자동차 사이버 보안 법규 : VTA 인증

 

본 내용은 현대자동차 임근철 팀장님의 사이버보안 VTA 세미나 내용입니다. (2023-04-20)

개요

• 차량 사이버보안 법규 개요 (UN R-155)
• UN R-155 VTA 법규 내용 및 목적
• UN R-155 법규 기타 조항
• 결론 및 시사점
• UN R-155 법규에 기반한 차량 사이버보안 개발 프로세스

 

 

차량 사이버 보안 법규 개요

• UNECE 주관 차량 사이버보안 법규가 제정되었으며, 유럽(중동 일부 포함) 및 일본에 발효되었음
  • 국내, 중국, 인도 등에도 법규 발효 예정이며, 가이드라인을 발표한 북미도 법규 제정 움직임 있음
  • 보안 법규 만족을 위해서는 다음의 (1) CSMS, (2) VTA 인증을 취득하여야 함 (인증 불만족 시 차량 판매 불가)

구분	(1) CSMS (차량 사이버보안 관리 체계)	(2) VTA (차량 형식 승인)
적용 시점 (유럽 기준)	신차 : '22.7/6 (인증 시점), 기존차 : '24.7/7 (소비자 등록 시점)
인증 주기	3년마다 갱신 (제조사별 인증) [3년 미 경과 시에도 CSMS 변경 시 재 인증 필요]	차종별 인증 [신차 필수, PE/개조/MY는 E/E 아키텍처 변경 시]
법규 내용	제조사의 차량 사이버보안 정책, 조직 및 프로세스 인증 (법규 조항 7.2. Requirements for CSMS) - 개발 이후 전 Lifecycle 차량 보안 정책 (개발/양산/양산 후 단계) - 차량 사이버보안 조직, 정책, R&R - 프로세스 (보안 위협 분석, 보안 기술 개발/평가, 사고 대응 등) - 협력 사(Tier, 서비스 공급사) 관리 등	해당 차종의 보안 기술 및 평가 결과 인증 (법규 조항 7.3. Requirments for vehicle types) - 차량 보안 위협 분석 및 대응 방안 처리 결과 - 보안 기술 적용 현황 및 시험 결과 - 애프터마켓 S/W, 서비스, Data 등에 대한 보안 - 차량 사이버 공격 및 위협에 대한 모니터링 - 사용되는 암호화 알고리즘에 대한 국제 표준 준수 여부

 

=> 사이버보안 관련 정책, 조직, 프로세스(CSMS)를 수립하여 정의된 CSMS에 따라 차량을 개발하고, 현존 최고 수준의 보안 대책(state of the art)을 적용하며 지속 발전하는 공격 위협에 대처할 수 있어야 함.

 

 

UN R-155 VTA 법규 내용 및 목적

• 7.3.1. 법규 내용
  • VTA 인증을 위해서는 CSMS 인증서를 획득해야 함.
  • 24.7/1 이전 인증 차종의 경우, CSMS를 따라 개발될 수 없었다면 사이버보안을 충분히 고려하여 개발되었음을 입증하여야 함.
  • 법규 목적
    • 인증 받은 제조사의 CSMS에 따라 차량 개발이 이루어져야 함.
    • CSMS를 따르지 못할 경우, 충분히 사이버보안을 고려하였음을 입증 필요(24.7/1 이전 승인 차량)
• 7.3.2. 법규 내용
  • 협력사의 사이버보안 위험을 식별하고 관리해야 함.
  • 법규 목적
    • 협력사에서 획득한 사이버보안 위험에 대한 정보를 공유 받아 식별 및 관리해야 함.
      (개발 시 발견된 보안 취약점 + 양산 후 보안사고 정보)
  • 제출 자료
    • 제조사, 협력사 간 사이버보안 관련 계약서 (사이버보안 위험 정보 취급에 대한 내용 포함)
    • 협력사 CSMS 점검 수행 결과
• 7.3.3. 법규 내용
  • 차량의 중요 요소를 식별하고 위험 평가를 수행하여 확인된 위험을 처리 해야 함
  • 위험 평가는 차량 및 외부 시스템 연동을 포함해야 함
  • 위험 평가 시, Annex5 Part A에 포함된 모든 위협 및 그 외에 추가 확인된 위험 고려
  • 법규 목적
    • 중요 요소 기준
      • 차량 안전(구동, 변속, 조향, 제동, ADAS 등), 환경 보호(배기가스 등), 도난 방지(출입, 시동), 커넥티비티(차량 외부 유/무선 통신), 게이트웨이, Back-end 등
    • 차량 및 외부 시스템에 대한 TARA 실시 필요 (ISO/SAE 21434 표준 기반)
    • Annex 5 Part A에 정의된 모든 위협 뿐 아니라 신규 발견된 위협을 모니터링하며 위험 평가 필요
  • 제출 자료
    • 차량 중요 요소 리스트 및 선정 사유, 차량 E/E 아키텍처, 중요 요소 TARA 수행 결과
    • 위험 평가 시, Annex 5 Part A를 모두 포함했으며 추가 확인된 위험도 고려됨을 입증
    • 위험 처리 시 위험 수용 항목, 의사결정 사유 및 증적 자료
• 7.3.4. 법규 내용
  • 위험 평가 결과에 따라 식별된 위험에 대해 적절한 위험 완화 방법이 적용되어야 함
  • 구현된 완화 조치에는 Annex5 Part B, C에 언급된 모든 완화 조치가 포함되어야 함
  • Annex5 B,C가 충분치 않을 경우 적절한 완화 주치가 구현되어야 함
  • 24.7/1 이전 인증 받은 차종의 경우, Annex5 Part B,C가 (개발 기간 부족으로) 구현될 없다면 적절한 보안 대책을 구현해야 하고, 기술적 타당성을 입증해야 함.
  • 법규 목적
    • TARA를 통해 식별된 위험에 대한 보안 목표에 따라 완화 대책이 구현되어야 함.
    • Annex5에 제시된 완화 대책 외에 적절한 (보안 위협과 대체 보안 대책은 지속 발전함을 고려)
  • 제출 자료
    • 차량에 적용된 모든 완화 대책 (보안기술) 및 적용된 완화 대책이 합당하다는 근거 자료
    • Annex5의 완화 대책이 적용될 수 없는 경우, 적용될 수 없는 근거와 대체한 완화 방안
• 7.3.5. 법규 내용
  • 애프터마켓 소프트웨어, 서비스, 앱 또는 데이터 저장 및 실행을 위한 전용 환경을 위한 적절한 보호 조치가 적용되어야 함
  • 법규 목적
    • 제조사가 차량에 적용 또는 차량 외부와 연동하는 애프터마켓 제품 및 솔루션에 대한 차량 측면의 위험 분석(TARA)을 수행하고, 보안 대책을 적용해야 함
        예시) 트레일러 연동 제어기, 차량 알코올 인터락 기기 (유럽 법규)
  • 제출 자료
    • 차량에 적용된 애프터마켓 소프트웨어, 서비스, 앱 또는 데이터 저장 및 실행을 위한 전용 환경 리스트
    • 전용 환경 동작 원리, 보호 조치 결과 및 적절성 근거 자료
• 7.3.6. 법규 내용
  • 구현된 보안 기술의 효과성을 확인하기 위한 적절하고 충분한 평가가 수행되어야 함
  • 법규 목적
    • 보안 기술은 식별된 위험을 감소시키기 위함이며, 테스트는 구현된 보안 조치의 정당성을 지원해야 함
    • 인증기관(Technical Service 포함)은 결과 확인을 위해 추가적인 보안 테스트를 수행할 수 있음
  • 제출 자료
    • 제조사/협력사가 실시한 단품·실차 기반의 보안 평가 목적, 방법론, 결과 (pass/fail 기준 포함)
    • 모의 해킹 시나리오, 내용, 결과 및 발견된 취약점 조치 결과
• 7.3.7 법규 내용
  • 차량의 사이버보안 공격을 탐지, 방지하기 위한 기술 적용
  • 보안 위협, 취약점 및 공격을 탐지하기 위한 모니터링 기능 지원
  • 사이버보안 공격을 분석할 수 있는 데이터 포렌식 기능 제공
  • 법규 목적
    • 사이버보안 공격을 감지, 방지해야 하고, 시도되거나 성공한 공격의 분석이 가능해야 함
    • 차량 및 주변 환경(Back-end)에 대한 대책 모두 포함 필요
  • 제출 자료
    • 사이버보안 공격 감지·방지 기술 (7.3.4~5 내용 참고 가능)
    • 데이터 포렌식 분석이 가능한 로그, 진단 에러, 차량 및 back-end 정보
• 7.3.8 법규 내용
  • 표준에 정의된 암호 모듈을 사용해야 하며, 표준에 부합하지 않는 모듈은 타당성 증명을 해야 함
  • 법규 목적
    • 안전한 암호 알고리즘을 사용해야 한다.
  • 제출 자료
    • 적용된 암호 알고리즘 리스트 및 사용된 보안 알고리즘의 보안 안전성 증명 (표준 준수 여부)

 

UN R-155 법규 기타 조항

• 연 1회 이상 사이버보안 공격을 포함한 모니터링 결과를 인증기관에 제출 필요 (법규 7.4 조항)
  • 제조사 CSMS에 정의된 모니터링 프로세스가 운영되고 있고, 적용된 완화 대책이 지속적으로 효과적임을 확인
  • 사이버보안 사고 발생 시 추가적인 모니터링 결과를 제출할 수 있음
• 기 인증 받은 차량의 경우도 사이버보안 관점의 변경이 발생하면 재인증을 받아야 함 (법규 8 조항)
  • E/E 아키텍처 및 외부 I/F 변경 (New Type)
  • 사이버보안 관련 일부 변경 (확장 인증)
  • 사이버보안 변화 없음 (추가 인증 불필요)

 

 

결론 및 시사점

• VTA 인증의 핵심은 제조사 CSMS(정책, 프로세스, R&R 등)에 따라 차량 개발이 되었는지 확인하는 것임
  • 사이버보안 위협 분석(TARA), 보안 기술 개발, 단품/실차 평가 및 모의해킹에 대한 각 단계별 모든 결과물 제출
    : 모든 문서에는 revision history, 담당자/결재자 정보가 포함되어야 함
  • 협력사와의 사이버보안 관련 계약 문서, 애프터마켓 제품 및 서비스 관련 보안 대책 방안 제출
  • 사이버보안 위협 및 공격에 대해 모니터링을 수행하고, 새로운 보안 위협에 적합한 보안 기술이 적용되어야 함
• 각 단계별(TARA, 보안 기술 개발, 보안 평가, 모의해킹 등) 사이버보안 이슈에 대한 처리 결과 명문화
  • 제조사 내 또는 제조사-협력사 간 사이버보안 이슈 관련 협의 결과(회의록 등) 제출 필요
  • 특히 TARA, 단품/실차 보안 평가, 모의해킹 등을 통해 발견된 사이버보안 위협에 대한 위험 수용 사항은 CSMS에 따른 의사결정자(임원급)를 통해 의사 결정되었음을 입증하는 보고 자료 제출 필요
    (위험 내용, 차량 영향성, 수용 사유 등 포함)
    
    

 

UN R-155 법규에 기반한 차량 사이버보안 개발 프로세스

구분	주요 내용
차량 보안 계획 수립	차량 E/E 아키텍처 보안 검토, Critical Element 식별, 차량 보안 개발 계획 수립
제어기 보안 위협 분석 (TARA)	-제어기 별 기능 및 자산 식별, 공격 경로 분석, 공격 가능성 및 피해 시나리오 검토 -보안 위험 평가 및 보안 목표(위험 완화 방안) 수립
보안 기술 개발	-보안 위험 분석(TARA) 결과에 따른 보안 목표를 대응하는 보안 기술/사항 개발
단품/실차 평가	-적용된 보안 기술에 대한 제어기 단품 평가 및 실차 환경에서의 보안 안전성 평가 -모의해킹을 통한 보안 취약점 발견 및 개선 방안 적용
VTA 인증	-1st Stage: 서류 심사 (E/E 아키텍처, worst case, TARA, 단품/실차 평가, 모의해킹 결과 등) -2nd Stage: 실차 심사 (실차 사이버보안 테스트, 모의해킹 시연 등)
보안 사고 모니터링 및 대응	-보안 사고 발생 시 당사 영향성 분석 및 개선 방안 도출 후 패치 업데이트 실시 -연 1회 이상 모니터링 결과를 인증기관에 레포트