보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 오피니언

[테크칼럼] 자동차 전자 시스템의 보안 강화 위한 규정 준수 및 워크플로우 개선 방안

입력 : 2023-06-14 09:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
스마트 커넥티드 자동차, 수많은 디지털 시스템과 임베디드 소프트웨어 탑재
보안위협도 함께 증가...자동차 기업들, 사이버보안 솔루션 및 프로세스에 투자


[보안뉴스= 송민 앤시스 코리아 부장] 자동차 설계의 디지털화를 통해 오늘날의 스마트 커넥티드 카는 다수의 디지털 시스템과 임베디드 소프트웨어를 탑재하고 있다. 이는 자동차를 더욱 안전하고 효율적으로 만들었을 뿐만 아니라 승차감 향상, 내비게이션 편의 향상, 인포테인먼트 옵션 확대 등 다양한 이점을 가져왔다.

[이미지=gettyimagesbank]


자동차의 디지털화, 전체 전자 아키텍처 검증하고 ISO 표준 준수해 보안 취약점 최소화
이처럼 커넥티드 및 자율주행 자동차의 시스템 요구사항과 시스템 복잡성이 증가하면서 자동차에 탑재되는 소프트웨어가 늘어나고, 내부 및 외부 인터페이스와 연결 수가 증가했다. 문제는 자동차 전자 시스템이 소프트웨어 코드 결함의 위험은 물론 전체 통합 시스템의 설계 오류와 사이버 공격에 노출될 가능성도 갖게 되었다는 사실이다.

실제로 오늘날의 일반적인 자동차는 3만 개 이상의 하드웨어 컴포넌트, 150개 이상의 ECU(전자제어장치), 1억 라인 이상의 소프트웨어 코드가 사용되기 때문에 모든 취약점을 식별하고 제거하는 것은 현실적으로 어렵다. 맥킨지에 따르면 많은 전문가들은 2030년까지 약 3억 라인의 소프트웨어 코드가 탑재될 것으로 전망하고 있다. 또한, 최근에는 무선(OTA) 소프트웨어 자동 업데이트가 추가되면서 차량에 접근할 수 있는 방식이 그 어느 때보다 많아졌다.

이처럼 보안 위협이 증가하면서, 현재 자동차 제조업체와 공급업체들도 사이버 보안 솔루션 및 관련 프로세스에 대한 투자를 꾸준히 늘리고 있다. 전 세계 자동차 사이버 보안 시장은 2020년 49억 달러에서 2030년 97억 달러로 성장해 연간 7% 이상의 성장률을 보일 것으로 예상된다.

이 때문에 개발자는 시스템 수준의 보안을 검증해 자동차 전자장치의 기능 안전을 보장해야 하며, 엔지니어는 각 컴포넌트뿐만 아니라 모든 인터페이스, 제어 및 연결을 포함한 전체 전자 아키텍처를 모델링하고 이를 최적화해 차량과 시스템을 악의적인 해킹 시도로부터 보호해야 한다. 또한, 이러한 검증 작업을 적절히 수행하고 있는지 확인하기 위해 시스템 수준의 보안을 위한 ISO 표준도 준수해야 한다.

차량의 기능 안전 설계를 규정하는 ISO 26262는 차량 전자장치와 기본 소프트웨어 코드의 기능 안전을 관리해 왔다. 이 산업 안전 표준은 2021년 8월의 ISO 21434 제정으로 사이버 보안을 추가적으로 일부 고려하게 된다. ISO 21434는 자동차 소프트웨어가 사이버 보안을 염두에 두고 설계 및 개발되도록 보장하는 자동차 산업의 사이버 보안 표준이다. 이 표준은 개념 설계에서부터 생산, 운영, 유지관리까지 아우르기 때문에 기존 방식 및 엑셀문서 스프레드시트와 같은 일반적인 도구로는 이러한 새로운 요구사항을 충족시킬 수 없다. 이와 같이 증가하는 사이버 범죄 문제를 해결하기 위해 특별히 설계된 새로운 모델링 솔루션과 관련 모범 사례들이 필요한 시점이다.

사이버 보안 위협을 지속적으로 파악하고 해결하기 위한 명확한 역할과 책임, 프로세스 수립 필요
ISO 21434의 요구사항을 준수한다는 것은 자동차 제조업체와 공급업체가 사이버 보안 문제를 지속적으로 파악하고 해결하기 위한 담당자들의 명확한 역할과 책임, 그리고 관련 프로세스를 수립해야 한다는 것을 의미한다. 또한, ISO 21434 인증을 획득하기 위해서는 추가적인 보안 솔루션 도입은 물론 모든 프로세스 단계를 문서화하고 해당 문서를 제출해야 하기 때문에 이미 방대한 양의 소프트웨어 모듈을 설계하고 시스템 수준의 아키텍처를 구축해야 했던 제품 개발팀은 이제 모든 인터페이스, 제어 및 연결을 모델링하고 위험 수준을 식별 및 평가하며 차량과 시스템이 사이버 공격에 완전히 무방비 상태인지 확인해야 하는 과제를 안게 되었다.

대부분의 기업은 이러한 프로세스를 처음부터 만들고 관리할 시간, 비용, 전문 지식 및 기타 리소스가 부족하다. 또한, 수작업으로 엑셀문서 등의 상용 도구로 분석해 이러한 문제를 해결하는 것은 매우 어려운 일이다.

앤시스 메디니 애널라이즈로 자동차 전자 시스템의 사이버 보안 개발 환경 개선
다행히도 앤시스는 이러한 문제를 해결하기 위해 보안 취약점을 신속하게 식별하고 취약점을 예상하고 이를 해결할 수 있는, 강력하고 사용자 친화적인 모델링 솔루션인 ‘앤시스 메디니 애널라이즈(Ansys medini analyze, 이하 메디니)’를 제공한다.

메디니는 사이버보안 표준인 ISO/SAE 21434를 충족, 시스템 수준의 설계 요구사항을 준수하는 사용하기 쉬운 모델링 및 분석 툴이다. 특히, 수많은 연결과 인터페이스를 갖춘 전자 아키텍처가 외부 공격에 영향을 받지 않는, 응집력 있고 안전한 시스템 수준의 아키텍처를 생성하고 검증하는 복잡한 작업을 간소화 및 가속화할 수 있도록 보장한다.

메디니를 사용하면 소프트웨어 개발자는 강력한 보안을 기반으로 신뢰할 수 있는 코드를 생성하고, 자동차 시스템의 기능 안전을 모델링 및 분석할 수 있도록 지원해 실제로 전자장치가 다양한 조건에서 예상대로 작동하는지 확인하는 것을 도울 수 있다. 기존에 일일이 확인해 진행해야 하는 노동집약적이면서도 오류가 발생하기 쉬운 수작업 방식을, 메디니로 신속하게 자동화할 수 있다. 또한, 복잡한 전체 전자 시스템의 사이버 보안 분석현황을 쉽게 파악하는 것은 물론, 사이버 보안 표준과 규정을 준수하는 안전한 제품을 빠르게 개발하고 출시해 수익 마진을 극대화할 수 있다.

고객 활용 사례: 베바스토, 메디니로 보안 규정 준수 및 워크플로우 최적화 작업을 단일 툴에서 수행
100년 이상의 역사를 자랑하는 글로벌 자동차 부품기업인 ‘베바스토(Webasto)’의 티모 브루데렉(Timo Bruderek) 사이버 보안 엔지니어는 ‘2022 앤시스 디지털 세이프티 컨퍼런스’에서 자동차 시스템의 위험 식별 및 완화라는 복잡한 작업을 관리하기 위해 메디니를 사용한 사례를 소개했다.

▲송민 앤시스 코리아 부장[사진=앤시스]

“사이버 보안 엔지니어로서 가장 큰 과제는 ISO 21434를 비롯한 모든 표준 및 규정을 준수하는 것은 물론, 개별 고객의 요구사항을 이해해야 한다는 점이다. 이는 모든 잠재된 보안 위험을 완벽하게 분석하며 속도와 효율성을 극대화할 수 있는 업무 워크플로우를 구축하는 것을 의미한다. 메디니는 이러한 보안 규정 준수 및 보안 워크플로우 최적화를 위한 모든 작업을 단일 툴을 통해 실행할 수 있는 최적의 솔루션이다.”

자동차 산업을 비롯한 여러 산업 분야에서 사이버 보안 환경 구축과 상황별 신속하고 적절한 대응이 가능한 스마트한 사이버 보안 전략 운영 필요
이처럼 메디니는 이미 글로벌 자동차 산업의 전개발팀에서 다수 활용되고 있다. 이제는 자동차뿐만 아니라 A&D, 해운/항만, 석유 굴착장치와 원자력 발전소, 스마트그리드에 이르는 에너지 산업, 그리고 일반 소비자 가전제품까지 다른 산업 분야의 기업들도 이 솔루션의 빠르고 효율적이며 정확한 접근 방식을 통해 사이버 위협을 식별하고 해결할 수 있다.

앞으로의 혁신 리더는 사이버 범죄와의 전쟁에서 승리하기 위해 첨단 도구로 무장하고, 각 상황별 최적의 모범사례를 신속하게 실행하는 기업이 될 것이라고 확신한다. 메디니는 보안 기능을 제품 엔지니어링 프로세스에 통합해 새로운 수준의 신뢰성과 안전성을 확보하고, 사이버 보안 분석에 더 집중하고자 하는 전자 엔지니어링 팀을 위한 최적의 선택이 될 것이다.
[글_송민 앤시스 코리아 부장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)