융합보안논문지 (Convergence Security Journal)

  • 제22권5호
  • /
  • Pages.49-59
  • /
  • 2022
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지
DOI QR코드

DOI QR Code

자동차 공급망 참여기업 대상 사이버보안 관리체계 구현 평가모델설계 (ISO/SAE 21434 표준 및 TISAX 평가 요구사항을 기반으로)

Designing an evaluation model for cyber security management system implementation for companies participating in the automobile supply chain (based on ISO/SAE 21434 standard and TISAX assessment requirements)

  • 백은호 (중앙대학교 대학원 융합보안학과 산업보안전공)
  • 투고 : 2022.12.11
  • 심사 : 2022.12.31
  • 발행 : 2022.12.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

자동차 분야의 사이버보안은 자동차 생애주기 중 핵심적인 요소로서 전 세계적으로 사이버보안 평가 기준이 강화되고 있다. 또한 자동차의 설계 및 생산을 수행하는 제조사만이 아니라 복잡한 컴포넌트와 다양한 부품으로 이루어진 자동차의 특성상 전체 공급망에 참여하는 기업들의 사이버보안 관리체계 구현 수준이 평가되고 관리되어야만 사이버보안의 안전성을 확보할 수 있다. 이에 본 연구에서는 자동차 사이버보안을 평가하는 대표적인 기준인 ISO/SAE 21434와 TISAX의 요구사항을 분석하여 총 7개 영역, 54개 사이버보안 관리체계를 평가할 수 있는 항목을 도출하였고 이를 국내/외 기업 보안담당자 및 유관 전문가 대상으로 진행한 설문조사를 통해 우선순위 및 업종에 따른 적합성, 타당성 검토를 거쳐서 6개 영역, 45개 평가 기준을 도출하여 최종 평가항목으로 제시하였다. 본 연구는 자동차 공급망에 참여하는 기업이 ISO/SAE 21434와 TISAX 전반의 통제 프로세스를 일률적으로 도입하기 전에 우선 적용하여 해당 기업의 현재 사이버보안 관리 수준을 평가할 수 있는 모델을 제시했다는 점에서 연구로서의 의의가 있다고 할 수 있다.

Cyber security in the automobile sector is a key factor in the life cycle of automobiles, and cyber security evaluation standards are being strengthened worldwide. In addition, not only manufacturers who design and produce automobiles, but also due to the nature of automobiles consisting of complex components and various parts, the safety of cybersecurity can be secured only when the implementation level of the cybersecurity management system of companies participating in the entire supply chain is evaluated and managed. In this study, I analyzed the requirements of ISO/SAE 21434 and TISAX, which are representative standards for evaluating automotive cybersecurity. Through a survey conducted on domestic/overseas company security officers and related experts, suitability and feasibility were reviewed according to priorities and industries, so 6 areas and 45 evaluation criteria were derived and presented as final evaluation items. This study is meaningful as a study in that it presented a model that allows companies participating in the automotive supply chain to evaluate the current cybersecurity management level of the company by first applying ISO/SAE 21434 and TISAX overall control processes before uniformly introducing them.

키워드

1. 서론

최근 몇 년 동안 자동차 산업분야의 4차 산업 혁명이라 일컬을 수 있는 스마트 자동차에 대한 사이버보안이 핵심 이슈로 떠오르고 있다. 기존 오프라인으로 연결되던 자동차 내 컴포넌트 및 각종 부품이 차량의 전자화가 광범위하게 이루어지며 이제는 대부분의 기능이 ECU와 연결된 컴퓨터에 의해 제어되는 방식으로 진화하고 있다.[1]

이에 따라 IATF 16949, ISO 26262 등 자동차의 품질과 안전에 대한 국제적인 요구사항 외에 차량의 라이프사이클 중심의 사이버보안 표준인 ISO/SAE 21434 및 유럽 자동차 제조사를 중심으로 공급망 자체의 사이버보안에 대한 수준을 평가하는 TISAX와 같은 국제 기준이 자동차 산업분야 사이버보안 표준으로 요구되고 있다.

특히, UNECE(유럽경제위원회)는 2022년 7월 이후 신규 차량이 형식 승인을 요청하는 경우, 사이버보안에 대한 적합성을 요구하고 있어, 향후 유럽에 자동차를 수출하고자 하는 모든 완성차 업체를 포함한 모든 전장부품 업체는 해당 사이버보안 표준에 대한 적합성을 인증받아야 제품에 대한 형식 승인이 가능하며, 이러한 요구사항은 유럽을 시작으로 전 세계로 확대되고 있다.(UNECE WP. 29, 2018)

상대적으로 규모가 크고 잘 관리되어 온 차량 제조사 자체의 사이버보안 관리체계는 ISO/SAE 21434 및 TISAX 등 국제기준 인증을 회사 내 준용하여 운영이 가능하지만 다수의 부품공급사는 급변하는 자동차 산업의 사이버보안 강화에 대한 요구사항을 충족시키기에는 짧은 준비기관과 전문가 부재로 국내외 자동차 공급망 참여 업계에 GDPR 이상의 충격을 줄 것으로 예상된다.

그에 따라 본 연구에서는 ISO/SAE 21434 및 TISAX의 요구사항을 기본으로, 자동차 공급망 참여 업계에서 실질적으로 우선 도입하여 운영이 가능한 사이버보안 관리쳬계의 표준평가 모델을 수립하여 제시하고자 한다.

2. 이론적 배경과 선행연구

2.1 자동차 환경의 변화

오늘날 대부분의 자동차는 약 70% 이상의 ECU(Electronic Controller Unit)을 사용하고 있으며, 이러한 ECU는 차량 내에서 CAN, Ethernet 등을 토대로 통신하고 있다. 최근 차량 통신기술의 하나인 Vehicle-to-vehicle (V2V), Vehicle–to- infrastructure (V2I) 을 기반으로 차량과 인터넷 통신을 내장한 모뎀/블루투스와 연결된 핸드폰 등을 기반으로 운영되며 이와 같은 Connected vehicle technology는 스마트폰과 태블릿 PC와 같은 외부 디바이스와 연결성을 증대시키고 있다.

프리미엄급 자동차에는 70~100 개의 ECU (Electronic Control Unit)에서 실행되는 1억 줄 이상의 프로그래밍 코드가 포함되어 있는 것으로 추산되고 있으며, 이 숫자는 가까운 장래에 2억 ~ 3억 줄로 증가할 것으로 예상되어, 미래의 차량은 잘못된 통합이나 사람의 실수로 인해 잠재적인 취약성이 많은 매우 복잡한 기계임을 의미한다(Matan Levi, Yair Allouche, and Aryeh Kontorovich, 2017).

SOBTCQ_2022_v22n5_49_2_f0001.png 이미지

(그림 1) V2X 통신 구성(www.epdtonthenet.net)

2.2 스마트 자동차 구성

스마트 자동차는 수많은 부품으로 이루어져 있으며 그에 따른 각 분야는 아래와 같은 카테고리로 구분되고 있고, 각각의 카테고리에서 사용하는 프로토콜은 아래와 같다.(EINSA, 2016).

<표 1> 스마트 카의 High-level 구성 개념도

SOBTCQ_2022_v22n5_49_2_t0001.png 이미지

대부분의 스마트 자동차는 다양한 역할을 하는 ECU로 구성되어 있으며, 각 ECU는 Gateway ECU를 통해 상호 통신을 수행한다. 그에 따라 각 모듈 및 기능별 전장 부품들은 ECU를 통해 제어하게 되고 필요 정보를 교환하고 있다.(EINSA, 2016)

SOBTCQ_2022_v22n5_49_3_f0001.png 이미지

(그림 2) 스마트 카의 High-level 구성 개념도

이러한 스마트카의 특성상, 다양한 사이버보안 위협이 존재하며, 해당 위협에 노출될 위험도는 시간이 갈수록 증대되고 있다. 하지만, 자동차 시스템의 특성에 따라 이러한 위험을 사전에 통제하는 것은 쉽지 않으며 많은 자원을 필요로 한다.

2.3 ISO/SAE 21434

UNECE(United Nations Economic Commision for Europe)는 1947년 유럽공동체의 경제적 협력과 구축을 위해 구성된 경제사회적 회의체로 그에 속한 포럼 중 WP.29는 자동차, 장비 및 부품에 대한 형식 승인 및 상호 인증 프로세스를 정의하는 포럼으로 세계에서 가장 큰 국제 차량 규제 시스템을 구성하고 있다.

2020년 6월 WP.29에서는 자동차 사이버보안에 관련한 법규인 UN Regulation No.155 : Cybersecurity Regulation을 채택하였으며 자동차 사이버 보안의 생명주기 내에서 사이버보안의 모니터링, 통제, 업데이트를 지원 가능한 일관된 관리체계를 요구하고 있으며 이에 필요한 요구사항을 설계 단계부터 충족하도록 사이버보안 관리체계를 수립하고 적용해야 한다. 이는 차량 제조사에 대해서만 국한된 것이 아니고, 차량 부품을 공급하는 많은 협력사들까지 포함된다.

ISO/SAE 21434는 이러한 차량 생명주기 내에서의 사이버보안 요구사항에 대해 정의하고, 관리체계 구축 및 운영을 위한 국제표준으로 ISMS(Information Security Management System)에서처럼 기업의 사이버보안 정책과 조직 구성 등, 거버넌스에 대한 요구사항을 포함하며, 이에 추가로 차량의 기획, 연구개발, 설계, 제조, 출하, 유지관리, 폐기 단계에서 발생 가능한 사이버 공격이나 공격에 대한 위험 발생 확률을 감소시키기 위한 요구사항으로 구성되어 있다.

SOBTCQ_2022_v22n5_49_3_f0002.png 이미지

(그림 3) ISO/SAE 21434 구성도

2.4 TISAX(Trusted Information Security Assessment eXchange)

독일 자동차산업협회(VDA: Verband der Automobilindustrie)는 유럽 자동차 제조사를 중심으로 운영되는 자동차 산업분야의 대표적인 협회로 자동차 산업에서 다양한 사이버보안에 대한 요구 사항이 증대함에 따라, ISO/IEC 27001을 기반으로 자체 공급망 사이버보안 수준 평가 체크리스트(VDA ISA Checklist)을 개발하고, 자동차 제조사는 공급망 참여 기업 간 안전한 네트워크 내에서 정보교환을 하기 위하여, 해당 체크리스트를 활용한 TISAX 평가 결과를 부품, 컴포넌트 공급사에게 요구하고 있다.

VDA ISA Checklist는 ISO/IEC 27001 규격 요구사항을 기반으로 자동차 산업분야 공급망 사이버보안 수준을 평가하기 위한 세부 요구사항을 적용하고 있으며, 정보보호, 프로토타입 보호, 데이터 보호 세 개의 영역으로 구성되어 있다. (TISAX participants handbook, 2021)

SOBTCQ_2022_v22n5_49_4_f0001.png 이미지

(그림 4) TISAX Compliance Guide

2.5 그 밖의 자동차 사이버보안 기준

1) ISO 26262 Road Vehicles – Functional Safety 표준은 승용차, 트럭, 버스 및 모터사이클 등 모든 차량에 대한 안전 요구사항으로 안전 기능 중심의 표준이며 Annex E에는 사이버보안 중심의 안전 기능에 대한 요구사항이 포함되어 있다.

2) 미국 고속도로 교통안전국(NHTSA : National Highway Traffic Safety Administration)는 기존 Cybersecurity Best Practices for Modern Vehicles(2016)을 발전시켜, ISO/SAE 21434와 유사한 Best practice draft를 발표하였으며, 이는 자체 평가를 기준으로 자동차 분야 기업의 사이버 보안 평가를 수행한다.

3. 자동차 사이버보안 관리체계 평가 모델 개발

3.1 사이버보안 관리체계 평가 범위 선정

앞서 확인한 선행 연구에 따르면 자동자 분야 사이버보안 관리체계는 요구사항이 방대하고, 기업의 규모와 업종을 고려하지 않은 요구사항으로 이루어져 있다. 그에 따라 본 연구에서는 사이버보안 관리체계를 평가 영역별로 구분하고, 대표적인 평가 기준인 ISO/SAE 21434와 TISAX VDA ISA Checklist에서 요구하는 기본적 요구수준을 충족시킬 수 있는 항목을 설계하고자 아래와 같이 영역을 분류하였다.

1) 관리체계 영역 : 사이버보안 거버넌스, 목표, 전략, 정책, 컴플라이언스 등의 대응을 위한 평가 영역

2) 조직관리 영역 : 조직구성, 역량, 역할과 책임 정의, 사이버보안 문화 구축, 조직 구성원 책임 및 의무 사항 등의 대응을 위한 평가 영역

3) 위험관리 영역 : 사이버보안 위험 관리 방법론, 위험 식별 및 평가, 위험처리, 취약점 관리, 정보자산 관리 평가 등의 대응을 위한 평가 영역

4) IT보안관리 영역 : IT시스템에 대한 관리, 멀웨어 대응, 이동식 저장장치 관리, 어플리케이션 관리 등의 대응을 위한 평가 영역

5) 개발보안관리 영역 : IT어플리케이션 및 제품 개발관리, 변경관리, 클라우드 등 외부 서비스 관리, 보안 제품에 대한 보안관리 등의 대응을 위한 평가 영역

6) 물리보안관리 영역 : 보호구역 관리 및 방문자 통제, 자산 반출입 관리 등의 대응을 위한 평가 영역

7) 협력사관리 영역 : 협력사 보안 관리, 중요 정보의 유통 및 폐기 등의 대응을 위한 평가 영역

3.2 사이버보안 관리체계 평가 모델 설계

앞에서 분류된 영역에 따라 ISO/SAE 21434와 TASAX VDA ISA Checklist 유구사항을 비교 분석하여 본 연구의 목표인 자동차 사이버보안 관리체계 구현 평가모델 항목을 총 7개 영역, 54개 항목으로 다음과 같이 도출하였다.

<표 2> 사이버보안 관리체계 구현 수준 평가 항목

SOBTCQ_2022_v22n5_49_4_t0001.png 이미지

4. 평가모델 검증

4.1 평가항목 적합성 및 타당성 검증

도출한 평가항목에 대한 필요성과 타당성을 검증하기 위해 다수의 국내/외 기업 보안담당자 및 관련 분야 전문가 대상으로 이메일 발송후 자기기입식 응답으로 회신을 받는 설문을 실시하여 총 30명의 유의미한 데이터를 최종 확보하였다. 연구 결과 도출된 항목에 대해 평가항목의 중요도를 5점 리커트 척도로 응답하게 하였고, 필요한 업종(IT운영, 연구개발, 부품제조)을 선택하도록 하였다. 또한 응답자 특성 분석을 위해 근무 경력과 직무, 기업의 업종과 규모를 질문하였다.

선정된 설문 응답자 30명의 특성은 다음과 같다.

<표 3> 설문조사 응답자 특성(1)-업무경력

SOBTCQ_2022_v22n5_49_6_t0002.png 이미지

<표 4> 설문조사 응답자 특성(2)-소속기업의 업종

SOBTCQ_2022_v22n5_49_6_t0003.png 이미지

<표 5> 설문조사 응답자 특성(3)-응답자의 담당업무

SOBTCQ_2022_v22n5_49_6_t0004.png 이미지

<표 6> 설문조사 응답자 특성(4)-응답자의 직책

SOBTCQ_2022_v22n5_49_7_t0001.png 이미지

<표 7> 설문조사 응답자 특성(5)- 직원 수

SOBTCQ_2022_v22n5_49_7_t0002.png 이미지

총 54개 평가 항목에 대한 필요성 응답 확인 결과 대부분의 항목이 3점 이상의 필요성을 나타내었으며, 특히 IT보안관리 영역의 ‘네트워크 방화벽 설치 및 관리’, ‘안티바이러스 설치 및 관리’ 항목, 위험관리 영역의 ‘보안업데이트 관리’ 항목이 가장 높았다.

또한 54개 평가항목에 대한 리커트 척도(1-5점) 응답 결과를 분석해 보면 항목별 평균은 3.53~4.90, 표준편차 범위는 0.4~0.95로 나타남을 확인할 수 있어 전체 항목 중 타 항목에 비해 편차가 심하지 않다는 것을 확인할 수 있다.

다음으로 신뢰도 검증을 위해 문항 내적 일치도(Internal consistency)를 구하기 위해 Cronbach’ α 값을 계산하였다. 도출된 30개 설문항목의 응답에 대한 Cronbach’ α 값은 0.881로 나타났으며, 이에 따라 각 설문항목은 신뢰도가 높다고 판단할 수 있다.

조사 결과에서 특징적인 것은 물리보안관리 영역 중 ‘물류 보안관리’ 항목, 위험관리 영역중 ‘사이버 보안 위험관리 방법 결정’ 항목, IT보안관리 영역의 ‘정보 전달 시 암호화’ 항목의 필요성이 상대적으로 낮은 것으로 평가되었다.

사이버보안 평가 항목들의 필요성 및 타당성 검토 후에 집단 특성에 의한 통계적 유의성을 추가적으로 분석하였다.

설문 조사결과, 도출한 54개 평가항목 모두 사이버보안 관리체계 구현 수준 평가에 필요한 항목이라고 답변되었지만, 응답 결과 4점 미만인 항목은 우선순위 “중”, 4점 이상은 “상”으로 우선순위를 표기하였고, 그 결과 45개의 평가항목이 “상” 우선순위로 나타났다.

<표 8> 설문조사 답변 평균 및 우선순위

SOBTCQ_2022_v22n5_49_7_t0003.png 이미지

4.2 최종 평가항목 선정

자동차 분야 사이버보안 관리체계 구현 수준 평가모델을 위한 최종 평가 항목은 업종별, 규모별로 분류하여 적용하면 아래와 같다.

※ 응답 우선순위가 ‘상’이면서 필요도 응답 ‘80%(24명) 이상인 항목만 채택

<표 8> 설문조사 답변 평균 및 우선순위

SOBTCQ_2022_v22n5_49_9_t0001.png 이미지

5. 결론

자동차 분야 사이버보안 관리체계 구축 수준 평가는 전 세계적으로 범위가 확대되고 요구사항이 강화되고 있으며, 각 공급사의 규모와 업종에 관계없이 의무사항으로 요구되고 있다. 또한, 해당 기준을 충족하기 위해서는 많은 시간과 자원이 투입되고, 장시간 동안 기업 환경에 내재화가 되어야 한다.

본 연구는 현재 대표적인 평가 기준인 ISO/SAE 21434와 TISAX 의 요구사항에 대한 구현을 완벽하게 준수하는 기준이 아니라, 공급망에 참여하는 각 기업들이 기본 수준을 자체적으로 평가하고, 향후 공식적인 인증을 획득하기 위한 기반 환경 구축을 위한 도구로 활용이 가능한 사이버보안 관리체계 구현 모델을 제시하고자 하는 필요성에 의해 시작하였다. 그에 따라, 선행연구를 통해 자동차 분야 사이버보안 관리체계 평가기준을 종합하여 반드시 필요한 평가 항목을 추출하고, 30명의 전문 집단의 설문조사를 통해 타당성과 적합성을 검증한 결과, 총 45개의 항목이 결정되었으며, 기존 ISO/SAE 21434와 TISAX 평가 요구 사항을 기준으로 보안 영역별로 자체 평가 가능한 모델이 완성되었으며, 이는 자동차 공급망 참여 기업의 사이버보안 관리체계 구현 수준 평가를 위한 시간과 자원을 절약하고, 사이버보안 수준 향상을 위한 계획 수립에 기초자료를 제공하는 연구로서 의의가 있다고 할 수 있다.

참고문헌

  1. Zhendong Ma and Christoph Schmittner (2016), Threat Modeling for Automotive Security Analysis, Advanced Science and Technology Letters ,Vol. 139, 334-335. 
  2. EINSA,(Dec. 2016), "Cyber Security and Resilience of smart cars" 
  3. ALJOSCHA LAUTENBACH (2016), On Cyber-Security for In-Vehicle Software, CHALMERS UNIVERSITY OF TECHNOLOGY, 5. 
  4. Christoph Schmittner and Georg Macher (2019), Auto motive Cybersecurity Standards - Relation and Overview, 4-6. 
  5. Matan Levi,Yair Allouche, and Aryeh Kontorovich (2017), Advanced Analytics for Connected Cars Cyber Security, 2. 
  6. Stefan Marksteiner and Zhendong Ma (2019), Approaching the Automation of Cyber Security Testing of Connected Vehicles," 1. 
  7. Florian Sommer, Jurgen Durrwang, and Reiner Kriesten (2019), Survey and Classification of Automotive Security Attacks, 17-18. 
  8. Jay Kennedy, Thomas Holt & Betty Cheng(2019), Automotive cybersecurity: assessing a new platform for cybercrime and malicious hacking, JOURNAL OF CRIME AND JUSTICE Vol 42, 638. 
  9. UNECE(2018), Draft recommendation on Cyber Security of the task force on cyber security and over-the-air isses of UNECE WP.29 GRVA. 
  10. Christoph Schmittner, Georg Macher (2020), A Preliminary View on Automotive Cyber Security Management Systems, Conference paper, 3 
  11. W. Kerber and D. Moeller (2019), "Access to data in connected cars and the recent reform of the motor vehicle type approval regulation. 
  12. UNECE WP.29 GRVA, Draft recommendation on cyber security of the task force on cyber security and over-the-air issues of unece wp.29 grva., https://wiki.unece.org/pages/viewpage.action?pageId=60362218, 2022-10-21 
  13. Escrypt(2019), Security Special2019/2020, 4 
  14. ENX(2021), Participants handbook, https://www.enx.com/handbook/tisax-participant-handbook.html 
  15. Escrypt(2019), Cybersecurity full speed ahead2019/2020, 4 
  16. ENISA, 2019, good practices for security of Smart Cars 
  17. ENISA, 2016, Cyber Security and Resilience of smart cars 
  18. Christof Ebert, Jerome John, 김승훈, 2022, ISO 21434 통한 실질적 사이버 보안 대응, Automotive Electronics Magazine 
  19. Navigating New Automotive Cybersecurity Regulations, ESCRYPT 
  20. VDA ISA Checklist 5.0(2021), ENX 
  21. TISAX Participants handbook(2021), ENX 
  22. ybersecurity Best Practices for Modern Vehicles(2016), NHTSA