• Law Office Sung

자동차 산업과 사이버 보안(Cybersecurity)

2021. 2. 1.



커넥티드 카(Connected Car)란, 정보통신 기술과 자동차를 연결시켜 양방향 소통이 가능한 차량을 의미하는데, 이 소통에서의 데이터 보안 이슈는 자동차 메이커들로 하여금 완전한 의미의 양방향 소통을 가능하게 만드는 핵심적인 부분이다. 다시 말해, 차량과 외부 정보와의 연결성이 증가할수록 사이버 보안의 위협도 증가하는데, 실제로 (특히 자율주행 기능과 관련하여) 해커들의 공격으로 인하여 차량의 주행기능을 마비시켜 사고가 발생하는 사례가 증가하고 있다. 오늘날, 하나의 자동차에 평균적으로 150개 정도의 전자제어장치(ECU)와 약 1억 줄의 코딩이 들어간다고 하며, 2030년 경에는 약 3억 줄 이상의 코딩이 포함될 것으로 예상된다.

사이버 보안의 중요성을 인식한 규제 당국은 커넥티드 카의 데이터 보안과 관련한 규제들을 앞다투어 내놓고 있다. 예를 들어, UNECE (United Nations Economic Commission for Europe)는, 차량용 사이버 보안과 소프트웨어 업데이트 관리를 개선하기 위한 규정을 마련하고 있다. UNECE가 작년 6월에 세계 포럼에서 채택한 두 개의 새로운 UN 규정(WP.29)에서는 아래의 4개 분야에 대하여 조치를 이행할 것을 요구하고 있다.

· 차량 사이버 위험의 관리

· 밸류 체인(Value Chain)에 따른 리스크 완화를 위한 설계별 차량의 안전 확보

· 차량의 전체에서 보안 사고에 대한 감지 및 대응

· 차량의 보안은 타협불가능한 이슈임을 분명히 하며 확실한 안전성을 확보할 수 있도록 보안 업데이트 제공

위 내용은 올해 1월부터 시행 중에 있다. 유럽연합(EU)에서는 앞으로 2024년 7월부터 생산되는 모든 신차에 대해 차량용 사이버 보안 규제가 의무화되며, 일본과 한국 역시 위 규제를 적용하기로 합의하였다. 단, 북미의 경우는 아직 적용여부와 시기에 대해 정해진 바가 없다. 위 WP.29 규정은, 차량의 종류(자동차, 밴, 트럭, 버스, 트레일러, 농기계 등)와 사이버 보안 관리 시스템(CSMS: Cyber Security Management System)의 준수 여부에 기초하여 차량 판매 승인 여부를 결정하는 사이버 보안 요건을 정의하고 있다(CSMS는 차량의 데이터 보안을 보장하기 위한 모든 프로세스, 활동 및 인력을 포함한다).

또한, 사이버 보안의 핵심 중 하나는 리스크의 정확한 평가이다. 국제 표준화 기구(ISO: International Organization for Standardization)는 차량용 사이버 보안 표준을 만들고 있는데, ISO/SAE 21434는, 차량의 전체 라이프사이클에 걸쳐 설계별 사이버 보안의 표준을 제시한다. ISO 21434는 리스크 평가 시스템 개발을 위한 모델을 제공하고 프로세스와 작업물에 대한 세부사항을 규정하고 있다.

정리하자면, WP.29 준수를 위한 전체적인 프로세스는 다음의 세 단계로 나누어 볼 수 있다.


1) 평가(Assessment): 리스크 모니터링의 대상이 되는 범위를 지정하고 현 상태의 리스크를 점검한다.

2) 구현(Implementation): ISO 21434 기반의 사이버 보안 조직을 구성하고, 리스크와 인력 및 도구를 정의한다.

3) 운영(Operations): 모니터링, 평가, 그리고 시정조치 이행의 연속적인 프로세스를 반복한다. 결과적으로 CSMS의 도입과 시행으로 연결될 수 있다.

앞으로 자동차 산업에 관련된 모든 기업들은 위 프로세스에 대한 준비가 필요하다. 평가를 시작으로 기존의 회사의 데이터 보안 수준을 점검하고, 내부 및 외부의 전문가들과의 인터뷰를 수행해야 하며, 주기적으로 새로운 규제들의 요구사항에 대한 분석도 시행할 필요가 있다. Covid-19 이후 시대에는, 조직, 프로세스 및 관리 시스템의 설정은 물론 프로세스의 자동화나 CSMS의 시행도 모두 원격으로 수행하는 추세로 바뀌고 있으며, Covid-19를 핑계로 이를 더 이상 지체해서는 안된다.

궁극적으로, 모든 자동차 회사들과 관련 기업들은 새로운 UNECE 규제를 준수하여야 하고 그러기 위해서는 그들의 차량 설계단계서부터 근본적인 변화가 있어야 할 것이다. ISO 21434 표준은 차량용 보안에 관한 글로벌 표준을 새롭게 정의할 수 있는 기반을 마련했다고 볼 수 있다. "아직 시간이 좀 남았으니까"라는 생각으로 변화를 주저하고 현재의 개발 방식을 고수한다면 당장의 비용은 세이브가 되겠지만, 향후 규정의 미준수로 인한 규제당국의 제재와 벌금, 그리고 실제로 사이버 보안 이슈로 인한 인명사고라도 나는 경우에는 훨씬 더 큰 비용으로 돌아올 수 있다는 점을 명심해야겠다. 하루라도 먼저 준비를 시작할수록 새로운 규정과 표준을 완전히 이행할 수 있는 가능성은 커진다.

Recent Posts

See All

미국 저작권 침해 대응방법

2021. 7. 16. 미국 저작권법(17 U.S.C. §106)은 저작권자에게 작품(저작물)에 대한 배타적 독점권을 제공한다. 제3자가 저작권자의 허락 없이 다음 중 어느 하나 이상의 행위를 할 경우 저작권 침해행위가 있었다고 말할 수 있다. ​ - 작품을 베끼거나 복제 - 원작으로부터 파생 작품을 창작 - 작품이나 작품의 사본에 대한 최초의 판매 또는

미국 스타트업 취업규칙(Employee Handbook) 제정시 주의점

2021. 7. 12. 미국에 법인을 설립하고 현지 직원도 여러명 채용하였다면 반드시 취업규칙(Employee Handbook)을 만드는 것이 좋다. 미국에서는 채용과정에서 오퍼레터(offer letter) 만으로 채용이 완료되는 경우가 많고 별도로 회사-직원 간에 고용계약서(employment agreement)를 작성하지 않는 경우도 흔하다. ​

Technology Licensing(기술 실시 허락)의 4가지 중요사항

2021. 6. 29. 지식재산권(IP)의 중요성과 자산으로서의 가치에 대하여는 이미 여러 글을 통하여 다양하게 다루었다. 기업은 자신의 제품이나 서비스의 무단도용을 저지하고 상대방의 IP 침해 공격에 대한 방어 목적으로 IP를 취득할 수도 있고, 자신의 IP에 근거하여 경쟁사를 무너뜨리거나 더 높은 시장 점유율을 차지하며 지리적인 시장을 장악하기 위한