Skip to main content

진행 : 디일렉 한주엽 대표

출연 : 한양대 김병철 교수

-오늘 영상 시작하기 전에 광고 한 말씀 드리고 가겠습니다. 자동차 기능안전 사이버보안(CSMS)에 대해서 디일렉 교육장에서 디일렉과 ADS Squsre와 한양대학교 미래자동차공학과, 그리고 키와코리아가 공동으로 주최하는 교육 행사를 엽니다. 오늘의 콘텐츠도 관련된 내용이니까, 한번 들어보시고 관심 있으신 분들은 등록을 해주시면 고맙겠습니다. 김병철 한양대학교 교수님 모셨습니다. 안녕하십니까. 교수님.

“예. 반갑습니다.”

-작년에 한 번 나오셨죠?

“작년에 기능안전에 대해서 ISO26262에 대해서 제가 책을 내면서 소개를 많이 했습니다.”

-오늘 말씀하실 내용도 자동차 기능안전인데. 여기에 ‘사이버보안’이라고 타이틀이 붙었단 말이죠? 자동차 기능안전과 사이버보안. 어떤 연관성이 있는 겁니까?

“기능안전하고 사이버보안은 연관성이 상당히 많이 있습니다. 사이버보안을 제가 이번에 통합 과정을 이번에 교육을 하게 된 동기는 UN Regulation 155에 보면 사이버보안에 대한 규정이 새로 만들어졌습니다.”

-언제 만들어졌습니까?

“2000년 아마 4월에 만들어졌습니다.”

-2000년 4월? 20년 전 4월에 만들어졌다는 겁니까?

“2020년 4월.”

-2020년 4월

“만들어져서 그에 관련된 해설서가 있을 거에요. 해설서를 통해서 새로운 표준이 나왔는데 그 표준이 ISO/SAE 21434라는 표준이 2021년 작년 8월에 제정이 되었습니다.”

-사이버보안 국제표준 ISO/SAE 21434가 자동차에 사이버보안에 대해서 규정하는?

“네. 자동차에 대한 사이버보안을 규정하고 있습니다.”

-우리가 자율주행차가 막 돌아다니면 다 같이 전장하고 또 통신도 하고 그럴 탠데 그 통신망 뚫고 들어와가지고 혹시 모르는 해커들이 들어와서 뭔가 이 권한을 뺏어 가지고 브레이크를 밟으면 안 되는데 브레이크를 밟는다거나. 이런 거를 막는다라는 표준인가요?

“그렇죠. 100% 막을 순 없지만 그런 것을 최대한 줄일 수 있는 방안을 사이버보안 표준으로 명기를 했습니다. 아마 UN Regulation 155는 두 가지 승인을 받아야 합니다. 하나는 자동차 형식 승인(Vehicle Type Approval). 자동차 형식 승인을 받아야 되고요 그걸 자동차 형식 승인(Vehicle Type Approval)이라고 하고요. CSMS가 바로 ISO/SAE 21434가 CSMS(Cyber Security Management System)입니다. 그럼 완성차는 자동차 형식 승인(Vehicle Type Approval)와 자동차 사이버보안 경영 시스템 (CSMS)를 인증을 받아야 되고요, 그리고 협력사들은 완성차에 Cyber Security 정책에 따라서 자기네들이 Security 코딩을 한다든지 Security 테스팅을 한다든지 하고 난 이후에 CSMS 인증을 받아야 된다는 게 강제 규정으로 되어있습니다. 그 표준이 바로 ISO/SAE 21434라는 표준입니다.”

-지금 CSMS라고 얘기 해주셨는데 그게 사이버보안 경영 시스템 (CSMS). 그리고 자동차 형식 승인(Vehicle Type Approval)이라고 얘기하셨는데 그것은 차량 형식 승인.

“완성차에 대해서 형식 인증. 제품인증을 하는 거죠.”

-누가 합니까 인증을

“그것은 국제적으로 각 나라에서 법규를 UNECE WP29에 가입된 국가들이 있습니다. 약 64개국이 있는데요. 그 나라의 인증 제도에 따라서 규정을 갖추는데 네덜란드라든지 독일이라든지 이런 나라들은 규정을 갖췄습니다. 영국은. 그런데 한국은 아직 법규를 갖추지 못하기 때문에 자동차안전연구원(KATRI)에서 지금 현재 준비 중인 거로 알고 있습니다.”

-어디서 준비 중이라고요?

“자동차안전연구원(KATRI)이라고 부르죠. 저 화성에 있는.”

-자동차와 관련된 사이버보안 국제 표준. 이 사이버보안 국제 표준에 의하면 아까 말씀하신 CSMS, VTA에 대한 거는 인증은 무조건 받아야 한다고. 규정이 되어 있는 거에요?

“UN 법규에 규정이 되어있고요. 거기에 가입된 나라들 60개국은. 자기네들이 규정을 만들어가지고 의무적으로 할 예정인데요. 유럽은 그걸 규정화 시켰습니다. 새로운 신차가 나오게 된다면 내년 7월 이전까지. CSMS와 VTA 인증을 받아야만 유럽으로 통관이 될 수 있습니다. 새로운 신차들은. 먼저 새로운 신차가 나왔는데 그 VTA, CSMS 인증을 받지 않으면 유럽은 통관이 되지 않습니다.”

-유럽에 차 못 판다라는 얘기네요?

“네 못 판다라는 얘기입니다. 새로운 신차에 대해서만. 그런데 다른 나라들은 아직 규정이 만들어지고 있으니까 판매는 되는데 각 나라별로 그게 만들어진다고 하면 마찬가지로 VTA, CSMS 인증을 받아야 되겠죠. 그리고 한가지 더불어 지금 판매되고 있는 차량. 기존에 개발되어서 판매되고 있는 차량은 2024년 7월까지 인증을 받아야만 통관이 될 수 있습니다.”

-만들어 놓은 차를 어떻게 인증받습니까?

“그건 CSMS 갖춰져 있으니까 VTA 인증을 받을 수 있도록 뭔가 업그레이드를 해야 되겠죠.”

-유럽이 자동차 큰 시장 아닙니까. 그리고 잘하는 회사도 다 거기 모여 있고요.

“아마 자동차 시장 1위는 중국이고요. 근데 중국은 대부분 자국이나. 2위가 미국, 3위가 유럽 시장으로 보시면 됩니다.”

-3위. 큰 시장인데 거기에 차를 팔려면 CSMS와 VTA 인증을 받아야 되는데 한국에는 아직 인증을 해주는 곳은 없다.

“지금 자동차안전연구원(KATRI)가 준비를 하고 있습니다.”

-좀 늦은 거 아닙니까? 작년 8월에 공표가 됐는데.

“규정은 2020년에 규정됐으니까. 사실 조금 늦은 감이 있고요. 우리나라는 이 부분에 대해서 먼저 선두를 치고 나가기보다는 유럽이나 미국에서 하고 있으면은 따라가는 그런 입장이죠.”

-사이버보안 경영 시스템 (CSMS)은 뭘 얘기하는 거예요?

“사이버보안 경영 시스템 (CSMS)라는 것은 사이버보안을 진행하기 위해서 그 회사가 갖춰야 될 경영시스템, 프레이밍, 계, 조직. 그걸 설계하거나 관리하는 사람들에 대한 자격 부여, 유지 그리고 설계, 설치, 검증, 시험. 그다음에 폐기 때까지 필요한 정보 탈취라든지 환경 보호라든지. 안전에 관계된 것을 다 관리하겠다고 규정한 표준으로 보시면 됩니다.”

-그러면 그거에 대상이 되는 기업들은 어떤 기업들이 있나요? 자동차 완성차 업체는 당연히 들어갈 테고.

“완성차 업체가 전기·전자 시스템의 통신 시스템이 외부랑 통신하는 시스템의 전기·전자 시스템이 내부적으로 네트워킹이 되어있다고 하면 다 관련이 된다고 보시면 됩니다.”

-그럼 그 자동차 완성차 업체의 관련된 부품을 공급하는 회사들도 다 인증을 받아야 되는 거에요?

“기계 부품이나 그건 해당되지 않고요. 전기·전자부품.”

-예를 들어서 한국인이 현대차에 전기·전자부품을 공급하는 회사들이라고 하면 CSMS를 다 받아야 한다는 얘기네요?

-그렇죠. CSMS 인증은 받아야 되고요.

“지금 모르는 회사가 너무 많습니다.”

-자동차 형식 승인(Vehicle Type Approval)은 누가 받는 거예요?

“완성차가 받습니다.”

-대기업이니까 당연히 내부에서는 되어가고 있구나라는 건 인지는 하고 있겠네요. 더 잘 알고 있을 수도 있고요.

“작년에 현대자동차가 네덜란드 자동차 형식승인 RDW(네덜란드 자동차 등록청)라는 기관이 있습니다. 거기로부터 CSMS 인증을 받은 거로 알고 있습니다.”

-받은 거로 알고 있습니다. 교수님 우리가 ISO26262는 세컨드 에디션까지 나와서 이미 이제 많은 사람들이 알고 그쪽에 대응을 하고 있는 걸 알고 있는데. 최근에 무슨 사이버보안 국제표준이라고 새로 나왔다면서요. 어떤 겁니까?

“ISO/SAE 21434라는 표준이 나왔습니다. 이 표준은 UN Regulation 155에 따라서, CSMS를 준수할 수 있는 하나의 규정된 표준이라고 보시면 될 거 같습니다.”

-CSMS는 뭘 의미하는 겁니까?

“Cyber Security Management System의 약자인데요. 사이버경영시스템을 회사가 지속적으로 유지하려고 하면 회사의 사이버보안 문화라든지 정책이라든지 계획, 인원에 대한 자격 부여, 역량 관리, 사이버보안 요구사항을 만들어내고. 사이버보안 목표와 리스크 분석을 통해서 그것을 체계적으로 설계, 검증, 설치하고 폐기 때까지 사이버보안에 관계된 정보 보호라든지 안전이라든지 이런 것들을 유지하자고 나온 표준입니다.”

-그 CSMS가 말하자면 사이버보안 경영 시스템이 이 회사가 잘 되어있다와 안 되어있다를 판단을 누가 합니까?

“그것은 CSMS를 승인해줄 수 있는 인증 기관들이 있습니다. UN Regulation UNECE WP 29에 가입된 회원국이 60개국 정도 되는데요. 각 나라별로 자국에 사이버보안 정책을 규정을 아니면 법규를 만들어가지고 운영을 하는 그런 인증기관을 승인해준 기관에서 심사를 통해서 인증서를 발행합니다.”

-CSMS말고 뭐 다른 것도 있던데.

“완성차 받아야 될 자동차 형식 승인(Vehicle Type Approval) 인증서가 있습니다.”

-VTA이 뭐의 의미이니까?

“자동차 형식 승인(Vehicle Type Approval)이라는 인증인데 그거는 자동차가 사이버보안에 대해서 제대로 잘 막아내고 리스크를 줄일 수 있는지를 확인하는 제품인증 같은 그런 제도입니다.”

-사이버보안 국제표준이 2021년 8월에 발표가 되었는데 지금 얘기했던 CSMS, VTA 이 두 가지 지켜야 된다? 인증받아야 한다고 얘기를 하셨는데. 강제적으로 해야 되는 겁니까?

“강제적으로 해야 합니다. 그래야만 수출이 될 수 있습니다. 지금 현재 가입된 나라 중에서 유럽연합이 이것을 강조했습니다. 법규화 해서, 새로운 차. 앞으로 나오는 신차 “New Car”라고 말합니다. 새로운 차는 2022년 7월까지 VTA 인증과 CSMS 인증을 받아야만 유럽으로 차량이 통관될 수 있습니다. 만약에 이것을 받지 않으면 수출을 할 수 없습니다.”

-올해 7월이요?

“네. 새로운 차에 대해서입니다.”

-작년에 발표가 되었고. 인증은 누가 해줍니까? 지금은 한국에선 누가 합니까?

“지금 한국은 인증기관이 없습니다. 현재 국토교통부에서 이것을 인지하고, KATRI라는 한국 교통안전 연구원에서 준비하고 있는 중입니다.”

-이거를 왜 하는 겁니까? 말하자면 우리가 자율주행차가 돌아다니기 시작하면 외부에 어떤 다른 기기들이나 서버들하고 통신을 할 텐데. 그 통신망을 타고 해커가 들어와서 차를 해킹해서 사고가 난다거나 예상치 않을 조작을 하는 걸 방지하기 위해서 이런 표준이 만들어진 거죠?

“맞습니다. 아마 기억하실지 모르시겠지만, 2016년에 미국에서 해커 둘이 어떤 회사에 차량을 해킹을 해가 지고 마음대로 조작을 한 동영상이 있을 거예요. 뉴스에서도 나왔습니다. 그 동영상이 발표되고 난 뒤에, 그 회사가 아마 그다음 날 140만대의 차량을 리콜한 거로 알고 있습니다. 동영상 찾아보시면 충분히 많이 나와져 있고요. 그런 것들이 비일비재할 것이다. 그러면 운전자가 손도 대지 않고 교통사고뿐만 아니라 개인정보도 탈취할 수 있고요. 그리고 자산. 앞으로 차량이 자율주행이 되면 차량에서 금융거래도 할 수 있습니다. 그런 것들을 통해서 재산을 탈취할 수 있기 때문에, 여기에 대해서 대비하기 위해서 이런 표준들과 규정들이 만들어졌다고 볼 수 있습니다.”

-최근에 나오는 독일의 벤츠 같은 자동차들 보면 하드웨어적으로는 기능을 다 구현을 해놨는데 구동 모델이라고 합니까? 돈을 매달 얼마씩 내면 어떤 기능을 추가로 사용할 수 있게 OTA로 업데이트해 주고 하더라고요. 그런 거 누가 치고 들어오면은 문제가 생길 수 있다라는 거군요. 지금 CSMS와 VTA 이 두 가지에서 계속 우리가 뭔가 표준에서 권고한 사항을 맞춰야 된다는 건데. 이게 꼭 그 인증 기관에 인증을 받아야 할 필요가 없는 거 아닙니까?

“인증 기관에 인증을 받아야 된다고 규정화되어 있습니다. 그래서 회원국으로 가입된 60개국은 각 나라별로 규정화 해서 지금 제작 중에 있고요. 그걸 제일 먼저 수행하는 곳이 유럽연합이라고 보시면 될 거 같습니다.”

-인증 기관 돈 많이 벌겠는데요?

“돈을 많이 벌 수도 있고요. 못 벌 수도 있는데.”

-왜냐하면 인증해주려면 들어가서 받아야 되고 하면 비용이 나오니까.

“그래서 돈은 되겠죠. 제가 왜냐하면 예전에 TUV 라든지 BV 라든지 이런 인증 기관에 근무를 했는데요. 솔직히 말씀드리면 돈 되는 비즈니스입니다. 우리나라는 이런 인증 기관들이 많이 없기 때문에 좀 안타까울 뿐입니다.”

-사이버보안 경영 시스템 같은 경우에 CSMS 같은 경우에 대상기업이 어떤 대상 기업입니까?

“전기·전자에 해당되는 기업이고요. 전기·전자라도 외부 통신이 연결되서 내부에서 인터페이스 된다고 하면 대상이 됩니다. 근데 외부 통신과 연결이 되더라도 내부의 인터페이스가 연결이 안 되면 해당이 안돼고요. 만약 기계 부품 같은 경우도 해당이 되지 않습니다. 중요한 건 외부랑 연결되고 그 연결된 게 내부에서 인터페이스 된다고 하면 다 대상이 된다고 볼 수 있습니다.”

-그럼 완성차도 이 사이버보안 경영 시스템 구축을 하고 인증을 받아야 되는 것이고 그 완성차가 말씀하신 그 외부하고 통신 되고, 인터페이스 연결되는 이 중간의 부품이나 이런 거 공급하는 부품이나 소프트웨어 공급하는 회사들도 인증을 받아야 되는 건가요?

“CSMS 인증을 받아야 되는데요. 그 협력사들은 CSMS 인증을 일단 먼저 받아야 되고요. 더불어 완성차에서 뭔가 사이버보안에 대한 정책이나 방향성을 제시를 합니다. 그러면 그 정책에 따라야 되고요. 그다음 완성차는 CSMS 인증을 받아야 되고 더불어 자동차 형식 승인(Vehicle Type Approval) 인증도 두 가지를 받아야 됩니다. 그래야만 통관이 됩니다.”

-완성차 업체는 자동차 형식 승인(Vehicle Type Approval)도 같이 받아야 된다. 대기업들이니까 하지만 중소업체들 소프트웨어나 하드웨어 하는 회사들은 CSMS 받아야 한다. 사실 잘 모를 거 같은데요? 올해 7월부터인데 당장 지금 한국에서 인증기관도 없고. 그럼 해외나가서 받을 수도 있는 겁니까 인증을?

“지금 한국에 들어와 있는 기업 중에 인증기관이 유럽인증기관이 몇 개 있습니다. 거기에서 CSMS, VTA 인증을 받습니다.”

-거기서 받아도 되는 겁니까?

“지사에서 수행하고요. 아니면 유럽 본사에서 심사원이 와서 심사를 하니까요.”

-이 영상을 보시는 자동차, 자율주행 쪽에 통신과 연관되어있는 기업들은 이 내용들 잘 알고 있어야 되겠네요.

“잘 알고 있을 뿐만 아니라요. 아마 기존에 ISO26262 기능안전을 많이 추진해왔습니다. 제가 이번에 교육을 하는 목적은 사이버보안만 해서는 안돼고요, 기능안전하고 사이버보안을 동시에 추진해야 된다고 강조하고 싶습니다.”

-왜 그렇습니까?

“아마 기능안전은 예전부터 IEC 61508, 1998년에 나왔기 때문에 20년이 넘었고요. 자동차 기능안전은 21년에 나왔습니다. 그래서 ISO26262가 지금 10년이 넘었는데 제2판이 2018년에 나와가지고 2판을 따라가는데.”

-반도체가 들어왔죠.

“반도체가 들어와 있고. 준비를 나름대로 많이 익숙해져 있습니다. 기존에 자동차사들은 사이버보안보다는 안전 위주로 준비를 많이 해왔습니다. 안전 위주를 하고. 사이버보안이 외부랑 통신을 하게 되니까 사이버보안으로 왔는데. 기능안전하고 사이버보안의 표준이 나와져 있는데 거의 유사합니다. 대표적인 게 기능안전경영시스템 중에 기능안전문화 ‘Safety Culture’라고 얘기를 합니다. 기능안전에서는. 그런데 사이버보안에서는 ‘Cyber Security Culture’라고 얘기합니다. 그리고 우리가 계획서를 만들어야 합니다. 기능안전을 ‘Safety Plan’이라고 불러요. 그런데 사이버보안에서는 ‘Cyber Security Plan’이라고 불러요. 그럼 협력사랑 같이 개발할 때 협력해서 같이 개발하면 기능안전에서는 DIA라는 문서에 서명해서 계약서를 맺습니다. DIA(Development Interface Agreement)라고 합니다. 그럼 사이버보안은 CIA라고 부릅니다. CIA(CyberSecurity Interface Agreement). 기능안전만 잘 알고 있으면 사이버보안을 접목할 때는 금방 쉽다는 겁니다. 이거를 매칭을 잘 못 시키다 보니까 지금 현재는 대부분의 회사들이 따로따로 놀고 있습니다. 테스팅할 때도 같이 중복으로 할 수 있는데, 효율적으로 줄일 수 있는데 그거를 못 줄이다 보니까 이번 기회를 통해서 줄일 수 있는 방법. 아니면 효과적으로 기능안전과 사이버보안을 동시에 추진하는 방법을 알려드리고 싶습니다.”

-전문가가 말하자면 기능안전 전문가와 사이버보안 전문가를 같이 써도 좋지만 한 분이 다 할 수 있다는 의미인 건가요?

“지금 현재는 한국에는 양쪽 전문가가 다 없기 때문에. 다 할 수 있는 전문가가 없기 때문에요. 융합을 할 수 있는 그런 전문가 체제로 트레이닝시키면서 이어 나가야 되죠.”

-근데 지금 말씀하신 내용 들어보니까 올해 7월부터 당장 인증받지 못하면 7월부터는 유럽에 차를 못 판다는 의미로 해석되는데. 한국에 여러 기업들이 이거에 관심을 많이 갖고 있습니까? 어떻습니까?

“지금 현재 우리나라에 완성차 회사가 준비를 해가 지고요.”

-그쪽에서 준비하겠죠.

“그래서 작년 12월에 네덜란드 인증기관에 RDW(네덜란드 자동차 등록청)로부터 CSMS 인증을 받은 거로 알고 있습니다.”

-한국에는 없으니까 거기로 가서 받은 거에요?

“네.”

-그렇군요. 일단 이 내용에 대해서 중요성을 느끼신다면 저희가 진행하는 강의를 한번 들어보시기를 추천 드립니다. 교수님 오늘 여기까지 하겠습니다.

“네. 감사합니다.”

정리_박효정 PD

Leave a Reply