영향을 고려해야 합니다. 이를 위해 페일세이프 메커니즘, 리던던시 설계, 침입 탐지 시스템(IDS), 이상 징후 분석 등의 기술을 적용해 실시간 보안 위협을 감지하고 대응하는 체계를 구축해야 합니다.
Our 6 D-process
-
Discover 01
보호해야 할 시스템과 자산을 식별하고, 관련된 보안 위협과 취약점을 분석합니다. 이를 통해 위협 분석 및 위험 평가(TARA)의 기초 데이터를 확보하며 사이버 공격의 가능성을 사전에 평가할 수 있습니다. 이 단계에서 정확한 시스템 범위를 정의하고 보안 리스크를 파악하는 것이 이후 단계의 효과적인 보안 설계로 이어집니다.
-
Define 02
보안 목표와 보호 요구사항을 구체적으로 정의합니다. ISO/SAE 21434 및 UNECE R155 규정을 기반으로 보안 정책을 수립하고, 보안 관리 체계를 구축합니다. 또한, 공급망 보안 요구사항을 설정하여 협력 업체와의 보안 연계를 강화하고 프로젝트 전체의 사이버 보안 방향성을 결정하는 중요한 역할을 합니다.
-
Design 03
보안 아키텍처를 수립하고 암호화, 접근 제어, 인증, 침입 탐지 시스템(IDS)과 같은 보안 기술을 적용할 방안을 설계합니다. 차량 내 전자제어장치(ECU)와 네트워크 구조를 고려하여 보안이 내재된 설계를 수행하며 기능 안전(ISO 26262)과의 연계를 통해 보안과 안전성을 동시에 확보하는 전략을 마련합니다.
-
Develop 04
앞서 설계된 보안 요구사항을 소프트웨어 및 하드웨어 개발에 적용합니다. 이 단계에서는 보안 코딩을 준수하고 정적 및 동적 코드 분석을 수행하여 보안 취약점을 사전에 제거합니다. 또한, 보안 패치 및 업데이트를 고려한 개발 프로세스를 운영하며, 보안 유지보수를 위한 체계를 함께 구축합니다.
-
Deploy 05
개발된 보안 기능을 실제 차량 및 ECU에 적용하고 네트워크 및 클라우드 기반 보안 서비스를 운영합니다. 보안 업데이트 및 침입 탐지 시스템을 적용하여 실시간 보안 모니터링을 강화하고 사이버 보안 인증을 획득하여 법적 규제를 준수할 수 있도록 합니다. 이를 통해 차량이 안전한 환경에서 운용될 수 있도록 보안성을 유지합니다.
-
Deliver 06
안 기능의 최종 테스트와 검증을 수행합니다. 보안 사고 대응 프로세스를 점검하고 OTA(Over-the-Air) 업데이트 기능을 통해 보안 패치를 신속하게 제공할 수 있도록 체계를 마련합니다. 또한, 제품의 라이프사이클 동안 지속적인 모니터링을 수행하여 새로운 보안 위협에 대비하는 체계를 유지합니다.
최적화된 자료 제공
ISO/SAE 21434를 효과적으로 준수하기 위해서는 체계적인 문서화와 검증된 자료 제공이 필수적입니다. 이를 위해 최적화된 자료를 제공하여 사이버 보안 요구사항을 명확하게 정의하고 개발부터 검증 및 유지보수까지 전 과정에서 신뢰할 수 있는 정보를 활용할 수 있도록 지원합니다. 주요 문서에는 보안 목표(Security Goal) 및 사이버 보안 요구사항 정의, 위협 분석 및 위험 평가(TARA), 보안 아키텍처 설계 문서, 검증 및 테스트 리포트, 보안 인증 관련 보고서 등이 포함됩니다. 또한 소프트웨어 및 하드웨어 구성 요소의 보안 신뢰성을 높이기 위해 정형화된 평가 자료를 제공하고 변경 관리(Change Management) 및 구성 관리(Configuration Management) 프로세스를 체계적으로 운영할 수 있도록 지원합니다. 이를 통해 조직은 사이버 보안 규정을 효과적으로 준수하고 인증 및 감사(Audit) 과정에서 신속하고 정확한 대응이 가능해집니다. 최적화된 자료 제공은 보안 관리의 효율성을 높이고 개발자와 검증 담당자가 일관된 정보를 기반으로 보안 요구사항을 충족할 수 있도록 하는 핵심 요소입니다.
헤르메스솔루션은 다양한 제품 개발 경험에서 나오는 노하우로 완성도 높은 결과물을 제공할 것을 약속합니다.
Get news faster than anyone else!
누구보다 빠르게 최신 뉴스를 받아보세요!
도움이 필요한 부분이 있다면 언제든 문의하세요.
헤르메스솔루션이 귀하의 궁금증을 빠르게 해결해드립니다.