Cybersecurity > 씨너지큐브㈜

Cybersecurity
Threat Modeling / Analyze Vulnerability / Risk Treatment / Cybersecurity Management
사이버보안의 잠재 위협 리스크를 체계적으로 분석, 평가, 관리할 수 있는 교육과 코칭을 제공합니다.
Cybersecurity for Automotive
Cybersecurity for Automotive 서비스는 현재 조직에서 보유한 개발 프로세스를 기반으로 ISO/SAE 21434 표준과
Automotive SPICE for Cybersecurity 모델을 적용하여 고객사가 빠르게 사이버보안 관리, 엔지니어링, 지원 프로세스에 대한
사이버보안 체계를 구축할 수 있도록 컨설팅 합니다. 또한, 사이버보안 위협 및 취약점 분석, 위험평가에 대한 방법을 제공하여
사이버보안의 잠재 위협 리스크를 체계적으로 분석, 평가, 관리할 수 있는 교육과 코칭을 제공합니다.
차량 사이버보안 표준의 필요성
  • 기존의 사이버보안 표준들은 인터넷과 연결된 IT분야에 초점이 맞추어 졌습니다. 차량의 경우 Embedded Controller의 사용, 차량의 긴 수명주기, Safety 관련 사항 등으로 인해 Automotive를 다루지 않습니다.
    하지만 현대에는 차량의 연결성(Connective Cars)이 급속하게 증가함에 따라 차량 네트워크에 대한 사이버 공격의 잠재력도 커지고 있습니다. 이러한 공격은 차량의 기능적 안전을 위협하며 금전적 손상을 초래할 수 있어서 차량 사이버보안에 대한 기준이 필요하게 되었습니다.
차량 사이버보안 표준의 이점
  • 공급망 전체에서 사용할 공통 용어를 정의하고
  • 주요 사이버보안 문제에 대한 업계의 합의를 이끌어 내며
  • 차량 사이버보안 엔지니어링의 최소 기준을 설정하고
  • 규제기관 등이 참조할 수 있으며
  • 업계가 사이버보안을 심각하게 받아들이고 있다는 증거를 제공
UNECE WP.29 Automotive Cyber security regulation
UNECE World Forum of Harmonization of Vehicle Regulations 는 2020년 6월 24일 사이버보안 및 커넥티드 차량의 소프트웨어 업데이터에 대해 새로운 법규를 채택했습니다. WP.29 UN 사이버보안 규정은 자동차 산업에서 법적 구속력을 가진 최초의 국제 표준으로서, 차량의 IT보안 및 소프트웨어 업데이트에 대한 요건 및 감사 요구사항을 명시하고 있습니다.

UN 규정은 차량 부문에 필요한 프로세스를 시행하기 위한 프레임워크를 제공하며, 이 모든 것은 국가 기술 서비스 또는 승인 기관에 의하 감사된다.
  • 차량 설계 시 사이버보안 위험 식별 및 관리
  • 시험을 포함하여 위험이 관리되고 있는지 확인
  • 위험 평가가 최신 상태로 유지되는지 확인
  • 사이버공격에 대한 감시와 효과적인 대응
  • 성공했거나 시도된 공격의 분석을 지원
  • 새로운 위협 및 취약성에 비추어 사이버보안 조치가 효과적인지 여부를 평가
해당 법규는 승용차와 상용차를 대상으로 하며, 2022년 7월부터 모든 신차는 형식 승인을 받아야 한다. 2024년 7월부터 모든 차량이 형식 승인 적용대상이다. 서명한 국가들은 전 세계 차량 생산량의 1/3을 차지하는 유럽,일본, 한국을 비롯한 58개국이다. 이 나라에 차량을 수출하려면 UNECE 규정을 준수해야 한다.
ISO/SAE 21434
ISO/SAE 21434는 유럽의 주요 표준 제정 기구인 SAE, VDA, BSI 와 주요 자동차 OEM인 GM, BMW, Jaguar-land rover, Volvo 등 총 82개 기업이 참여하는 사이버보안 엔지니어링 표준입니다.
UNECE WP.29의 사이버보안경영시스템(CSMS) 준수를 위해서는 ISO/SAE 21434를 기준으로 적용해야 합니다.
Key Principles
  • 적용 부분 : Road-vehicle과 그 시스템, 컴포넌트, 소프트웨어, 차량과 연결된 외부 장치 또는 네트워크
  • 합리적인 보안 차량 및 시스템이 목표
  • 자동차 OEM과 공급업체는 “실사(Due diligence)1)"를 보여줄 수 있다
  • 자동차 사이버보안 엔지니어링 중점
  • 사이버보안 엔지니어링의 최신 기술을 기반으로 함
  • 위험 중심의 접근방식
    - 위험은 행동의 우선순위를 결정하는데 사용
    - 사이버보안 요구사항의 체계적인 도출을 위한 위험 요소 분석
  • 사이버보안 관리 활동
  • 차량 생명주기의 모든 단계에 대한 사이버 보안 활동/프로세스 : 설계부터 폐기까지
    1) Due diligence : 사업에 있어 의사결정 이전에 적절한 주의를 다하고 계획을 수립하여 수행하야 하는 주체의 책임. 즉, 소정의 절차에 따른 조사행위
Automotive SPICE for Cybersecurity
UNECE 규정에서 차량 제조사가 공급망에서 사이버보안 위험을 식별하고 관리하도록 요구한다. Automotive SPICE는 이러한 요구에 대응하기 위하여 기존 Automotive SPICE에 사이버보안 관련 프로세스를 통하여 사이버보안 엔지니어링을 위한 프로세스 참조 및 평가모델을 정의하였다.
Key Principles
  • Cybersecurity 평가는 기존 VDA 범위 평가 수행이 필요하다.
  • VDA 범위 평가 수행되었다면, Cybersecurity 평가는 별도로 평가할 수 있다.
  • VDA 범위 평가가 수행되지 않았다면, VDA 범위와 Cybersecurity 평가를 조합하여 사용한다.
    특히, ACQ.4는 VDA 범위를 먼저 평가한 다음 Cybersecurity ACQ.4를 평가한다.
  • VDA 범위 평가에서 SUP는 보안을 다루지 않는다.
    이런 경우 보안 프로세스 PA2.2를 적용하여 충분하게 SUP 프로세스를 평가한다.
Out of Scope
  • ISO/SAE 21434의 Production, Operation, Maintenance, Decommissioning개념 부분은 개발 프로젝트 컨텍스트에 해당되지 않으므로 포함하지 않는다. 따라서 이 부분은 별도의 감사를 받아야 한다.
주요 프로세스 내역
Process ID 프로세스 목적 주요 활동
ACQ.2
  • 공급업체 요청 및 선정
  • 공급업체 평가 기준 수립 시에 사이버보안 개념 및 방법(위협분석 및 위험 평가, 공격 모델, 취약성 분석 등)을 포함한 공급업체의 사이버보안 역량에 대한 기술 평가가 고려되어야 함
  • 개발, 개발 후 거버넌스, 품질 및 정보 보안에 대한 사이버보안 모범 사례에 대한 공급자의 역량을 고려해야 함
  • 공급업체의 사이버보안 관리 시스템의 증거를 확인한다.
ACQ.4
  • 공급업체가 합의된 요구사항과 시정조치 사항을 추적하고 평가한다.
  • 사이버보안 요구사항 및 책임이 고객과 조정되고 사이버 사고 대응 관리 및 고객이 제공하는 사이버 보안 관련 테스트 적용이 포함된다.
  • 합의된 목표에 사이버보안 목표가 포함된다.
  • 추가 또는 신규 취약성에 대한 충분한 유지보수가 고려되어야 한다.
SEC.1
  • 사이버보안 요구사항을 도출한다.
  • 사이버보안 목표를 정의한다.
  • 사이버보안 요구사항이 사이버보안 목표로부터 도출된다.
  • 사이버보안 요구사항에는 개발 후 단계(생산, 운영, 유지보수, 폐기)에 대한 요구사항을 포함한다.
  • 사이버보안 요구사항의 추적성과 일관성을 확립한다.
SEC.2
  • 사이버보안을 구현한다.
  • 사이버보안 목표와 요구사항을 기반으로 아키텍처 설계 세부 정보를 개선한다.
  • 사이버보안 요구사항을 달성하기 위한 적절한 사이버보안 통제(위험 방지, 탐지, 대응, 최소화를 위한 기술적 해결책)를 선택한다.
  • 소프트웨어 아키텍처 설계를 분석하여 취약성을 식별하고 평가한다.
  • 추적성과 일관성을 확립한다.
SEC.3
  • 위험 처리를 검증한다.
  • 위험 처리 검증을 위한 전략과 계획을 수립한다.
  • 위험 처리 검증을 위한 기준을 개발한다.
  • 위험 처리 검증을 수행하고 양방향 추적성과 일관성을 확립한다.
  • 검증 결과를 요약하고 이해당사자에게 전달한다.
SEC.4
  • 위험 처리를 확인한다.
  • 위험 처리 확인을 위한 전략과 계획을 수립한다.
  • 위험 처리 확인을 위한 기준을 개발한다.
  • 위험 처리 확인을 수행하고 양방향 추적성과 일관성을 확립한다.
  • 확인 결과를 요약하고 이해당사자에게 전달한다.
MAN.7
  • 사이버보안 위험 관리
  • 사이버보안 위험 관리 범위를 결정한다.
  • 사이버보안 위험관리 프랙티스를 정의한다.
  • 잠재적 위험을 식별하고, 손상에 대한 잠재적 위험 우선순위를 정의하고, 위험을 평가하고 위험 처리 방안을 정의한다.
  • 위험 상태 변화를 결정하고 처리 활동의 진행 상황을 평가한다.
  • 시정조치를 수행한다.
씨너지큐브 Cybersecurity 컨설팅 접근법
ISO/SAE 21434와 Automotive SPICE for Cybersecurity를 기반으로 고객사가 빠르게 사이버보안 관리, 엔지니어링, 지원 프로세스에 대한 사이버보안 체계를 구축할 수 있도록 컨설팅 합니다. 또한, 사이버보안 위협 및 취약점 분석, 위험평가에 대한 방법을 제공하여 사이버보안의 잠재 위협 리스크를 체계적으로 분석, 평가, 관리할 수 있는 교육과 코칭을 제공합니다.