서론
소프트웨어가 차량에서의 핵심이라고 할 수 있는 SDV의 등장은 자동차 산업 전반에 혁신적인 변화를 가져왔습니다. 지속적인 업데이트를 통한 실시간 기능 개선 뿐만 아니라, 사용자의 요구에 따라 다양한 서비스를 제공하는 서비스형 차량(Car-as-a-Service) 모델, 필요 시 유료로 기능을 추가하거나 변경할 수 있는 기능 판매(Firmware-as-a-Feature) 모델 등 새로운 비즈니스 모델들이 활성화되고 있습니다.
이러한 비즈니스 모델은 기존의 인증 프로세스가 감당하기 어려운 높은 빈도와 복잡성을 가지며, 이에 따라 소프트웨어의 안전성과 신뢰성을 보장하기 위한 새로운 인증 프로세스와 접근법의 필요성이 대두되고 있습니다. 본 글에서는 SDV 환경에서 소프트웨어 업데이트와 관련된 국제 표준의 역할과 중요성을 설명하고, 업데이트 과정에서 반드시 고려해야 하는 핵심 사항들을 다룹니다.
ISO 26262 기반의 기능 안전성 검증
변경영향분석의 필요성과 적용 방식
소프트웨어 업데이트가 빈번하게 이루어지는 SDV 환경에서는 차량의 기능 안전성 평가가 더욱 중요해지고 있습니다. ISO 26262는 자동차의 전자 및 전기 시스템의 기능 안전성을 관리하는 국제 표준으로서, 소프트웨어가 업데이트될 때마다 변경영향분석(Change Impact Analysis)을 실시하여, 변경 사항이 안전에 영향을 미치는지 여부를 판단하고, 안전에 영향을 주는 경우에만 세부적인 위험 분석과 검증을 실시하게 규정하고 있습니다.
재검증 범위 설정
변경영향분석은 우선 변경된 기능 및 소프트웨어 구성요소를 명확히 식별하고, 변경된 부분이 차량 전체 시스템의 안전성에 미치는 영향을 평가합니다. 이 과정에서 안전과 직접 관련된 변경 사항인지, 간접적으로 연관된 항목인지 구분하여 재검증 범위를 설정합니다. 변경이 안전과 관련된 주요 기능 또는 중요한 인터페이스에 영향을 미치는 경우에는 더욱 심화된 위험 분석 및 검증 절차를 수행해야 합니다.
변경 관리 및 형상 관리
ISO 26262 Part 8에서는 변경 관리(Change Management) 및 형상 관리(Configuration Management)를 다루고 있습니다. 변경 관리에서는 소프트웨어 변경이 이루어질 때마다 문서화된 절차를 통해 변경 요청, 승인, 구현 및 검증 과정이 철저히 관리되어야 합니다. 형상 관리에서는 소프트웨어 형상 항목과 버전 관리, 형상 항목의 식별 및 추적 가능성을 확보하여, 소프트웨어의 변경 이력과 형상 상태를 정확히 유지해야 합니다. 따라서 OTA(Over-The-Air) 업데이트 환경에서는 특히 변경사항의 추적성과 형상 관리를 철저하게 해서 차량의 기능 안전성을 지속적으로 보장하는 것이 중요합니다.
ISO/SAE 21434 기반 소프트웨어 무결성 검사 및 적용 사례
소프트웨어 무결성 확보를 위한 기술 적용
SDV 차량의 소프트웨어 업데이트 과정에서는 소프트웨어 무결성 검사가 필수적입니다. ISO/SAE 21434는 차량의 사이버 보안을 확보하기 위한 국제 표준으로, 업데이트 시 전달되는 소프트웨어의 디지털 서명 검증, 해시 무결성 확인, 암호화 전송 여부 등의 사이버 보안 절차를 명확히 제시하고 있습니다.
OTA 시나리오 적용 예시
디지털 서명은 소프트웨어의 출처와 변경 여부를 확인하는 데 중요한 역할을 합니다. 예를 들어, 차량 내 인포테인먼트 시스템 소프트웨어가 새로운 기능을 추가하거나 UI를 업데이트하는 경우, 해당 소프트웨어는 개발사에서 디지털 서명된 상태로 서버에 업로드됩니다.
이후 차량은 OTA 업데이트 시점에 이 서명을 검증하여 해당 파일이 신뢰할 수 있는 출처로부터 전달되었는지를 확인하게 됩니다. 해시 무결성 검사는 소프트웨어가 전송 및 저장 중 변경되거나 손상되지 않았는지를 검증하며, 암호화 전송은 OTA 과정에서 악의적인 공격자가 데이터 패킷을 가로채거나 변조하는 것을 방지하는 데 필수적입니다.
예를 들어 ECU 제어 로직이 포함된 중요한 소프트웨어 모듈이 업데이트될 경우, 이 모듈은 TLS와 같은 암호화 채널을 통해 전송되어야 하며, 수신 측에서도 이를 복호화하고 검증하는 절차가 마련되어야 합니다.
보안 표준 적용 확대
더불어 IEC 62443(산업제어시스템 보안)과 UNECE WP.29(사이버 보안 및 OTA 규제) 등 최신 표준과 규제를 반영하여 더욱 체계적인 보안 관리를 수행해야 합니다. 특히 ISO/SAE 21434에서는 위협 분석 및 위험 평가(TARA)를 통해 소프트웨어 변경 시 발생할 수 있는 위협 시나리오를 식별하고, 이에 따른 보안 요구사항을 업데이트된 코드에 적용하는 것이 중요합니다. 예를 들어, 통신 프로토콜이 업데이트되거나 외부와 연결되는 기능이 추가되는 경우, 새롭게 발생할 수 있는 공격 벡터에 대한 위협 모델링과 그에 따른 보안 요구사항 재정의가 요구됩니다.
실시간 시뮬레이션과 HIL 중요성 및 적용 사례
개발 및 검증 절차: MBD → SIL → HIL
소프트웨어의 동적 특성상 전통적인 정적 분석만으로는 안전성을 충분히 확보할 수 없습니다. 이를 보완하기 위해 모델 기반 설계(Model-Based Design, MBD)와 SIL(Software-In-the-Loop)을 우선 실시하여 초기 단계부터 소프트웨어의 문제점을 사전에 발견할 수 있습니다.
시나리오 기반 실시간 시뮬레이션
이후 단계에서는 실시간 시뮬레이션을 통해 다양한 사용 시나리오에서 차량 소프트웨어가 어떻게 동작하는지 평가하며, 실제 차량 환경과 동일한 하드웨어 조건에서의 HIL(Hardware-in-the-Loop)을 수행합니다.
의도하지 않은 사용 조건의 검증 예시
이 과정에서 ISO 21448(SOTIF) 표준에 따라 의도하지 않은 사용 상황을 고려한 시나리오 기반의 검증 활동을 병행하여, 예상치 못한 환경에서도 차량이 안전하게 작동할 수 있도록 검증합니다. 예를 들어, 자동 긴급 제동 시스템(AEB)이 특정 조도 조건이나 비정상적인 도로 경계 인식 환경에서 잘못 작동할 수 있는 경우, 이러한 상황을 가상 환경에서 시뮬레이션하고 SIL로 논리 오류를 점검한 뒤, HIL을 통해 실제 하드웨어에서의 반응까지 검증할 수 있습니다.
이처럼 SOTIF 기반 검증은 일반적인 사용 조건 외에 다양한 예외 상황(예: 눈부심, 카메라 렌즈 오염, 신호 간섭 등)을 포괄함으로써 소프트웨어가 예기치 않은 입력에도 안전하게 작동하는지 확인하는 데 필수적인 절차입니다.
각 표준의 통합 관점에서의 고려사항
SDV 관련 각 인증 기준들은 일부 공통 요소를 가지면서도, 특정 기준에서만 요구되는 고유한 항목들을 포함하고 있습니다. 예를 들어 ISO 26262의 변경영향분석과 ISO/SAE 21434의 TARA는 모두 변경사항 분석을 요구하지만, 분석 목적과 항목이 다르며, ISO 21448의 SOTIF는 기능 안전 기준과도 구분되는 별도의 판단 기준이 있습니다. 또한 변경 관리와 형상 관리의 접근 방식 역시 각 표준에서 요구하는 목적이 다를 수 있습니다.
이러한 상이성과 중복성을 고려할 때, OEM과 Tier1은 각 표준 요구사항을 개별적으로 대응하기보다는 통합적이고 유기적인 프로세스를 수립해야 합니다. 이를 위해 각 인증 항목들을 상호 연계하여 처리하는 체계적인 검토가 필요합니다.
예를 들자면 소프트웨어 기능 변경 시 변경영향분석(CIA)을 사용해서 안전 관련 변경을 식별하고, 해당 변경이 보안 측면에서도 영향이 있는지 TARA를 함께 수행합니다. 이후 변경 요청 및 승인 과정을 변경 관리 절차에 따라 문서화하고, 변경된 구성 요소는 형상 관리 시스템에 반영합니다.
이와 동시에 해당 기능이 비정상 상황에서도 안전하게 동작하는지를 검증하기 위해 SOTIF 기반 시나리오를 시뮬레이션하고, 실시간 시뮬레이션과 HIL로 최종 확인합니다. 마지막으로 이러한 모든 과정은 CI/CD (Continuous Integration/Continuous Deployment)파이프라인 내에서 자동화되고, 원격 진단 시스템을 통해 실제 차량에서의 반응을 지속적으로 모니터링할 수 있어야 합니다.
이와 같은 통합적 접근법은 복잡한 인증 요건을 효율적으로 충족하면서, SDV의 실질적 운영 환경에서 안전성과 신뢰성을 확보하는 데 핵심적인 전략이 될 것입니다.
마무리
SDV의 소프트웨어 업데이트 환경에서 기능 안전, 사이버 보안, 비의도적 위험 대응 등 다양한 인증 기준들이 통합적으로 관리되어야 합니다. OEM과 Tier1은 단순한 표준 준수를 넘어서, 이들 요구사항을 실질적 프로세스에 반영하고 상호 연결함으로써 안전성과 효율성을 동시에 확보할 수 있게 프로세를 겸비하고 개선해야 합니다.