오늘날의 자동차는 복잡한 소프트웨어 중심 기계가 되었습니다. 최신 자동차 한 대에는 최대 150개의 ECU와 1억 줄 이상의 소프트웨어 코드가 포함될 수 있습니다. 이 숫자는 2030년까지 3억 줄로 급증할 것으로 예상된다고 합니다. 자동차 한 대에 포함된 소프트웨어 코드의 양은 페이스북에 쓰이는 코드의 양이 6200만 줄인 것에 비하면 상당히 많다는 것을 알 수 있죠. 또한, 보잉 787 같은 항공기 같은 대규모 시스템과 비교해도, 자동차는 훨씬 복잡한 소프트웨어를 운영하고 있다고 합니다.
차량 소프트웨어가 증가가 사이버보안에 미치는 영향
방대한 양의 소프트웨어가 자동차에 내장되면서, 자연스럽게 오류나 버그, 취약점이 발생할 가능성도 증가하는 데요. 이는 단순한 가정이 아닙니다. 소프트웨어 하나가 잠재적 공격지점이 되고, 해커들이 이런 취약점을 악용할 경우 안전문제, 프라이버시 침해, 차량 오작동 등 심각한 결과를 초래할 수 있습니다.
자동차 산업은 사이버보안 대응을 어떻게 하고 있나?
이러한 위험을 인식한 자동차 산업은 사이버보안 문제을 해결하기 위해 적극적 조치를 취하고 있습니다. 자동차 산업은 사이버보안과 관련된 법규, 전용표준, 모범사례, 지침 등이 개발되었고, 이를 통해 자동차에 내장된 소프트웨어의 취약점을 줄이기 위한 노력을 계속 하고 있습니다.
대표적인 사이버보안 법규에는 UN R155가 있고, 표준으로는 ISO/SAE21434가 있습니다. 이 법규와 표준은 차량의 설계부터 폐기까지의 전체 수명 주기 동안 사이버보안이 어떻게 다루어져야 하는지에 대한 지침을 제공합니다. 이는 기술적 측면뿐 아니라 조직의 프로세스 개선과 변화를 강조합니다. 개인적으로도 일하면서 사이버보안을 제대로 관리하려면 프로세스의 역할이 굉장히 크다는 것을 느끼고 있습니다.
자동차 사이버보안을 위한 프로세스 및 조직
이러한 사이버보안 법규와 표준을 준수하기 위해, 자동차 회사들은 내부 프로세스와 조직에 큰 변화를 도입하고 있습니다. 개발팀은 개발주기 전반에 걸쳐 사이어보안 테스트를 통합하고 있고, 초기 설계 단계부터 최종배포까지 사이버보안 위험을 지속적으로 관리하려는 노력을 하고 있습니다. 또한, 많은 기업들이 사이버보안 전담 부서를 만들어 지속적으로 사이버보안 관련 정보 및 이벤트(이슈)를 모니터링하고 관리하는 시스템을 구축하고 있습니다.
UN R155의 경우, 조직의 사이버보안 관리 시스템인 CSMS 에 대한 인증을 받지 않으면 형식인증(Type approval)을 받을 수 없는 요구사항을 가지고 있습니다. 즉, UN R155와 관련해서는 CSMS 인증서(프로세스 인증서)와 Type approval(제품인증서) 두 개가 존재하는 것인데요. 이러다 보니 신설되는 사이버보안 조직 내에서도 활동에 따라 여러 팀으로 세분화될 수 있습니다. 지속적으로 CSMS를 관리하는 팀, CSMS에 따라 모니터링되는 이벤트들을 관리하는 팀, 차량별 사이버보안 type approval을 지원하는 팀등 조직은 본인들이 정한 CSMS Framework에 따라 사이버보안 업무를 원하는 만큼 세분화할 수 있습니다. 한 가지 확실한 것은 새로 도입되는 자동차 사이버보안 법규 대응을 위해 많은 리소스가 필요하며 조직 내 모든 팀(구매, 개발, 평가 등)과의 협력이 필요하다는 것이죠. 개인적으로 사이버보안을 회사의 모든 프로세스에 잘 녹여 사이어보안 이벤트에 관련된 많은 팀들이 액티브하게 대응할 수 있게 하는, 살아있는 CSMS를 가진 조직을 보는 것이 희망사항이기도 합니다. 너무 이상적이긴 하지만요,,ㅎㅎ
자동차 산업이 직면한 챌린지
많은 조직이 우선 사이버보안 관리 시스템을 구축하는 것을 목표로 하고 있지만, 그 외에도 많은 과제가 남아 있습니다. 사이버보안 관련 설문조사를 통해서도, 확실히 팀 간 사이버보안 통합에 대한 어려움, 사이버보안 전문 지식의 부족, 그리고 빠르게 변화하는 사이버 위협 환경에 적응하기 위한 노력등이 주된 문제로 나타났다고 합니다.
이번 편 정리
결론적으로, 자동차 산업은 소프트웨어 코드의 양이 폭발적으로 증가함에 따라 심각한 사이버보안 문제에 직면해 있다고 볼 수 있습니다. 하지만, 업계 법규 및 표준과 조직변화, 새로운 사이버보안 솔루션을 도입함으로써 이러한 위험을 관리하는 노력을 수행하고 있습니다.
앞으로 차량에 더 많은 소프트웨어가 추가될 수록 사이버보안은 더욱 중요해질 텐데요. 그러면 어떻게 대응하고 준비해 사이버보안 위협으로부터 안전한 차량을 만들 수 있을지 앞으로의 글에서 다뤄볼 예정입니다.
'스터디 노트' 카테고리의 다른 글
| UN R155 법규에서 CoP와 Post-Market Surveillance의 차이 (3) | 2024.11.13 |
|---|