보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 오피니언

[테크칼럼] 자동차 사이버보안 인증 ③ SDV를 위한 필수 전제 조건, SUMS

입력 : 2023-11-22 08:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
SDV로의 전환이 구체화되면서 ‘소프트웨어 업데이트’에 대한 니즈 급증
UN R156 준수 위해 완성차 제작사는 SUMS 인증과 이에 따른 VTA 획득해야


[보안뉴스= 구성서 페스카로 글로벌사업개발본부 이사] 자동차 사이버보안 규제 등장은 더 이상 새로운 뉴스가 아니다. 이제는 ‘무엇을 해야 하느냐’가 아닌 ‘어떻게 해야 하느냐’가 관건이다. 완성차 제작사(OEM)와 제어기 개발사(Tier)는 보안기술 전문 기업과 협력하여 관련 규제에 대응하고 있다.

[이미지=gettyimagesbank]


‘페스카로’는 자동차 사이버보안 전문 기업으로서 관련 주요 인증(CSMS, ISO/SAE 21434, VTA, SUMS)을 모두 최전선에서 경험하며 ‘국내 유일 자동차 사이버보안 인증 컨설팅 그랜드슬램’을 달성했다. 그 성공 사례를 공유하기 위해 자동차 사이버보안 규제 대응 전략 중 마지막 단계인 SUMS(Software Update Management System)를 소개한다. SUMS 개념과 요구사항, 효과적인 대응 전략을 설명한다.

자동차 사이버보안 인증 칼럼의 연재는 ① CSMS와 ISO/SAE 21434의 핵심, ② VTA를 아무나 못 하는 이유, ③ SDV를 위한 필수 전제 조건, SUMS 순으로 진행된다.

1. 소프트웨어 업데이트와 SUMS
SDV(Software-Defined Vehicle, 소프트웨어 정의 차량)로의 전환이 구체화되면서 ‘소프트웨어 업데이트’에 대한 니즈가 급증하고 있다. 양산 후에도 차량 기능을 유연하게 변경하거나 추가로 제공해 오류 및 결함에 신속하게 대응할 수 있을 뿐만 아니라, 고객에게 새로운 서비스를 지속적으로 제공할 수 있기 때문이다. 지난해 폴스타코리아(Polestar Korea)는 계기판에 표시되는 차량 속도가 실제보다 약 1~3km/h 낮게 표시되는 것을 발견했다. 이에 자발적 리콜 및 OTA(Over The Air, 무선 업데이트) 무상 제공 등으로 신속하게 대응하여, 소비자 편의성을 확대했다.

점차 소프트웨어 업데이트의 빈도가 증가함에 따라 그 중요성도 비례하고 있다. UNECE WP.29(유엔 유럽경제 위원회 산하 국제 자동차 기준 조화 회의체)는 2020년 6월 UN Regulation No. 156(이하 UN R156)을 제정했다. 안전한 소프트웨어 업데이트 정책 및 프로세스를 다루는 UN R156을 준수하기 위해서 완성차 제작사는 SUMS(소프트웨어 업데이트 관리체계, Software Update Management System) 인증과 이에 따른 VTA(형식승인, Vehicle Type Approval)를 획득해야 한다.

승용차 및 상용차, 견인 장치가 있는 트레일러뿐만 아니라 소프트웨어 업데이트 기능이 탑재된 농기계도 UN R156 준수 대상이다. 동 규정에서 완성차 제작사가 주의 깊게 봐야 할 부분은 7조 ‘General specifications’로, SUMS 및 차량 형식에 대한 요구사항이 명시되어 있다.

2. SUMS 요구사항
SUMS 구축 시 초기 평가 프로세스인 7조 1항 1호를 확인해야 한다. 이 규정과 관련된 정보를 문서화해 안전하게 보호해야 하며, 모든 소프트웨어 버전을 고유하게 식별해야 하고, 업데이트 전과 후의 RXSWIN에 대한 정보에 접근 및 업데이트할 수 있어야 한다. RXSWIN은 Regulation X Software Identification Number로, 차량에 장착된 제어기의 소프트웨어 버전 정보를 일컫는다. 차량의 소프트웨어가 어떤 규제와 연관이 있는지 식별 및 관리하는 것이 목적이다. 따라서 RXSWIN이 있는 차량 형식의 경우 다음 사항을 준수해야 한다. ① 형식승인(VTA)된 소프트웨어 버전이 RXSWIN 버전과 일치하는지 확인해야 하며, ② 업데이트된 시스템과 다른 시스템 간의 상호의존성을 파악해야 하고, ③ 소프트웨어 업데이트가 필요한 차량을 식별해야 한다. ④ 신규 소프트웨어와 기존 차량 구성 정보와의 호환성도 확인해야 하며, ⑤ 소프트웨어 업데이트로 인해 형식승인된 시스템에 영향을 미치는지 여부를 평가·식별·기록해야 한다.

3. 차량 형식 요구사항
차량 형식을 위한 요구사항은 소프트웨어 업데이트와 무선 업데이트에 관한 내용을 다룬다. 7조 2항 1호의 소프트웨어 업데이트 요구사항에는 소프트웨어 업데이트의 진위성(Authenticity)과 무결성(Integrity)을 보호해야 하며, 소프트웨어 업데이트 손상 및 유효하지 않은 업데이트를 방지해야 한다고 명시되어 있다. 또한 차량 형식이 RXSWIN을 사용할 경우 각 RXSWIN을 고유하게 식별할 수 있어야 한다. 완성차 제작사가 형식승인된 소프트웨어를 수정할 때는 RXSWIN을 업데이트해야 하는데 기존의 항목인증에 영향이 미미할 경우 형식승인을 연장하고, 영향이 높을 때는 형식승인을 새로 받아야 한다. 끝으로 OBD 인터페이스 등의 표준화된 통신 방식을 통해 RXSWIN을 읽을 수 있어야 하며, 승인되지 않은 변조로부터 RXSWIN과 소프트웨어 버전을 보호해야 한다.

무선 업데이트 기능이 탑재되었다면 7조 2항 2호를 확인해야 한다. 다음의 전제조건을 충족해야만 소프트웨어 업데이트를 실행할 수 있다. 차량은 소프트웨어 업데이트 관련하여 시스템을 복원할 수 있어야 하며, 실행에 충분한 전력 관리가 필요하고, 업데이트의 안전한 실행을 보장해야 한다. 또한, 업데이트 수행 전에는 차량 사용자에게 관련 내용을 안내해야 하고, 주행 중 업데이트 수행이 안전하지 않다면 주행할 수 없도록 하며, 차량 안전과 성공적인 업데이트에 영향을 미치는 기능은 사용할 수 없도록 보장해야 한다. 업데이트 완료 후에는 성공·실패에 대한 결과와 변경 사항을 안내해야 한다.

4. SUMS 인증 준비 시 효과적인 대응 전략
우선, 소프트웨어 업데이트로 발생하는 기존의 항목 인증에 대한 영향도를 분석하고, 효과적으로 평가할 수 있는 프로세스 및 체계를 수립해야 한다. 특별한 영향이 없을 경우에는 소프트웨어 업데이트를 수행하면 되지만, 만약 영향이 있다면 기존에 승인된 항목 인증은 물론, 유럽 자동차 성능인증(WVTA, Whole Vehicle Type Approval)까지 다시 획득해야 하므로 사전에 치밀한 검증이 필요하다. 그러나 차량은 다수의 도메인 및 시스템에 유기적으로 연결되어 있어 영향도를 일일이 확인하기에 상당한 공수가 든다.

따라서 영향도를 체계적으로 분석하고 관리할 수 있는 자동화 시스템 도입을 권장한다. 소프트웨어 버전과 업데이트 현황 파악 및 사이드 이펙트 등을 효과적으로 관리할 수 있기 때문이다. 페스카로는 ‘차량 소프트웨어 업데이트 관리시스템’을 자체 개발했는데, 소프트웨어 업데이트 시 기존 차량의 형식승인에 영향을 주는지 확인하고 이력 및 버전 관리, 무결성 검증 등을 수행할 수 있다. 페스카로는 해당 시스템을 완성차 제작사에 제공하여 소프트웨어 업데이트 관리 업무를 고도화하고, SUMS 인증까지 수월하게 획득할 수 있도록 기여했다.

다음으로 차량 내 도메인 및 제어기 간 통신을 모두 관장하는 ‘사이버보안 전용 제어기’에 차량 소프트웨어 형상과 인증 정보를 통합 관리하는 기능을 적용하는 것이다. 사이버보안 전용 제어기의 아래 기능으로 SUMS 인증 및 형식승인 요구사항을 충족할 수 있다.

· 소프트웨어 형상 관리와 업데이트 및 OTA 수행 : 차량의 인증 및 전체 제어기의 소프트웨어와 하드웨어 형상 관리가 가능하다. 인가된 소프트웨어 펌웨어만 업데이트하며, 소프트웨어 업데이트 및 RXSWIN을 체계적으로 관리할 수 있다. 또한 안전한 OTA 수행을 위한 시나리오 및 기능을 적용한다.

사이버보안 전용 제어기는 이름에서도 유추할 수 있듯 ‘보안’ 기능도 수행한다. 다음 기능을 통해 UN R155인 CSMS(사이버보안 관리체계, Cybersecurity Management System)에도 효과적으로 대응이 가능하다.

1) 내부 네트워크(IVS, In-Vehicle Network) 보호 : 차량의 대표적인 외부 접점인 OBD-II 포트를 이용한 외부 공격으로부터 Secure Unlock, Secure Access, Secure Flash 등을 통해 중요한 자산이 있는 내부망을 보호한다.
2) 비정상 메시지 실시간 탐지 : 차량 내부 네트워크에 연결된 모든 제어기의 네트워크 메시지를 실시간 모니터링하여, IVS에서 발생할 수 있는 사이버공격을 탐지(IDS, Intrusion Detection System)한다.
3) 보안 관제시스템과 연계된 모니터링 : 보안 관제시스템에 보안이벤트를 보고하여 사이버위협에 신속하게 대응한다.

이렇게 SUMS와 CSMS 요구사항을 동시에 커버할 수 있는 ‘사이버보안 전용 제어기’는 규제 대응 전략으로 활용도가 높다.

5. SUMS 인증을 관통하는 핵심
SUMS 인증을 위해서는 소프트웨어 업데이트에 따른 차량 시스템의 영향도 분석 및 소프트웨어 형상 관리가 필요하다. 그러나 수많은 항목 인증, 양산된 차량과 개별 제어기를 면밀히 추적하기에는 어려움이 있다. SUMS 인증의 핵심은 ‘오케스트레이션(orchestration)’이다. 사람의 한계를 벗어나기 위한 일종의 기술적 돌파구로, 앞서 언급한 차량 소프트웨어 업데이트 관리시스템 및 사이버보안 전용 제어기 등을 효과적으로 연동하는 것이다. 각 시스템을 유기적으로 운영하면 업무 프로세스를 최적화하여 생산성을 향상할 수 있다.

▲오케스트레이션 구축 예시[자료=페스카로]


오케스트레이션으로 인한 시너지를 최대로 발현하려면 자동차 산업의 복잡한 밸류체인과 차량 라이프사이클 전반에 대한 포괄적인 이해가 필수적이다. 이를 기반으로 고객사 환경과 니즈에 최적화된 시스템을 구축해야 한다. 규제 요구사항과 고객사 현황 사이의 갭(Gap)을 상세히 분석하며, 모든 내외부 관계자를 대상으로 인터뷰를 진행하는 등 자동차의 모든 파트와 관련 부서 업무를 심도있게 이해하고, 협력사를 대상으로 설명회와 교육 등을 지속적으로 제공하는 밀착 코디네이션 과정이 필요하다.

이것으로 CSMS, ISO/SAE 21434, VTA, SUMS까지 UN R155·156 규제 대응을 위한 자동차 사이버보안 인증 칼럼 연재가 마무리되었다. 현재 관련 인증을 준비하며 어려움을 겪는 완성차 제작사 또는 제어기 개발사들이 있을 것이다. 페스카로는 ‘국내 유일 자동차 사이버보안 인증 컨설팅 그랜드슬램’을 달성한바, 성공 사례를 기반으로 더욱 고도화된 대응 전략을 제시할 수 있다.
[글_ 구성서 페스카로 글로벌사업개발본부 이사(sales@fescaro.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대