Skip to main content

ISO/SAE 21434에서 정의하는 ‘item’ 및 관련 개념 설명

'item' 및 관련 개념 설명

ISO/SAE 21434는 도로 차량의 사이버 보안 엔지니어링에 대한 요구사항을 다루는 표준입니다. 이 표준에서 ‘item’은 “차량 수준에서 기능을 구현하는 시스템 또는 시스템의 조합”을 의미합니다. 이는 ISO 26262-1:2018의 정의를 수정한 것입니다. ‘item’의 정의에는 ‘item’의 운영 환경 및 다른 ‘item’과의 상호 작용도 포함됩니다.

‘item’의 사이버 보안을 관리하기 위해 다음과 같은 개념들이 상호 연결되어 사용됩니다.

  • 사이버 보안 (Cybersecurity): ‘item’ 또는 구성 요소의 자산이 위협 시나리오로부터 충분히 보호되는 상태를 말합니다.
  • 자산 (Asset): 사이버 보안 속성의 침해가 ‘item’의 이해관계자에게 손상을 초래할 수 있는 대상입니다. 자산 식별은 사이버 보안 목표를 식별하기 위한 첫 번째 단계입니다.
  • 사이버 보안 속성 (Cybersecurity Property): 자산의 속성으로, 기밀성(confidentiality), 무결성(integrity), 가용성(availability)을 포함합니다.
  • 손상 시나리오 (Damage Scenario): 자산의 사이버 보안 속성 침해로 인한 부정적인 결과 또는 바람직하지 않은 결과를 의미합니다.
  • 위협 시나리오 (Threat Scenario): 손상 시나리오로 이어질 수 있는 잠재적인 부정적인 행동에 대한 진술입니다. ‘item’의 위협 시나리오를 식별하는 것은 사이버 보안 위험 평가의 핵심 부분입니다.
  • 영향 (Impact): 손상 시나리오로 인한 손상 또는 물리적 피해의 규모에 대한 추정치입니다. 이는 일반적으로 안전(safety), 재정(financial), 운영(operational), 개인 정보 보호(privacy)의 네 가지 범주로 평가됩니다.
  • 공격 경로 (Attack Path): 위협 시나리오를 실현할 수 있는 일련의 행동을 의미합니다.
  • 공격 가능성 (Attack Feasibility): 공격 경로를 성공적으로 수행하는 용이성을 나타내는 정성적 속성입니다. ‘높음(high)’, ‘중간(medium)’, ‘낮음(low)’, ‘매우 낮음(very low)’ 등으로 평가됩니다. 이는 경과 시간(elapsed time), 전문가 지식(specialist expertise), ‘item’에 대한 지식(knowledge of the item), 기회의 창(window of opportunity), 장비(equipment) 등의 매개변수를 기준으로 판단할 수 있습니다.
  • 위험 (Risk): 공격 가능성 및 영향의 관점에서 사이버 보안의 불확실성이 미치는 영향입니다.
  • 위험 처리 결정 (Risk Treatment Decision): 식별된 위험을 해결하기 위한 적절한 위험 처리 옵션(위험 감소, 수용, 회피, 공유)을 선택하는 것을 의미합니다.
  • 사이버 보안 목표 (Cybersecurity Goal): 하나 이상의 위협 시나리오와 관련된 개념 수준의 사이버 보안 요구사항입니다.
  • 사이버 보안 주장 (Cybersecurity Claim): 수용되는 위험에 대한 진술이며, 운영 환경에 대한 가정이 위험 감소로 이어지는 경우 또는 위험이 수용되는 경우에 명시됩니다.
  • 사이버 보안 개념 (Cybersecurity Concept): 식별된 사이버 보안 목표를 달성하는 데 필요한 할당된 사이버 보안 요구사항의 집합입니다.
  • 사이버 보안 보증 수준 (Cybersecurity Assurance Level, CAL): ‘item’ 또는 구성 요소의 자산이 관련 위협 시나리오에 대해 적절하게 보호되고 있다는 확신을 제공하는 데 사용될 수 있는 분류 체계입니다. CAL은 개발 활동의 엄격성과 범위를 조정하는 데 사용됩니다.
  • 수명 주기 (Lifecycle): ISO/SAE 21434는 개념(Concept), 개발(Development), 생산(Production), 운영 및 유지보수(Operations and Maintenance), 폐기(Decommissioning)를 포함하여 ‘item’의 전체 수명 주기 동안의 사이버 보안 활동을 다룹니다.
    Automotive SPICE의 정보 항목(Information Item) 및 작업 산출물(Work Product) 정의
    Automotive SPICE에서는 ‘정보 항목’과 ‘작업 산출물’을 다음과 같이 구분합니다.
  • 정보 항목 (Information Item): 평가자가 프로세스 속성 달성도를 판단하는 데 사용하는 관련 정보 조각을 의미합니다. 이는 인간의 사용을 위해 생산, 저장 및 전달되거나 도구에 의해 처리되는 개별적으로 식별 가능한 정보의 덩어리입니다. 예를 들어, 요구사항, 아키텍처, 테스트 계획 등이 정보 항목의 특성을 가질 수 있습니다.
  • 작업 산출물 (Work Product): 프로세스 실행 결과로 생성되는 모든 아티팩트(artifact)를 의미합니다. 조직이 프로세스를 수행, 관리, 설정, 분석 및 혁신할 때 생성하는 결과물입니다. 예를 들어, 사양서, 보고서, 기록, 아키텍처 설계, 소프트웨어 코드, 소프트웨어 바이너리, 원시 데이터, 물리적 전자 하드웨어 등이 작업 산출물이 될 수 있습니다.
  • 관계: 정보 항목(및 그 특성)은 평가자가 평가 대상 조직에서 사용 가능한 작업 산출물을 검토할 때 “무엇을 찾아야 할지”에 대한 지침으로 제공됩니다. 즉, 정보 항목은 작업 산출물에 포함될 수 있는 특정 유형의 정보 특성을 나타내며, 평가자는 이를 통해 작업 산출물의 품질과 프로세스 이행도를 평가합니다. 정보 항목과 작업 산출물 사이에 1:1 관계는 없으며, 하나의 작업 산출물이 여러 정보 항목의 특성을 포함할 수 있습니다.

스마트 크루즈 시스템 예제

이제 스마트 크루즈 시스템(SCC)을 예로 들어 위 개념들을 설명해 보겠습니다. SCC는 차량이 설정된 속도를 유지하고 앞 차량과의 안전 거리를 자동으로 조절하는 시스템입니다.

1. item 정의:

  • SCC 시스템 자체가 ‘item’이 됩니다. 이 ‘item’은 센서(레이더, 카메라), 전자 제어 장치(ECU), 차량 제어 액추에이터(스로틀, 브레이크), 운전자 인터페이스(디스플레이) 등의 시스템 및 구성 요소의 조합으로 구성됩니다.

2. 사이버 보안 관리 관련 개념:

  • 자산 (Asset): SCC의 핵심 자산은 다음과 같습니다:
    •   데이터: 레이더/카메라 센서 데이터 (앞 차량 감지), 차량 속도 데이터, 운전자 설정 속도 및 거리 정보, 브레이크/가속 명령 신호.
    •   기능: 속도 제어, 거리 유지, 자동 가속/감속 기능.
    •   하드웨어/소프트웨어: SCC ECU 및 여기에 탑재된 소프트웨어, 통신 네트워크 (CAN 등).
  • 사이버 보안 속성 (Cybersecurity Property):
    •   무결성 (Integrity): SCC의 기능 및 데이터 (센서 입력, 제어 명령, 소프트웨어)가 무단으로 변경되지 않음을 보장하는 것이 가장 중요합니다. 예를 들어, 앞 차량과의 거리 정보나 가속/감속 명령이 조작되면 심각한 안전 문제가 발생할 수 있습니다.
    •   가용성 (Availability): SCC 기능이 필요할 때 항상 작동할 수 있음을 보장합니다. 예를 들어, 운전 중 SCC가 갑자기 비활성화되면 운전자가 당황하여 사고로 이어질 수 있습니다.
    •   기밀성 (Confidentiality): SCC 자체에 민감한 개인 정보가 많지 않을 수 있으나, 만약 운전 패턴이나 위치 정보 등이 수집된다면 해당 정보의 기밀성도 중요합니다.
  • 손상 시나리오 (Damage Scenario): 사이버 보안 속성이 침해될 경우 발생할 수 있는 부정적인 결과입니다:
    •   무결성 손상: 앞 차량이 없음에도 긴급 제동 발생, 앞 차량이 가까워져도 제동하지 않음, 의도치 않은 급가속/급감속.
    •   가용성 손상: SCC 기능이 운전 중 예기치 않게 비활성화되어 운전자가 차량 제어권을 상실하거나 준비되지 않은 상황에 처하게 됨.
  • 위협 시나리오 (Threat Scenario): SCC에 대한 잠재적인 공격 시나리오입니다:
    •   CAN 메시지 스푸핑 (Spoofing): 공격자가 차량 내부 네트워크(예: CAN 버스)에 가짜 센서 데이터나 제어 명령을 삽입하여 SCC가 오작동하도록 유도합니다. 예를 들어, 앞 차량이 없는데도 앞 차량이 있는 것처럼 위장하거나, 설정 속도보다 높게 가속하도록 명령할 수 있습니다.
    •   소프트웨어/펌웨어 변조 (Tampering): SCC ECU의 소프트웨어에 무단으로 접근하여 기능을 변경합니다. 예를 들어, 긴급 제동 기능을 비활성화하거나, 운전자 설정에 없는 가속 패턴을 삽입할 수 있습니다.
    •   서비스 거부 (Denial of Service, DoS): SCC ECU 또는 관련 통신 채널에 과부하를 주어 SCC 기능을 일시적으로 또는 영구적으로 사용할 수 없게 만듭니다.
  • 영향 등급 (Impact Rating): SCC 오작동으로 인한 손상 시나리오의 심각도를 평가합니다:
    •   안전 (Safety) – 심각 (Severe): 의도치 않은 급가속/급감속이 고속 주행 중 발생하여 생명을 위협하는 심각한 부상이나 사망에 이를 수 있음.
    •   운영 (Operational) – 주요 (Major) 또는 보통 (Moderate): SCC 기능의 손실이나 성능 저하로 운전자가 불편을 겪거나 수동 조작이 필요해짐.
    •   재정 (Financial) – 보통 (Moderate): SCC 오작동으로 인한 경미한 사고로 차량 수리 비용 발생.
  • 공격 경로 분석 (Attack Path Analysis): 특정 위협 시나리오를 실현하기 위한 공격자의 단계별 행동을 식별합니다:
    •   예시 (CAN 스푸핑): 무선 인터페이스(셀룰러, 블루투스 등)를 통해 차량 내 인포테인먼트 ECU를 침해 → 침해된 인포테인먼트 ECU를 통해 게이트웨이 ECU에 접근 → 게이트웨이 ECU를 통해 SCC ECU로 악성 CAN 메시지 주입 → SCC 오작동 유발.
  • 공격 가능성 등급 (Attack Feasibility Rating): 위의 공격 경로가 얼마나 쉽게 실행될 수 있는지 평가합니다.
    •   예를 들어, 널리 알려진 무선 취약점을 통한 공격은 ‘높음(High)’으로 평가될 수 있습니다. 반면, 차량의 물리적 변조 방지 인클로저가 잘 되어 있다면 물리적 접근을 통한 공격은 ‘매우 낮음(Very low)’으로 평가될 수 있습니다.
  • 위험 결정 (Risk Determination): 영향 등급과 공격 가능성 등급을 결합하여 각 위협 시나리오의 위험 값을 결정합니다. (예: 심각한 영향 + 높은 가능성 = 고위험).
    • 위험 처리 결정 (Risk Treatment Decision): 고위험으로 판단된 SCC 관련 위협(예: CAN 스푸핑으로 인한 급가속)에 대해서는 위험을 “감소(Reducing the risk)” 시키는 방향으로 결정을 내립니다. 반면, 영향이 경미하고 가능성이 낮은 위협은 “수용(Accepting the risk)”하거나 “공유(Sharing the risk)”할 수 있습니다.
  • 사이버 보안 목표 (Cybersecurity Goal): 위험을 줄이기 위한 최상위 사이버 보안 요구사항입니다:
    •   “SCC의 가속/감속 제어 신호의 무결성은 스푸핑(spoofing)으로부터 보호되어야 한다”.
    •   “SCC ECU 소프트웨어의 무결성은 무단 변조로부터 보호되어야 한다.”
  • 사이버 보안 주장 (Cybersecurity Claim): 수용된 위험이나 운영 환경에 대한 가정에 대한 진술입니다:
    •   “차량은 물리적 변조 방지 인클로저로 보호되므로, 물리적 접근을 통한 공격으로 인한 위험은 허용 가능하다”. 이러한 주장은 해당 가정이 충족되지 않을 경우 위험을 재평가해야 함을 명시할 수 있습니다.
  • 사이버 보안 개념 (Cybersecurity Concept): 사이버 보안 목표를 달성하기 위한 구체적인 요구사항 집합입니다:
    •   위의 “스푸핑으로부터 무결성 보호” 목표를 달성하기 위해: “SCC ECU는 수신된 제어 신호의 발신자가 유효한 엔티티인지 인증해야 한다”. 이 요구사항은 게이트웨이 ECU(악성 신호 필터링)와 SCC ECU 자체에 할당될 수 있습니다.
  • 사이버 보안 보증 수준 (CAL): SCC 기능의 중요도를 고려하여 CAL을 할당합니다.
    •   예를 들어, 제동 기능과 같이 안전에 직결되는 SCC의 핵심 기능에는 가장 높은 수준인 CAL4가 할당될 수 있으며, 이는 엄격한 설계, 검증, 유효성 검사 활동을 요구합니다.

3. 수명 주기 단계:

  • 개념 단계 (Concept Phase): SCC ‘item’을 정의하고, 관련된 자산과 잠재적 손상/위협 시나리오를 식별합니다. 위험 평가를 수행하여 사이버 보안 목표와 주장을 수립하고, 이를 바탕으로 SCC에 대한 사이버 보안 개념을 정의합니다.
  • 제품 개발 (Product Development): SCC의 사이버 보안 요구사항을 상세화하고, 아키텍처를 설계합니다. 예를 들어, 게이트웨이 ECU 내에 SCC 메시지를 위한 화이트리스트 기반 필터링 기능을 개발하여 악성 신호를 차단하도록 설계합니다. 이후 통합 및 검증 활동을 통해 설계가 요구사항을 준수하는지 확인합니다.
  • 생산 (Production): SCC가 차량에 장착될 때, 보안 구성 및 프로그래밍 절차가 안전하게 이루어지도록 생산 제어 계획을 수립합니다. 예를 들어, SCC 소프트웨어의 무결성을 확인하고, 개발용 디버그 포트가 비활성화되었는지 확인합니다.
  • 운영 및 유지보수 (Operations and Maintenance): SCC와 관련된 사이버 보안 이벤트(예: 알려진 취약점)가 발생할 경우, 이에 대응하기 위한 절차(사이버 보안 사고 대응)를 마련합니다. SCC 소프트웨어 업데이트(OTA 업데이트 포함)를 안전하게 배포하고 관리하는 것도 이 단계에 포함됩니다.
  • 폐기 (Decommissioning): SCC가 더 이상 사용되지 않을 때, 개인 정보 삭제 등 보안 폐기 절차를 고려합니다.
    이러한 방식으로 ISO/SAE 21434의 개념들은 스마트 크루즈 시스템과 같은 차량 내 ‘item’의 전체 수명 주기 동안 사이버 보안 위험을 체계적으로 관리하는 데 적용됩니다.
목록