들어가며 - 왜 통합이 필요한가
그런데 지금까지의 자동차 개발은 기능안전(Functional Safety)과 사이버보안(Cybersecurity)을 서로 다른 팀, 다른 절차, 다른 기준으로 다뤄왔습니다.
예를 들어 같은 조향제어 제어기라도, 기능 안전과 관련된 부서는 “센서 신호가 끊기면 안전모드로 전환되는가?”를 테스트하고, 사이버보안 관련된 부서는 “CAN 메시지가 변조되면 무시하는가?”를 따로 검증합니다.
결국 두 팀은 같은 부품을 보면서도 서로 다른 위험을 관리하고, 그 사이의 회색지대, 즉 보안 위협이 안전 문제로 이어지는 구간은 종종 놓치게 됩니다.
이런 한계를 극복하기 위해 최근 연구계와 산업계에서는 기능안전과 사이버보안을 통합적으로 분석, 관리하려는 시도가 빠르게 늘고 있습니다. 아래는 그 대표적인 네 가지 접근을 살펴본 것입니다.
SAHARA - “무엇이 위험한가?”를 함께 본다
SAHARA(Security-Aware Hazard and Risk Analysis)는 안전 분석(ISO 26262의 HARA)과 보안 분석(ISO/SAE 21434의 TARA)을 하나의 절차로 묶은 초기 통합 방법입니다.
핵심은 “공격이 안전목표를 깨뜨릴 수 있는가?” 를 평가하는 것입니다. 예를 들어 전자식 조향잠금장치에서
- 안전 목표: “주행 중 조향 잠김 방지”
- 보안 위협: “무선 신호 위조(Spoofing)”
라면, SAHARA는 이 두 요소의 인과 관계를 매트릭스로 표시합니다.
즉, 공격과 사고 사이의 직접적 연결 가능성을 시각적으로 보여줍니다. 다만 결과는 전문가 판단에 기반한 정성적 분석이기 때문에, 표준 준수에는 유용하지만 정량적 위험 산출에는 한계가 있습니다.
SeCFT - “공격이 어떻게 사고로 이어지는가?”를 구조적으로 본다
SeCFT(Security-enhanced Component Fault Tree)는 고장(Failure)과 위협(Threat)을 하나의 Fault Tree에 결합한 분석법입니다. 기존의 기능안전 분석을 확장해 “공격 → 결함 → 사고(Hazard)”의 전파 경로를 논리적으로 모델링합니다.
예를 들어,
- 공격: 제어 메시지 변조
- 결함: 잘못된 회전각 입력
- 결과: 주행 중 조향 잠김
이런 관계를 트리 구조로 나타내고, 논리 연산(AND, OR)을 통해 사고가 발생하기 위한 최소 조건 집합(MCS)을 자동으로 구합니다.
이로써 어떤 공격과 고장이 동시에 일어나야 사고가 발생하는지 정량적으로 파악할 수 있습니다. SeCFT는 모델 기반 자동화가 가능하다는 점에서 산업 적용 가능성이 높지만, 위협의 확률이나 영향도를 수치화하는 부분은 여전히 연구 중입니다.
한편, ISO/SAE 21434에서도 사이버보안 분석 시 안전영향(Safety Impact)을 함께 평가하도록 가이드하고 있으며, 이는 SeCFT 접근법과 자연스럽게 연결됩니다. SeCFT를 21434의 TARA와 결합하면, 공격 시나리오가 안전목표 위반으로 이어지는 과정을 표준 기반으로 정량화할 수 있습니다. 즉, 21434의 보안 요구사항 흐름(RQ/RC)과 26262의 고장 분석 체계를 매개로 한 “공통 위험 모델”로 확장될 수 있습니다.
FLM + STPA-Sec - “왜 위험이 생기는가?”를 제어 관점에서 본다
FLM(Failure Logic Modeling) 과 STPA-Sec(System-Theoretic Process Analysis for Security)는 시스템 제어이론(System Theory)에 기반한 접근입니다. STPA-Sec은 제어 루프에서 잘못된 명령이나 신호 지연이 어떤 보안 공격과 연결되어 사고로 이어지는지를 분석하고, FLM은 이 과정을 정량적 모델로 표현합니다.
예를 들어 자율주행의 제동 시스템에서, 공격자가 통신 지연을 일으키면 제어 루프 타이밍이 어긋나고, 결국 “브레이크 명령 지연 → 추돌 사고”로 이어질 수 있습니다.
이 방법은 ‘사고의 원인을 단순한 고장이나 공격이 아닌, 시스템 전체의 제어 불균형(Control Inefficiency)’으로 바라본다는 점에서 기능안전과 보안을 시스템 수준(System Level)에서 통합해줍니다. 다만 분석 복잡도가 높고 데이터 의존성이 커서, 실무에서는 연구기관·OEM 협력 프로젝트 중심으로 활용되고 있습니다.
DHR - “위험이 생기면 어떻게 막을까?”를 실시간으로 본다
DHR(Dynamic Heterogeneous Redundancy)는 앞선 방법들이 분석 중심이라면, 이 방식은 운용 단계에서의 통합 방어 구조입니다.
핵심 아이디어는 “서로 다른 플랫폼 여러 개에서 같은 기능을 동시에 실행하고, 결과를 비교하자” 입니다. 서로 다른 CPU나 OS, 개발환경에서 동일한 연산을 수행하면 동시에 같은 오류나 침입이 발생할 확률이 매우 낮기 때문이죠.
DHR 시스템에서는 여러 실행기의 결과를 Arbiter가 비교하고, 다수결로 올바른 출력을 선택하며, 이상이 감지되면 문제 실행기를 리커버리합니다.
이 구조는 고장에도 강하고 공격에도 강한 Fail-Operational + Fail-Secure 시스템을 구현합니다. 다만 하드웨어 리소스와 개발 비용이 많이 들기 때문에, 현재는 연구 및 시범 단계 수준입니다.
마무리 - 통합은 ‘미래의 필요조건’
이 네 가지 방법은 아직 완성된 해법이 아니라 가능성의 지형도에 가깝습니다. 각 접근법은 방향을 제시하지만, 모두 현실적인 제약을 가지고 있습니다.
- SAHARA는 표준 기반이지만 정성적이고,
- SeCFT는 정량 분석이 가능하나 위협 데이터가 부족하며,
- FLM + STPA-Sec은 통합 논리는 강하지만 복잡도가 높고,
- DHR은 실시간성이 뛰어나지만 구현비용이 큽니다.
그럼에도 불구하고 이 연구들이 던지는 메시지는 분명합니다. “안전과 보안은 더 이상 분리된 영역이 아니다.” 실무에서도 이제는 별도의 팀과 절차로 나뉘어 있던 안전·보안 업무를 각자의 전문성을 살려서 기능적 효과성과 효율성을 지금처럼 추구하지만, 각 분야를 연결하고, 리스크 식별·검증·테스트 데이터를 공유하며, 공통된 언어로 협업하는 프로세스를 고민해야 할 시점입니다.
왜냐하면, 각 영역이 따로 노력하는 데 드는 비용은 이미 커지고 있고, 그 사이 회색지대에서 실제 문제가 발생할 가능성이 높기 때문입니다. 반대로, 통합적인 접근을 통해 위험을 함께 관리하면 보안과 안전, 품질 모두가 동시에 향상될 수 있습니다. 지금은 완성된 솔루션을 찾을 때가 아니라, 통합의 사고방식 자체를 설계해야 할 때입니다.
참고 문헌
- An Integrated View on Automotive SPICE, ISO 26262 and Security Engineering, 2020
- Integrated Safety and Security Analysis Using Security-enhanced Component Fault Trees (SeCFT), 2019
- Integrating Safety and Security Analysis—Using Failure Logic Modeling and System-Theoretic Process Analysis, 2021
- Integrated Safety and Security Enhancement of Connected Automated Vehicles Using DHR Architecture, 2023