본문바로가기
  • BUSINESS
  • PRODUCT
  • CUSTOMER
  • COMMUNITY

제 목 커넥티드 및 자동화 모빌리티(CAM) 보안
등록일 2021-06-17
첨부파일

<사진 출처 : freepik.com>

 

인공지능, 로봇, 사물인터넷, 고성능 컴퓨터, 5G+ 등 디지털 기술이 자동차 분야에서 빠르게 융합되 고 있다. 이러한 기술융합과 발전에 따라 자동차 분야에서 국경을 초월한 네트워크 연결성이 증가하고, 자율주행의 진화가 가속화되고 있으며, 이와 관련된 교통안전과 사이버보안 정책, 제도, 기술 등의 필요 성도 증대되고 있다. 특히 자동차 기술과 인공지능 기술이 접목된 완전한 자율주행차가 실용화될 시점이 점점 가까워지면서, 운전자 개입 없이 자동차의 충돌을 사전에 방지하고, 무인운송이 가능해지면서 안전 한 도로주행과 도시교통최적화, 에너지 효율극대화 등 자율주행차가 유발할 다양한 사회경제적 혜택에 대한 소비자들과 산업계의 기대가 증폭되고 있다. 자율주행차는 사람들의 모빌리티를 향상시키고 막대한 경제적 편익을 유발할 것으로 예상되면서 테슬 라 등의 선도적인 업체뿐만 아니라 IT 기업들과 전통적인 자동차업체들도 자율주행차 개발 경쟁에 속속 진입하고 있다. 구글은 자율주행기술 자회사인 웨이모(Waymo)를 통해 미국 애리조나주 지역에서 상용 택시서비스인 ‘Waymo One’ 시범적으로 출시하였다. 메르세데스 벤츠, BMW, 아우디 등 주요 자동차 기업들도 자율주행차 개발에 적극적으로 나서고 있다. 반면 위버의 시험주행 차량이나 테슬라의 자율주 행자동차 등이 주행 중에 발생한 사망사고 등이 잇따라 보도되면서 자율주행차량에 대한 안전성과 신뢰 성에 대한 일반인들의 우려도 끊임없이 지속되고 있다. 자동차 산업과 IT 산업이 융합되고 인공지능 등의 신기술을 통합하여 발전하는 분야로 이해관계자(이 용자, 통신사, IT 공급업체, 규제기관, 자동차서비스운영업체 등)들이 서비스, 운영, 인프라의 구현과 운 영에 참여하는 새로운 산업 생태계로 커넥티드 및 자동화 모빌리티(Connected and Automated Mobility, 이하 CAM)가 주목을 받고 있다. CAM 차량유형에는 미래적인 자율주행차 뿐만 아니라 차량 에 다양한 사물인터넷(IoT) 기기가 탑재되고, 네트워크를 통해 주변의 장치들과 데이터를 공유하는 커넥 티드카 등을 모두 포함한다.

CAM은 이용자들의 삶에 혁신적인 변화와 막대한 편익을 제공할 것으로 예상되고 있으나, CAM의 생태계는 새로운 사이버보안 위협과 다양한 도전과제에 직면하는 상황을 맞이할 수도 있다. 이에 따라 UN은 차량규제 조화를 위한 세계포럼(WP.29)으로 운영되는 UNECE(UN Economic Commission for Europe)를 통해 자동차산업의 사이버보안에 관련 사항으로 UNECE WP.29 규정을 채택하였다. 새로운 규정은 차량 사이버위험 관리, 가치사슬에 따른 위험을 완화하기 위해 설계 수준에서 차량을 보호하고, 차량 전체에 걸친 보안사고 감지와 대응을 강화하고, 안전한 소프트웨어 업데이트를 제공을 위한 법적 근거 도입 등을 규정하였다. 유럽연합은 2024년부터 출하하는 모든 차량에서 새로운 사이버보안 규정을 준수하도록 의무화할 것으로 예상된다. ISO은 SAE(Society of Automotive Engineer, SAE)와 함께 자동차 개발, 생산, 서비스 생명주기 전체과정에 대한 관리, 절차, 기술 요건에 대한 표준으로 ISO/SAE 21434(도로차량: 사이버보안공학) 개발 작업을 추진 중이다. UNECE 규정이나 관련 ISO 표준은 제품과 서비스의 사이버보안 목표를 달성해야하는 CAM에 참여 하는 모든 이해관계자들에게 적용될 전망이다. 이와 더불어 CAM 생태계 참여자들은 CAM 차량을 설계 및 개발할 때 안전성, 차량 성능, 제품 및 서비스의 품질, 편리성, 친환경 등 다양한 기능도 고려해야 할 것으로 예상되고 있다.



<사진 출처 : freepik.com>


 

CAM 분야 사이버보안 도전과제 및 권장사항

유럽연합의 정보보호 전담기관인 ENISA(European Union Agency for Cybersecurity)는 2021년 5월 CAM 생태계의 급속한 진전과 새로운 위협요인에 대한 지속적인 등장에 따라 CAM에 참여하는 주 요 이해관계자들과의 논의와 의견을 수렴하고, CAM에 대한 연구, 정책, 법령 등에 대한 분석을 통해서 CAM 분야의 사이버보안 도전과제를 7가지 유형으로 분석하고, 각각에 대해 CAM 생태계에 참여하는 행위자들을 위한 사이버보안 권고사항을 제시하였다.

① 전사업무와 사이버보안 거버넌스의 통합

CAM 생태계는 다양한 이해관계자들이 참여하면서 기존의 자동차 산업과 관련된 업무와 정보기술 과의 유기적이고 조직적인 통합이 중요하다. CAM 환경에는 정보, 통신, 데이터, 클라우드 등 다양한 정 보통신 인프라와 함께 모빌리티와 관련된 물리적인 시설, 장비, 부품, 서비스 등을 포괄한다. 기존의 정 보통신과 자동차 분야는 시스템 개발 주기나 품질검증 체계, 규제 승인 등에 있어서 보안과 안전요건, 기술적 요구사항 등 다양한 차이를 보인다. 이러한 환경에서 물리적인 안전요건과 사이버보안 요건을 조 정하고, 사이버보안 활동을 기존의 기업 활동에 통합하는 것은 협업 측면에서 CAM이 직면하고 있는 당 면과제이다. 정보통신과 자동차 측면에서 상호간의 통합적인 거버넌스를 구축하지 못하는 경우에는 효과 적인 위험관리를 가능하지 않을 수 있다. 이에 따라, 사이버보안은 공동의 책임이라는 인식 하에서 CAM 생태계에서 안전을 보장하고 제품과 서비스에 가치를 향상하고, 비즈니스 전체 생명주기에 핵심적인 요소로 사이버보안을 통합하여 관리할 필요가 있다.

<권장사항>

- 사이버보안의 CAM 생태계 생명주기 영향에 대한 경영층과 의사결정자의 인식 제고

- 이사회 수준에서 디지털 트랜스포메이션과 사이버보안의 통합을 촉진과 자문 제공

- 사이버보안 발전에 보조를 맞추기 위해 CAM 연구개발에서 사이버보안 촉진

- 조직 전체의 조달 프로세스에 사이버보안 위험요건 통합

- 조직 내 사이버보안에 대한 명확한 책임과 역할 정의

- 사업 및 업무절차에서 사이버보안의 요구사항 고려

- 제품 생명주기에 위험 분석과 해결을 위한 위험관리 프로세스 정의

- 프로젝트 및 사업계획에서 사이버보안 활동 강화(조직 간 협업 계획 수립)




<사진 출처 : freepik.com>


 

② 경영진 지원의 부족과 사이버보안 우선순위 설정

CAM 환경에서 일반적으로 사이버보안에 대한 우선순위가 낮고, 이사회 의제로 논의되지 않는 경향 이 있다. 사이버보안에 대한 경영진의 참여가 부족하면 사이버보안에 대한 재정지원이 불충분하고, 사이 버보안 담당조직이 사이버보안에 대한 연구개발이나 교육훈련, 인식제고의 프로그램을 수행하는데 한계 에 직면한다. 향후 유럽연합 국가들은 UNECE WP29 사이버보안 규정을 요구하는 일반차량안전규정 (General Vehicle Safety Regulation)과 같은 국제적인 CAM 사이버보안 규제와 법률 등이 등장하면서 새로운 CAM 차량을 시장에 출시하려면 해당 사이버보안 규정과 표준을 준수해야 한다. 이러한 규제환경변화에 따라 사이버보안에 대한 경영진들의 인식의 변화가 요구되고 있으며, 사이버 보안을 단순히 비용으로 간주하기 보다는 새로운 제품의 판매를 촉진하는 기회로 인식하는 사고의 전환 이 요구되는 시점이다. 새로운 규제환경에서 CAM 참여자들은 새로운 제약사항들을 보다 적극적인 자세 로 인식하여 사이버보안과 개인정보보호를 비용의 관점에서 전환하여 이를 강화함으로써 제품과 서비스 의 품질을 제고하고 경쟁력을 갖추는 기회로 간주할 필요가 있다.

<권장사항>

- CISO와 사이버보안전문가와 논의할 수 있는 최상위 관리체계 구축

- CAM 환경, 구성요소, 시스템 및 서비스 보안을 위한 혁신 및 R&D 장려

- 기업의 사업전략에서 보안 측면 장려

- 자동차 산업 보안을 위한 인증제도 개발

- 경영이사회에서 사이버보안 포함 등 기업의 보안문화 조성

- 사이버보안 법적 요구사항과 위협 등에 대해 최고경영진을 포함하여 회사의 다양한 수준에 대한 정기교육 프로그램 마련

- 중소기업을 위한 맞춤형 사이버보안 및 인증체계 개발

- CAM 생태계에 참여하는 모든 이해관계자의 공통요건과 책임 정의




<사진 출처 : freepik.com>


 

③ CAM 생태계의 기술 복잡성

모빌리티 및 교통부문에서 행위자와 계층이 다양하고, 차량 공급망을 따라 장비, 네트워크 서비스, 부품 등 다양한 이해관계자로 인해 사이버보안을 구현하고, 위험을 관리하는데 다양한 문제점을 발생시 킨다. 예를 들어 대중교통 서비스 제공에는 차량 제조업체와 다양한 공급망(대중교통운영자, 유지보수업 체, 도로교통 공공기관, 보험회사, 자동차서비스 운영자 등)이 참여한다. 이러한 복잡한 CAM 생태계에서 각각의 참여자들의 제품과 서비스는 소비자 차량의 사이버보안에 영향을 끼치므로 각각의 참여 주체간의 법적, 기술적, 실용적 측면 등 포괄적인 사이버보안 인식과 관리 체계가 요구된다. CAM 생태계에서 안전을 보장하기 위해 제품과 서비스를 개발할 때 보안설계 (Security by Design)를 적용하고, 제품과 서비스의 상호작용의 관점에서 총체적인 보안을 고려할 필요 가 있다. 특히 오늘날의 이용자들의 요구가 증가하고, CAM에서 연결성이 증가하고, 최신기술의 적용이 확산되면서 기술적인 복잡성이 날로 증가하는 상황을 맞이하여 CAM 산업계는 시장에서 가격경쟁력을 유지하면서 이용자들의 수요를 충족하고, 비용관리 측면과 보안 요구사항에 대한 적절한 균형점을 찾아 야한다.

<권장사항>

- 최소한의 사이버보안을 준수하고 적절한 수준의 보안을 보장하기 위해

부품 및 서비스 전반에 걸쳐 공통적인 보안조치 장려 적절한 인증체계의 사용 장려

- 제품에 대한 보안평가와 제품 생명주기 전 과정에서 취약점 발견과 치료

- 최신의 일관된 조직의 자산목록 유지와 관리

- CAM 생태계 당사자 간 위협정보를 공유하고, 사이버보안 사고분석 결과를 보고하고,

CAM 관련 사이버범죄 대응 협업을 위한 산업표준 마련

- 데이터보안 전략(개인정보보호 준수 메커니즘) 적용을 고려하고, 전체 CAM에 대해 최소 수준의 보안 조치 요구

- CAM 생태계 자산을 자동으로 검색하고 식별할 수 있는 자산관리 지원 도구 사용(구성관리 도구 등)

- CAM 생태계에 변경관리 프로세스 구현

- 새로운 제품 개발의 개념 정의 단계부터 OEM 및 공급업체의 개발과정에 사이버보안 요구사항 및 검증방법 설정

- 보안 향상을 위해 사이버보안 인증 활용에 대한 인센티브 제공

- 위험평가, 침투 테스트, 보안설계 등 광범위한 역량을 갖춘 보안전문가로 구성된 전담 보안조직 지정

- 공격표면을 줄이기 위해 보안 강화 접근법 적용(인증, 암호화, 세분화, 필터링, 코드 검사 등)

- 버퍼오버플로 등 취약점에 대처하기 위한 인터페이스의 견고성 강화

- 소프트웨어 보안 기술을 사용하여 런타임 시 응용 프로그램 격리 강화

- 물리적·논리적 격리 기술을 사용하여 시스템, 하위 도메인 및 네트워크 분리 적용

- AI/ML 요소에 대한 공격을 방지하기 위해 적대적 공격에 대한 보안 견고성 강화

- AI/ML과 관련된 데이터 위조 또는 조작 방지

- 데이터 중복 메커니즘 사용

④ CAM 보안 구현 관련 기술적 제약사항

CAM 산업이 연결성과 자동화가 증가하면서 CAM 생태계의 위험과 관련된 기술적인 제약요인도 증가하며, CAM 관리가 복잡해면서 사이버보안 위험도 복잡해질 수 있다. CAM 시스템이 다양한 유형 의 네트워크 연결을 통해 주변의 생태계와 교류하면서 데이터를 생성하기 때문에서 물리적 요인뿐만 아 니라 디지털 요인으로 인해 위험이 발생한다. 이러한 복잡한 기술환경에서 CAM 제품과 서비스의 안전 을 확보하기 위해 다양한 정보시스템과 기술적 자산에 대한 보안성 평가가 요구된다. 현 시점에서는 CAM 기술(통신 프로토콜, 데이터 형식 등)에 대한 표준화가 미흡하고, CAM 제품과 서비스에 대한 종 합적인 사이버보안 모델이 존재하지 않는다. 이에 따라 CAM 생태계의 기술적 다양성과 복잡성을 고려하여 비용 효과적이고 보안공학적인 해결 방안을 마련해야 한다. 특히 효율성 측면에서 호환성, 보안성, 개인정보보호의 기능을 설계 단계에서 고 려할 필요가 있으며, 사이버보안 위협환경이 지속적으로 진화하므로 사이버보안 방법도 지속적으로 개선 되어야 한다.

⑤ 규제환경의 파편화

CAM 기술의 혁신과 급속한 발전 상황에서 CAM 분야에서 준수해야 할 국내 및 국제적인 표준과 규정이 많아지면서 산업계는 네트워크 연결성과 자동화 관련 다양한 규제 요구사항에 직면하게 된다. 국 제적인 규정이 개별 국가의 규제와 유사할 수 있지만 국가별로 차이가 발생할 수도 있다. UNECE의 규 제 요구사항은 전 세계 거의 모든 국가에 적용되지만 형식 승인 메커니즘은 국가별로 상이하며, UNECE 규정과 여타 규정들(통신, 개인정보보호 등)의 차이로 인해 OEM 및 공급업체들이 보안조치가 복잡해지 고, 전체 제품 및 서비스에 균일한 보안전략을 적용하기 어려울 수 있다. 또한 CAM 사이버보안 관련된 표준으로 ISO27035, ISO/IEC 15408과 같이 일반적인 사이버보안 관련 취약성 분석, 위협분석 등과 관 련된 표준으로부터 차량에 특화된 ISO/SAE21434, ISO26262, SAEJ3061, ISO21177, ISO21184, ISO21185 등이 있고, 지능화된 교통시스템과 관련 ETSI TC ITS, IEEE802.11bd 등 다양하다. 이에 따라 CAM 규제환경을 국내외적으로 조화롭게 하고, CAM 생태계의 참여자들의 책임과 요건 들을 규정할 필요가 있다.

 


<사진 출처 : freepik.com>


 

⑥ CAM 사이버보안 경험과 인력자원 부족

사이버보안에 대한 전문성을 갖춘 인적자원이 부족하면 CAM 제품 및 솔루션에 특화된 보안조치를 적용하기 어렵다. CAM 환경에서 사이버보안전문가에게 일반적인 IT 보안, 소프트웨어 보안, 네트워크 보안, 암호화, 임베디드 시스템 및 운영기술(OT), 위험평가, 프로젝트 관리 및 보고, 기술 사양, 침투 테 스트, 사고대응, 포렌식 등 폭넓은 사이버보안 전문지식을 요구된다. 많은 기업들은 이와 같은 다양한 분 야에 대한 사이버보안 지식과 경험을 보유한 전문가를 찾고 있지만, 시장에서 이러한 인력을 확보하는데 어려움을 겪고 있다. 이에 따라 사이버보안 역량을 부족을 해결하기 위해 전사적인 차원에서 사이버보안 인력을 양성하 기 위한 노력이 요구된다. 산업계에서는 보안 담당조직은 IT와 CAM에서 요구되는 최신의 사이버보안인력을 확보하기 위해 교육훈련에 투자할 필요가 있다. 학계에서도 차세대가 자동차 분야의 사이버보안 에 대한 이해를 향상시킬 수 있도록 다양한 교육을 실시할 필요가 있다.

⑦ CAM 참여자간의 보안 정보공유와 협력 부족

자율주행차는 주행 8시간마다 40 테라바이트의 데이터를 생성하고 소비할 것으로 예상되는 등 CAM 생태계에서는 막대한 규모의 데이터를 생성하고, 이러한 데이터가 제조업체, 공급업체, 자동차 서 비스업체, 교통규제기관 등 다양한 이해관계자들 상호간에 교류된다. 이러한 정보공유 환경에서 개인정 보보호 규정을 준수하고, 데이터접근 통제 등을 통한 보안조치가 요구된다. 반면 사이버보안을 위해 CAM 생태계에서 유통되는 정보의 가시성과 공유를 요구되며, CAM 생태계를 구성하는 다양한 시스템 간의 상호운영성도 보장될 필요가 있다. 이에 따라 CAM 참여자 간 새로운 솔루션, 기술 등에 대한 정보의 원활할 공유될 수 있도록 협력 체계를 마련해야 하며, 다양한 이해관계자가 개발한 제품과 서비스 간 상호의존성이 높은 경우에는 이들 간의 정보공유 메커니즘을 통해 안전한 방법으로 서로 통합적으로 제품과 서비스를 개발할 수 있어야 한다.

결론 및 시사점

자동차 산업과 IT 산업의 융합이 진전하면서 CAM 생태계가 형성되고 있다. CAM 생태계에는 네트워크 기능을 갖춘 전기자동차, 커넥티드카, 자율주행차 등을 모두 포함한다. CAM 차량들은 대량의 데이터 를 집적하고, 네트워크를 통해 전송되며, 인공지능 기술을 이용한 자율주행 기능이 복합적으로 작용하고, 최신의 정교한 기술이 융합되고, 다양한 행위자들이 참여하면서 CAM 생태계 주체들은 예상되는 사이버 보안 도전과제를 해결하기 위해 준비가 필요하다. 우선 전사적인 거버넌스 차원에서 기존의 업무와 사이 버보안 업무의 유기적이고 조직적으로 통합하고, 경영진들의 사이버보안에 대한 인식을 전환하여 지원을 확대하여야한다. 기술적인 측면에서는 CAM 생태계의 기술적인 복잡성을 고려하여 공통적인 보안조치나 인증체계를 마련하고, 사이버공격으로부터 AI/ML 기능 보호 등 다양한 기술적인 보안조치를 마련해야한 다. 다양한 기술적인 제약사항을 해결하기 위해 비용 효과적이며 보안공학적인 해결방안도 마련해야 한 다. 규제적인 측면에서는 파편화된 규제를 극복하기 위해 국내외 CAM 규제환경의 일관성을 향상시키기 위한 표준화 활동을 강화하고, 산업 참여자들의 협력과 대화를 촉진할 필요가 있다. 마지막으로 인력과 협력 측면에서 CAM 분야의 부족한 인력을 확보하기 위해 정부, 산업계, 학계가 모두 참여하여 자동차 분야의 차세대 사이버보안 인력을 양성하기 위한 교육훈련 프로그램을 적극적으로 도입할 필요가 있으 며, ISAC 등을 통해 정부기관, 법집행기관, 산업협회, 통신사업자 등 다양한 이해관계자들이 사이버위협 정보를 공유하고, 인력을 교류하여 전반적인 사이버보안 수준을 향상할 수 있도록 협력할 필요가 있다. 향후 CAM 분야는 AI/ML 기술 활용을 통한 자율화가 극대화되고 자동차 제조사, HW/SW 공급업체, 클 라우드 서비스업체 등 참여기업도 확대되고 UNECE, ISO, SAE 등의 국제기구 등의 CAM에 대한 사이버 보안 표준 및 규제 제정 움직임도 더욱 활발해질 전망이다. 이에 따라 CAM 기술의 발전과 시장의 변화 와 국제적인 사이버보안 정책과 규제, 산업계 동향과 모범사례 등에 대한 지속적인 분석을 통해 정부와 산업계, 학계 등의 협력하여 CAM 사이버보안 대책을 마련해나갈 필요가 있다.



 

<자료 출처 : 한국인터넷 진흥원 KISA Library >

 
이 전 다 음
목록