차량의 사이버 보안은 현대 자동차 산업에서 매우 중요한 이슈로 떠오르고 있습니다. 특히, UN R155 법규는 이러한 필요성에 따라 사이버 보안을 규제하기 위해 등장했으며, 이 과정에서 CoP(Conformity of Production)와 Post-Market Surveillance가 중요한 개념으로 다뤄지고 있습니다. 이번 글에서는 이 두 개념의 차이점과 관련된 의문을 명확히 해보겠습니다.
CoP(Conformity of Production)란?
CoP는 생산 적합성 평가로, 차량이 승인된 설계와 규격에 맞춰 일관성 있게 생산되고 있음을 보장하기 위한 절차입니다. 이 과정은 주로 생산 단계에서 품질 관리 시스템을 통해 이루어지며, 생산된 차량이 초기 형식 승인 시 충족했던 요구사항을 지속적으로 만족하는지를 확인합니다. CoP의 핵심은 생산 과정의 일관성과 규정 준수를 보장하는 데 있습니다. 이는 시장에 출시되기 전까지의 제품 품질을 관리하고, 형식 승인 시 규정된 기준과 일치하는지를 점검합니다.
Post-Market Surveillance란?
Post-Market Surveillance(사후 시장 감시)는 차량이 시장에 출시된 이후에도 제품의 성능과 안전성을 지속적으로 모니터링하는 활동입니다. 이는 차량이 실제 사용 환경에서 예상치 못한 사이버 보안 위협이나 취약점에 노출될 수 있기 때문에 중요한 과정입니다. 이를 통해 제조업체는 새로운 위협을 감지하고, 소프트웨어 업데이트나 리콜과 같은 대응책을 마련하여 사이버 보안을 유지할 수 있습니다. Post-Market Surveillance는 출시 후에도 차량의 보안성을 보장하기 위해 지속적인 관리가 필요하다는 점에서 CoP와 차이가 있습니다.
UN R155 법규가 등장하기 전에는 대부분의 UNECE 형식 승인 법규에서 사후 시장 감시(Post-Market Surveillance)에 대한 구체적인 요구사항이 없었습니다. 전통적으로 UNECE 법규는 차량의 초기 형식 승인에 중점을 두었으며, 그 후 생산이 승인된 표준에 맞게 이루어지는지 평가하는 CoP(Conformity of Production)가 주요 요구사항이었습니다.
하지만 차량의 복잡성이 증가하고 사이버 보안의 중요성이 대두되면서, 단순한 생산 적합성 확인(CoP)을 넘어서 사후 시장 감시의 필요성이 제기되었습니다. UN R155는 이와 같은 배경에서 등장하여, 시장에 출시된 후에도 사이버 보안 유지와 관련된 지속적인 감시 및 관리를 규정에 포함시킨 최초의 법규 중 하나로 평가받습니다. 이를 통해 제조업체는 출시 후에도 보안 위협에 대응하고 차량의 안전성을 보장해야 합니다.
CoP와 Post-Market Surveillance 차이
CoP는 생산 단계에서의 규정 준수와 일관성을 보장하며, Post-Market Surveillance는 차량이 시장에 출시된 이후 지속적으로 보안성을 유지하도록 합니다. 특히, UN R155 법규는 이러한 프로세스를 통해 사이버 보안의 전체 생명 주기를 다룹니다.
CoP(Conformity of Production)는 시장 출시 후의 감시 활동으로 보일 수 있지만, 본질적으로는 그렇지 않습니다. CoP는 제품이 시장에 출시되기 전에, 즉 생산 단계에서 제조업체가 규정에 따라 승인된 제품과 동일한 품질과 성능을 유지하도록 보장하는 절차입니다. 시장에 출시된 후엔 출시 전 검증됐던 품질대로 꾸준히 생산하고 있는지를 점검 받는 것입니다. 이는 생산이 일관되게 규정을 충족하도록 품질 관리 시스템을 통해 관리되며, 형식 승인 당시의 기준과 일치하는지 확인하는 데 중점을 둡니다.
반면, 사후 시장 감시(Post-Market Surveillance)는 차량이 시장에 출시된 후에도 지속적으로 제품의 성능과 안전성을 모니터링하는 활동입니다. 이 과정에서 예상치 못한 위협이나 리스크를 식별하고 대응함으로써, 차량의 사이버 보안과 안전성을 유지하는 것을 목표로 합니다.
즉, CoP는 생산 중 규정 준수와 품질 보장을 다루는 반면, 사후 시장 감시(Post-Market Surveillance)는 필드에서의 차량을 모니터링하고, 새로운 위협에 대한 대응책을 마련하는 출시 후의 활동입니다. 따라서 CoP와 사후 시장 감시는 목적과 적용 시점에서 차이가 있다고 할 수 있습니다.
추가로 보면 좋은, UN R155 법규의 KBA(독일 인증당국) 요구사항
특히, 독일 인증당국인 KBA의 문서 application of the desination rules(UN R155/156)을 살펴보면,
B 2.3.2 Minimum scope of the document review according to UN-R 155
B 2.3.3 Minimum scope of the document review according to UN-R 156
챕터에 최소한의 감사항목을 명시해놓고 있습니다. 이 항목들 중 *표시된 것이 surveillance audit에 봐야 하는 주요 항목입니다. 막상 Surveillance audit를 수행해보면, 'Continuous cybersecurity activities'와 'Market surveillance in respect of CS' 내용은 상당히 겹치는 주제라는걸 알 수 있습니다. 그러나, 핵심은 두 항목 모두 지속적인 사이버 보안 활동을 중요하게 보고 있다는 점입니다.
결론
UN R155 법규는 차량의 전체 수명 주기 동안 사이버 보안을 보장하기 위해 CoP와 Post-Market Surveillance를 요구합니다. CoP는 생산 단계에서 일관성을 보장하는 반면, Post-Market Surveillance는 차량이 출시된 후에도 지속적인 보안을 유지하도록 합니다. 두 개념은 목적과 적용 시점에서 다르지만, 함께 차량 사이버 보안의 포괄적인 접근을 제공합니다.
이 글이 UN R155 법규와 그 안에서 CoP와 Post-Market Surveillance의 차이를 이해하는 데 도움이 되기를 바랍니다. 추가적인 질문이나 궁금한 점이 있으면 언제든 댓글로 남겨주세요!
'스터디 노트' 카테고리의 다른 글
| 자동차 산업에서의 사이버보안 이해하기 (1) | 2024.10.24 |
|---|