CSMS 차량 사이버 보안관리 체계인증 개념 및 구성요소

by

CSMS는 사이버보안 관리체계로 ISO/SAE 21434 표준을 기반으로 차량 생명주기에 따라 프로세스 및 관리체계를 평가하는 국제 인증입니다. 이 문서에서는 CMS 인증의 개념 및 세부 구성요소에 대해 자세히 알아보겠습니다.

CSMS 인증

배경

자동차 전자제어 장치가 증가하면서 차량 내부에도 다양한 센서 및 ECU로 구성되는 내부 네트워크가 있습니다. 그리고 유무선 장치 간 통신을 통해 외부에서 차량 내부 제어장치의 접근이 가능하여 이에 따른 보안취약점과 위협이 증가하고 있습니다.

자동차와 유무선 통신 및 내부 네트워크 구성을 표현한 이미지
자동차 사이버보안 범위

위의 그림과 같이 자동차 사이버 보안의 범위는 차량 내부 네트워크(시큐어 코딩, 설계) 및 유무선, 원거리 통신 장치 등이 포함됩니다. 참고로 정부에서는 자율주행자동차의 사이버보안 확보를 위해 다음과 같이 가이드라인을 제정하여 배포하고 있습니다.

CSMS 개념

CSMS (Cyber Security Management System) 인증서는 제작사가 자동차 사이버보안에 필요한 각종 프로세스 등의 관리체계를 갖추었다는 것을 입증하는 인증입니다. 이 인증의 기준이 되는 것이 ISO/SAE 21424 국제표준입니다. 

자동차 완성차 회사는 앞으로 출시될 신차 및 기존 차량에 대해 CSMS 인증을 아래 일정 까지 완료하여야 출시가 가능합니다.

신규 출시 차량2022년 7월 까지 인증
기존차량2024년 7월까지 인증

VTA 차량형식승인

VTA 요건은 제작사가 CSMS 인증을 보유하고, 차량에 대한 위험평가 측정 및 관리 그리고 충분한 검증을 수행했는지 평가하는 것입니다. 즉, 차량 출시 전 CSMS 관리체계에 정의된 Process에 따라 Risk 관리 및 테스트가 이루어졌는지를 체크해 제출해야 합니다.

위와 같이 CSMS 차량 사이버보안 관리 체계인증과 함께 VTA 차량 형식승인이 함께 완료되어야 차량판매가 가능합니다. 이어서 CMS 관리체계의 구성요소에 대해 자세히 알아보겠습니다.

CSMS 구성요소

CSMS 관리체계는 차량의 설계, 개발, 테스트, 양산 및 이후 단계까지 차량의 전 생명주기 내에서 전체 프로세스가 CSMS 표준에 따라 제대로 진행되는지를 평가하는 것입니다. 차량 사이버 보안관리체계 인증의 구성요소는 다음과 같이 구분합니다.

  1. 기업관리
  2. 차량 프로세스 관리
  3. 관련표준
기업관리, 차량프로세스관리, 관련표준으로 구성된 CSMS 구성요소 테이블
CSMS 구성요소

1. 기업 관리관점

차량 사이버보안 조직, 규정 및 프로세스가 제대로 수립되어있는지를 평가하는 것으로, 정책의 수립, R&R 정의, 사이버 보안교육 및 취약점에 대한 정보수집 및 모니터링 상태를 평가합니다.

2. 개발 프로세스 관리

V 모델 기반으로 설계, 개발, 테스트 검증단계 및 양산단계, 출시 이후 단계들이 각각 제대로 관리되고 있는지 평가합니다. 

3. 관리표준

위험평가 및 테스트 프로세스가 ISO 21434에 규정된 Process 표준에 따라 제대로 진행되며, 일관성 있게 모든 차량에 대해 관리되고 있는지를 점검합니다.

위험평가 및 보안 테스팅

위험평가란 차량 생명주기 내에서 데미지나 위협을 발생시키는 시나리오를 식별하고 이에 대한 위험도를 계산합니다. 위험도의 크기는 발생 가능성과 발생시 영향도를 기반으로 다음의 옵션에 따라 Risk를 관리합니다.

  • 위험제거
  • 위험감소
  • 위험전가
  • 위험수용

보안 테스팅은 개발 및 양산단계에서 하드웨어 및 소프트웨어에 대한 단위테스트 및 통합테스트를 의미합니다. 그리고 양산 이후 테스트 결과를 문서화하여 관리하는 프로세스를 수행합니다. 보안 테스트의 종류는 다음의 유형이 있습니다

  • 코드 감사
  • 보안 기능테스트
  • 사이드채널 테스트
  • 침투 테스트

CSMS 인증혜택

CSMS 인증을 완료하면 차량 완성차 업체는 다음과 같은 이점이 있습니다.

  •  사이버보안 규제의 모든 요구사항을 충족한 제품 출시로 제품 오작동으로 인한 리스크 감소
  • 인증완료시 2022년 7월 이후 EU 유럽 내에서도 판매할 수 있는 VTA 승인 가능
  • 차량 개발프로세스의 개선으로 출시시간 단축가능
  • 사이버보안 인증으로 고객의 신뢰도를 높일 수 있음

이상으로 CSMS 차량 사이버보안 관리체계의 개념 및 구성요소에 대해 알아보았습니다. 차량 전자장비의 증가로 점차 사이버 위협 가능성이 높아지는 가운데, 완성차 업체는 해당 인증 프로세스를 잘 준수하여 고객의 신뢰 이미지를 제고하는데 노력해야겠습니다.

Leave a Comment