* 모든 글은 해당 뉴스에서 발췌함
1. CSMS와 ISO/SAE 21434
CSMS는 자동차에 대한 사이버위협과 리스크를 관리하고 사이버공격으로부터 차량을 보호하기 위한 조직적인 프로세스와 관리시스템을 의미한다.
ISO/SAE 21434는 자동차 사이버보안 엔지니어링 국제 표준이다. 차량의 전체 수명주기에 걸쳐 사이버보안 정책 및 프로세스를 정의하고, CSMS를 구현하는 기준을 제공한다. UN R155는 목적이 다소 추상적으로 표기되었기 때문에 실제로 준수해야 하는 요구사항 등 구체적인 평가 기준은 ISO/SAE 21434에 기술되어 있다. 즉, CSMS를 제대로 구현하려면 ISO/SAE 21434를 참조해야 한다.
그렇다면, 사이버보안 관리체계(CSMS) 인증은 어떻게 획득할 수 있을까? 우선, UN R155 제7조 2항 2호의 지침을 준수해야 한다. 개발-생산-생산 이후 단계에 걸친 차량의 전체 수명주기에 사이버보안 관리체계를 적용해야 하며, 조직 내 사이버보안 관리, 위험 식별, 위험 평가, 사이버보안 테스트 등의 프로세스에 보안이 충분히 고려되었음을 입증해야 한다. 또한 사이버위협 및 취약점이 합리적인 시간 내에 완화되도록 보장하고, 탐지 및 대응을 위한 필드 모니터링을 지속 수행하는 것을 입증해야 한다. 마지막으로 유관 협력사 등 전체 공급망에 존재할 수 있는 사이버보안 의존성을 CSMS가 어떻게 관리할 것인지 입증해야 한다.
요구사항을 모두 충족했다면 시험기관(TS, Technical Service)을 통해 검증해야 하며, 이후 인증기관(AA, Approval Authority)의 심사를 통해 최종 승인을 받을 수 있다.
https://m.boannews.com/html/detail.html?idx=123484
[테크칼럼] 자동차 사이버보안 인증 ① CSMS와 ISO/SAE 21434의 핵심
자동차 사이버보안 규제의 등장은 더이상 새로운 뉴스가 아니다. 이제는 ‘무엇을 해야 하느냐’가 아닌 ‘어떻게 해야 하느냐’가 관건이다. 실제로 완성차 제작사(OEM)와 제어기 개발사(Tier)는
m.boannews.com
2. VTA
UN R155의 요지는 완성차 제작사가 CSMS(사이버보안 관리체계, Cybersecurity Management System) 인증을 획득한 후, 이를 반영해 차량을 개발했는지 VTA(형식승인, Vehicle Type Approval)로 검증하는 것이다.
VTA를 위해서는 차량의 위험 평가 및 보안 조치, 충분한 검증시험 등을 수행해야 한다. 차량에 발생할 수 있는 위험을 식별하고, 그 위험을 어떻게 평가하여 어떤 조치를 취했는지 입증해야 하는 것이다. 여기서 ‘조치’는 위험을 제거하거나, 완화하거나, 피하거나, 수용하는 것 중 적절히 판단해야 한다. 아울러 제거 또는 완화 조치를 취할 경우 어떤 보안 기능이 필요한지 분석 후 해당 기능을 적용하고, 보안테스트를 통해 유효성을 검증하는 절차가 필요하다.
3. VTA를 위한 보안테스트, 무엇을 어떻게 할까?
ISO/SAE 21434에 언급된 자동차 사이버보안 유효성 검증 테스트는 크게 네 가지로 분류한다. 바로 기능 테스트(functional testing), 취약점 스캐닝(vulnerability scanning), 퍼징 테스트(fuzzing testing), 침투 테스트(penetration testing)다.
먼저 ‘기능 테스트’는 제어기에 적용된 사이버보안 기능이 올바르게 구현됐는지 검증하는 것이다. ‘취약점 스캐닝’은 제어기의 소프트웨어나 하드웨어에 알려진 취약점을 찾아 보완하는 것으로, 특히 오픈소스에 대한 취약점을 주로 확인한다. ‘퍼징 테스트’는 제어기나 차량의 외부 접점에 데이터를 무작위로 주입해 소프트웨어나 하드웨어의 취약점을 발견하는 테스트다. 마지막으로 ‘침투 테스트’는 흔히 모의해킹이라 불리며, 해커 관점에서 차량 시스템을 공격해 적용된 사이버보안 조치가 충분한지 판단하는 것이다. 다양한 해킹 기법으로 알려지지 않은 잠재적 취약점을 찾는 것이 또 다른 목적이기도 하다.
https://m.boannews.com/html/detail.html?mtype=2&tab_type=2&idx=123771
[테크칼럼] 자동차 사이버보안 인증 ② VTA를 아무나 못 하는 이유
동차 사이버보안 규제 등장은 더이상 새로운 뉴스가 아니다. 이제는 ‘무엇을 해야 하느냐’가 아닌 ‘어떻게 해야 하느냐’가 관건이다. 완성차 제작사(OEM)와 제어기 개발사(Tier)는 보안기술
m.boannews.com
3. SUMS
안전한 소프트웨어 업데이트 정책 및 프로세스를 다루는 UN R156을 준수하기 위해서 완성차 제작사는 SUMS(소프트웨어 업데이트 관리체계, Software Update Management System) 인증과 이에 따른 VTA(형식승인, Vehicle Type Approval)를 획득해야 한다.
승용차 및 상용차, 견인 장치가 있는 트레일러뿐만 아니라 소프트웨어 업데이트 기능이 탑재된 농기계도 UN R156 준수 대상이다. 동 규정에서 완성차 제작사가 주의 깊게 봐야 할 부분은 7조 ‘General specifications’로, SUMS 및 차량 형식에 대한 요구사항이 명시되어 있다.
https://www.cisokorea.org/news/view.asp?idx=35007&gubun=News&kind=01&page=8&search=&searchstring=
한국CISO협의회
대한민국 정보보호 리더 그룹 사단법인 한국정보보호최고책임자협의회
www.cisokorea.org
'보안 공부' 카테고리의 다른 글
| 보안전문가 지망생이 바라본 생성형 AI와 LLM (0) | 2024.07.03 |
|---|