UNECE WP 29 사이버보안 법규
새로운 자동차 사이버보안의 출현
UNECE WP29 사이버보안 법규 - 배경
▶ 유럽경제위원회
유럽, 북미, 아시아의 56개 회원국을 포함하며, 지속가능한 발전과 경제적 번영, 국제 협력을 촉진하기 위한 규범, 표준 및 규약을 규정한다.
▶ 차량규정의 일치화를 위한 세계포럼
광범위한 자동차 분야에 적용되는 기술 규제를 전담하는 포럼으로, 바퀴 달린 차량과 그 서브시스템 및 부품의 안전 및 환경적 성능을 다룬다.
▶ 자동/자율 커넥티드차량 실무그룹
차량 자동화 및 연결성의 안전과 보안, ADAS, Dynamic 관련 규정 제정
UNECE WP29 사이버보안 법규 - 개요
▶ 2개의 개별 인증으로 구성
- Type Approval(형식승인)
차종별 보안기술의 적용과 평가결과 인증(실차, 기능시험)
- Certificate of Compliance for CSMS(사이버보안 경영시스템 인증서)
사이버보안 조직, R&R, 차량 수명주기에 대한 사이버보안 프로세스 인증
▶ 적용 일정
- 2018년 12월: 법규 초안 수립
- 2020년 1월: 법규 최종안 수립
- 2020년 6월: WP29 총회(최종안 채택)
- 2021년 1월: UNECE CS 법규 발효
- 2022년 7월: EU 법규 적용(신차)
- 2024년 7월: EU 법규 적용(모든 차)
▶ UNECE WP29 참여국가
유럽연합 국가, 한국, 일본 등 아시아, 오세아니아, 아프리카 국가들에서 참여하고 있습니다.
- 법규 채택 확정 국가
EU 연합 참여국가, EU 법규를 따르는 일부 국가(이스라엘, 팔레스타인, 이란, 터키 등)
▶ 차량 형식 승인(Vehicle Type Approval) 프로세스
이미지 출처: A Preliminary View on Automotive Cyber Security Management Systems, Conference Paper · March 2020
▶ 참고-문서패키지
- 자동차 상세 정보(도면, 사진 포함)
- 사이버보안 관련 시스템 및 관련 정보
- 위험 평가, 사이버보안 대책, 사이버보안 시험 관련 정보
- Supply chain관련, After market 지원 정보 등
UNECE WP29 R155 사이버보안 법규 - 상세요건
▶ Process 요건
- 설계 관점의 사이버보안 위험을 식별하고 관리
- 식별된 위험이 관리되는지 테스팅 등을 통해 검증
- 위험 평가를 지속적으로 관리
- 사이버 공격을 모니터링하고 대응
- 모든 공격(시도되었거나 완료된)에 대한 분석을 지원
- 사이버보안 대책이 새로운 위협과 취약점에도 유효한지 평가
▶ Type-approval 요건
- 사이버보안 관리체계(CSMS)가 있고, 차량에 적용되었는지에 대한 증거
- 위험평가결과를 분석하고, 우선순위를 식별(Critical)
- 사이버보안 위험을 줄이기 위한 대책(Mitigation)의 적용
- 사이버보안 시험(Testing)을 통한 검증으로 대책이 작동한다는 증거
- 사이버 공격을 감지하고 방지하기 위한 조치 사항(IDPS)
- 데이터 포렌식을 지원하기 위한 조치(Security logger)
- 차량형식이 대한 적합한 모니터링
- 승인기관으로 모니터링 활동을 보고
▶ 인증을 위한 제출 문서
- 자동차 상세 정보(도면, 사진 포함)
- 사이버보안 관련 시스템 및 관련 정보
- 위험 평가, 사이버보안 대책, 사이버보안 시험 관련 정보
- Supply chain관련, After market 지원 정보 등
