ISO/SAE 21434:2021 를 사용한 자동차 사이버보안 경영시스템 구축
전문가와 함께 사이버보안 엔지니어링 역량을 강화하십시오!
자동화되고 연결성이 강화되는 시스템으로 구성된 자동차가 출시됨에 따라, 자동차 생태계는 더 많은 공격 시나리오로부터 위협을 받고 있으며, 이로 인한 실질적인 피해가 발생하고 있습니다. 새롭게 발행된 도로용 자동차 – 사이버보안 엔지니어링 국제 표준(ISO/SAE 21434:2021)은, 도로용 자동차의 전기전자(E/E) 시스템에 대한 사이버보안 엔지니어링 요구사항들을 다루고 있습니다.
이 표준은 도로용 자동차의 전기전자 시스템 엔지니어링의 사이버보안 관점을 다룹니다. 사이버보안은 최첨단 공격 기술과 진화하는 공격 방법에 대응하고, 사이버보안 정책과 절차를 정의하고, 사이버보안을 관리하며, 사이버보안 문화를 육성할 수 있도록 도와줍니다. 사이버보안 프레임워크는 사이버보안 위험을 완화하기 위해 ‘심층 방어 [Defense-in-depth]’ 접근 방식을 사용하며, 심층 방어는 공격이나 공격자가 한 계층을 침투하거나 우회하는 경우, 다른 계층이 공격을 억제하고 자산의 보호를 유지할 수 있도록 도울 수 있 습니다.
이 프레임워크는 컴포넌트 및 인터페이스를 포함한 양산형 도로용 자동차 E/E 시스템에 적용됩니다. ISO/SAE 21434:2021는 ISO 26262를 규범 참조로 사용하므로 ISO 26262와 함께 활용되 어야 합니다. 이를 통해 사이버보안이 기능 안전과 통합되고 조직이 사이버 위험에 대한 심층 분석을 수행할 수 있습니다.
ISO/SAE 21434:2021의 구조:
ISO/SAE 21434:2021는 사이버보안 요구사항[RQ], 권고사항[RC], 허가사항[PM] 및 작업 산출물[WP]을 포함하고 있으며, 각 절에 대해 ‘사전 요구사항[Prerequisites]’이 정의되어 있습니다. 이 접근방식은 개발자, 관리자와 심사원, 평가원 등의 이해관계자가 사이버보안 전략 및 후속 요구사항을 검토하면서 논리적 순서를 보장하는 데 도움이 될 것입니다.
표준은 공급망 전체에 사이버보안 위험 관리를 적용하여 사이버 보안 엔지니어링을 지원합니다. 또한 특정 상황의 요구를 수용하기 위해 요구사항을 조정하는 조항을 제공하며, 표준의 적용범위는 애프터마켓 및 서비스 부품을 포함한 양산형 도로용 자동차의 사이버보안 관련 아이템 및 컴포넌트로 제한됩니다. 자동차 외부의 프로토타입과 백엔드 시스템은 표준 적용에서 제외됩니다.
조항들은 개념부터 시작하여 제품 개발, 생산, 운영, 유지보수를 거쳐 마지막으로 사이버보안 지원의 종료와 폐기(폐차)를 위한 논리적 순서를 다루도록 설계되었으며, 강력한 사이버보안 위험 관리 프로세스를 기반으로 구축되었습니다. 이 표준은 ISO 26262- Part 3을 표준 참조로 사용하므로 ISO 26262 시리즈 표준과 함께 읽고 구현되어야 합니다.
표준은 다양한 정보를 제공합니다.:
- 각 사이버보안 활동에 필요한 산출물의 요약
- 조직 내 취약하거나 강력한 사이버보안 문화에 대한 명확한 정의, 사례와 지침
- 사이버보안 인터페이스 계약서(고객과 공급업체간 계약) 양식
- 아이템 또는 컴포넌트의 사이버보안 관련성을 확인하는 방법 및 기준
- 사이버보안 보증수준(CAL1, CAL2, CAL3, CAL4) 및 보증수준 도달방법
- 안전, 재무, 운영 및 프라이버시 피해를 포함한 영향 등급에 관한 지침
- 공격가능성 평가 가이드라인,
- TARA(위협성 분석 및 위험도 평가) 방법 적용 사례
이 프레임워크는 다음의 이해관계자들에게 도움이 됩니다.
- 자동차 제조사
- 자동차 제조사의 공급망
- 자동차 소프트웨어 개발 조직
- 자동차 에프터마켓
ISO/SAE 21434:2021 및 ISO 26262:2018 를 채택해야하는 이유는 무엇일까요?
많은 자동차 산업의 이해관계자 및 규제기관은 자동차 형식 승인의 일부로 이 프레임워크를 준수하도록 요구하고 있습니다. 또한 이 프레임워크는 다음과 같은 이점도 제공합니다.
- 제조업체의 사이버 공격방법 이해 및 대비
- 공급망 전반에 걸친 사이버보안 및 공통 언어 사용에 대한 협업 보장
- E/E 컴포넌트 및 시스템 설계에 사이버보안이 포함되도록 보장
- 사이버 보안 리스크 관리
- 협력사 사이버 회복성 확보 및 사이버보안에 기반한 협력사 선정기준 수립
DNV는 어떤 도움을 줄 수 있을까요?
DNV 는 자동차 제조사와 부품개발사들이 제품을 개발하고, 생산하고, 판매하기 위해 ISO/SAE 21434:2021 표준을 채택할 수 있도록 지원하는 다양한 서비스를 제공합니다.
교육(기본 및 심화)
당사의 교육 제안에는 프레임워크의 목적, 애플리케이션, 구조 및 컨텐츠와 ISO 26262와의 연관성에 대한 기본 지식을 제공하기 위한 짧은 입문 과정 또는 핵심 개요가 포함됩니다.
심화 과정은 표준의 각 부분에 대해 설명합니다. 심화 교육은 위험 분석 및 위험 완화 개념과 관련하여 다양한 분야(컴포넌트와 하위 컴포넌트)에서 사이버보안팀과 엔지니어의 기술을 향상시킬 것 입니다. 또한 이 교육은 실무자, 관리자, 컨설턴트 및 심사원 등 다양한 수준의 담당자를 대상으로 합니다.
사전 진단(Gap analysis)
조직이 표준을 어느 정도 준수하는지 궁금하다면 사전 진단을 통해 정확한 데이터를 얻을 수 있습니다. 이 활동은 ISO/SAE 21434:2021를 준수하고자 할 때 조직이 보완해야 할 약점 또는 갭을 식별하는 보고서를 발행함으로써 종료됩니다. 여기서는 일반적인 적합성 인증 접근 방식보다는 모범 사례와의 조정에 중점을 두어 완전한 적합성 달성 방법을 보다 명확하게 파악할 수 있습니다.
내부 심사(audit)
내부 심사는 제품보다 프로세스에 초점을 맞춥니다. CMMI 및 자동차 SPICE와 같은 프로세스 역량/성숙도 체계는 이미 업계에서 잘 확립되어 있습니다. 최신 사이버보안 심사 가이드라인을 활용 하고, 자동차와 사이버보안 전문가의 해석을 활용함으로써 조직의 프로세스 성숙도/역량 수준을 평가하여 ISO/SAE 21434:2021 요구사항 및 권고사항을 준수하면서 역량/성숙도 척도에 따른 프로세스 개선을 시작할 수 있습니다.
사이버보안 위험 평가(TARA)
당사의 통합 평가를 통해 ISO 26262 및 ISO/SAE 21434:2021 준수에 대한 명확한 정보를 얻을 수 있습니다. 당사의 전문가들이 이러한 보고서를 사용하여 잠재적인 위험과 적절한 완화 계획에대해 조언해 드릴 것입니다.
협력사 역량 평가(Supplier capability assessment)
점점 더 복잡하고 취약해진 공급망과 그에 대한 사이버 공격이 기하급수적으로 증가함에 따라 귀사의 명성, 브랜드, 비즈니스 탄력성, 재무 안정성 및 고객 신뢰도가 위협받고 있습니다. DNV전문가는 귀사가 공급망에서 ISO/SAE 21434:2021 및 ISO 26262:2018 의 준수를 확인하고 이러한 위협에 대처할 수 있도록 지원합니다. 당사의 서비스를 통해 협력사의 사이버보안 준비 상태를 기준으로 협력사를 식별하고 등급을 지정할 수 있으며, 협력사 선정 및 관리와 관련하여 보다 나은 결정을 내리는 데 도움이 될 것입니다.
사이버보안 경영시스템(CSMS) 구축:
사이버보안 엔지니어링을 가능하게 하기 위해 조직은 사이버보안 인식 관리, 역량 관리 및 지속적인 개선을 포함하여 사이버보안 거버넌스와 사이버보안 문화를 제정하고 유지해야 합니다. DNV는 국제 표준의 목표에 따라 독립적으로 심사되는 조직의 규칙과 프로세스를 수립할 수 있도록 도와드립니다.