Ⅰ. 개요(Overview)
VDA QMC에서는 차량분야의 보안 표준인 ISO/SAE 21434와 직접적으로 연계하여, 사이버 보안 프로세스 참조 및 심사 모델을 발표하였으며, 기존 Automotive SPICE® 프로세스 모델에 사이버보안과 관련하여 아래 그림과 같이, 6개의 프로세스(ACQ.2, MAN.7, SEC.1, SEC.2, SEC.3, SEC.4)를 추가 정의하였습니다.[4]
그 중 MAN.7 Cybersecurity Risk Management 프로세스는 사이버보안과 관련하여 제품 취약성 분석(예. TARA: Threat Analysis and Risk Assessment)을 통해 사이버 보안 목표(Cybersecurity goal)를 도출하고, 지속적인 사이버 보안 모니터링에 대한 프로세스를 기술하고 있습니다. 그리고 Cybersecurity Engineering Process Group에 그룹에 해당하는 SEC.1, SEC.2, SEC.3, SEC.4 프로세스는 시스템(Automotive-SPICE®의 System Engineering Process)과 소프트웨어(Automotive-SPICE®의 Software Engineering Process) 프로세스와 연계하여 적합한 사이버 보안 요구사항을 개발하고 이를 충족하기 위한 설계를 수행하고, 검증 및 확인(Validation)을 통해 사이버 보안 목표를 준수하였는지를 검증하도록 기술하고 있습니다. 마지막으로 ACQ.2 Supplier Request and Selection는 제품을 공급받는 경우 사이버보안의 역량 있는 업체 선정에 대한 프로세스를 정의하고 있습니다. 아래 표는 6개 프로세스에 대해 기술한 요약 표입니다.
UNECE는 차량 사이버 보안에 대해 22년 7월 신차에 적용을 시작으로, 24년 7월부터는 모든 차량으로 확대 적용을 요구하고 있습니다. 이에 대응하는 ISO/SAE 21434는 제품의 개발 과정을 포함하여, 생산/운영/유지보수/폐기 동안 사이버 보안의 요구사항을 규정하고 있습니다. 그리고 ISO/PAS 511(2022)의 사이버보안 엔지니어링 감사(Audit)에 대한 가이드라인은 아직 개정 중이며, 대신 VDA QMC의 ACSMS Audit이 발간되어 사용되고 있습니다. 그리고 Automotive SPICE® for Cybersecurity는 개발 과정의 사이버 보안 관련 프로세스를 정의하고 있습니다. 다음 II장에서는 Automotive SPICE® for Cybersecurity이 포함된 프로세스를 살펴보고, III장에서는 ISO/SAE 21434에서 정의하는 요구사항과 비교하고, 마지막 IV장에서 차량의 형식 승인(Homologation) 관점에서 Automotive SPICE® for Cybersecurity의 등급 판정(Rating)에 대해 기술하고자 합니다.
Ⅱ. Automotive SPICE® for Cybersecurity
VDA QMC에서는 차량분야의 보안 표준인 ISO/SAE 21434와 직접적으로 연계하여, 사이버 보안 프로세스 참조 및 심사 모델을 발표하였으며, 기존 Automotive SPICE® 프로세스 모델에 사이버보안과 관련하여 아래 그림과 같이, 6개의 프로세스(ACQ.2, MAN.7, SEC.1, SEC.2, SEC.3, SEC.4)를 추가 정의하였습니다.[4]
그 중 MAN.7 Cybersecurity Risk Management 프로세스는 사이버보안과 관련하여 제품 취약성 분석(예. TARA: Threat Analysis and Risk Assessment)을 통해 사이버 보안 목표(Cybersecurity goal)를 도출하고, 지속적인 사이버 보안 모니터링에 대한 프로세스를 기술하고 있습니다. 그리고 Cybersecurity Engineering Process Group에 그룹에 해당하는 SEC.1, SEC.2, SEC.3, SEC.4 프로세스는 시스템(Automotive-SPICE®의 System Engineering Process)과 소프트웨어(Automotive-SPICE®의 Software Engineering Process) 프로세스와 연계하여 적합한 사이버 보안 요구사항을 개발하고 이를 충족하기 위한 설계를 수행하고, 검증 및 확인(Validation)을 통해 사이버 보안 목표를 준수하였는지를 검증하도록 기술하고 있습니다. 마지막으로 ACQ.2 Supplier Request and Selection는 제품을 공급받는 경우 사이버보안의 역량 있는 업체 선정에 대한 프로세스를 정의하고 있습니다. 아래 표는 6개 프로세스에 대해 기술한 요약 표입니다.
Ⅲ. ISO/SAE 21434 vs Automotive SPICE for Cybersecurity
Automotive-SPICE® for cybersecurity와 ISO/SAE 2143를 간략한 비교 및 매핑은 아래와 그림과 같습니다.
위의 그림과 같이 ISO/SAE 21434의 5절에 해당하는 조직의 사이버 보안 관리는 Automotive SPICE® for Cybersecurity의 Capability Level 3에 해당하는 PA3.1과 PA3.2에 연계할 수 있습니다. 6절의 프로젝트 사이버 보안 관리는 Automotive SPICE® for Cybersecurity Capability Level 2에 해당하는 PA2.1과 PA2.2 또는 테일러링의 경우 PA3.1과 PA3.2와 연계할 수 있습니다. 7절의 분산된 사이버 보안 활동은 ACQ.2와 ACQ.4 프로세스와 직접적인 관련이 있습니다. 8절의 지속적 사이버 보안 활동은 Automotive SPICE® for Cybersecurity와 직접적으로 연계되는 프로세스는 없으나 일부 MAN.7 프로세스의 활동과 관련됩니다.
그리고 위 그림 붉은 선 영역의 9절은 MAN.7 프로세스 대응되며, 10절과 11절은 Cybersecurity Engineering Process Group에 해당하는 4개의 SEC.1, SEC.2, SEC.3, SEC.4 프로세스들과 직접적으로 대응됩니다.
Automotive SPICE® for Cybersecurity는 ISO/SAE 21434의 12절 및 13절에서 정의하는 생산 이후 단계에 대한 활동은 기술하지 않고, 개발단계의 프로세스만으로 한정하고 있습니다. 특히 Automotive-SPICE® 모델은 “How”를 통해 방법을 제시하는 것이 아니라, “What”을 통해 해당 프로세스의 달성해야 하는 목적 및 의도를 제공하고 있어 TARA와 같은 구체적인 방법은 ISO/SAE 21434의 15절을 참고해야 합니다.
Ⅳ. Automotive SPICE for Cybersecurity rating and homologation
VDA QMC는 차량의 사이버보안의 형식승인(Homologation)에서 Automotive-SPICE® 사이버보안의 심사(Automotive-SPICE® for Cybersecurity Assessment)와 사이버 보안 형식 승인(Homologation of Cybersecurity) 간의 등급 판정(Rating)에 대한 가이드를 제공하고 있습니다. 물론 이 부분이 형식승인의 강제사항은 아니며, Automotive-SPICE® for Cybersecurity를 적용하고 심사할 때 가이드로 활용하도록 권고하고 있습니다.
전제조건으로 Automotive SPICE® for Cybersecurity 심사를 단독으로 수행하려면 먼저 Automotive SPICE®의 VDA Scope에 대한 심사 결과가 있어야 하고 그렇지 않으면 함께 심사하여야 한다
물론 심사는 분리하여 진행할 수도 있고, 포함하여 진행할 수도 있습니다.
Automotive SPICE® for Cybersecurity를 형식 승인(Homologation)과 연계한 판정기준(Rating)은 아래 표와 같이 3가지의 결과로만 판정해야 합니다.[6]
단, PASSED 또는 PASSED WITH CONDITIONS의 경우 Automotive-SPICE® VDA Scope 프로세스가 반드시 수행되고, Cybersecurity와 관련되어 Capability level 1의 PA1.1에 해당하는 Base Practice 및 Capability level 2의 PA2.2에 해당하는 General Practice들이 Fully achieved가 아닌 경우 low process-related quality risk 관련된 Gap들을 식별해야 합니다.
그리고 형식승인(Homologation)과 연계한 Automotive SPICE® for Cybersecurity의 Rating은 아래 표의 기준을 준용해야 합니다.
단, ACQ.4를 적용하지 않는 경우는 ACQ.2가 심사범위에서 제외할 수 있습니다.
아래 표는 위의 조건인 “PASSED” 와 “PASSED WITH CONDITIONS”에 대한 프로세스별로 등급 판정(Rating) 기준을 정리하여 보여준 예입니다.
단, ACQ.2과 적용이 되면, ACQ.4도 반드시 적용이 되어야 합니다.
결론적으로 본 내용은 다음과 같이 정리할 수 있습니다
- 사이버 보안과 관련하여 UNECE, Local Law, ISO 및 VDA QMC에서 기술하고 있는 법규 및 표준들에 대한 요구사항
- ISO/SAE 21434와 Automotive-SPICE® for Cybersecurity의 공통적인 부분과 서로 다른 부분의 요구사항에 대한 요약
- Automotive-SPICE® for Cybersecurity모델을 활용하여 형식승인(Homologation)을 고려한 등급 판정(Rating)에 대한 방법
[Reference]
[1] Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system (4 March 2021)
[2] Uniform provisions concerning the approval of vehicles with regards to software update and software updates management system (4 March 2021)
[3]https://knuevenermackert.com/en/automotive-spice-for-cybersecurity-in-relation-to-cybersecurity-management-system/
[4] Automotive SPICE® Process Reference and Assessment Model for Cybersecurity Engineering V1.0 (2021-07-16)
[5] ISO/SAE 21434 Road vehicles — Cybersecurity engineering (2021-08)
[6] Automotive SPICE for Cybersecurity_ 1st edition, August 2021