'커넥티드카' 등장으로 자동차는 단순히 이동 수단이 아닌 스마트폰이나 집, 사무실, 도시의 다양한 인프라 시설과 상호 통신하는 하나의 생활공간이 됐다.
그러나 커넥티드카 및 자율주행 자동차에 탑재되는 소프트웨어(SW)가 늘고, 내외부의 다양한 인터페이스와 연결돼야 하는 추가적 시스템 요구사항과 복잡성이 증가하고 있다. SW 코드 결함의 위험은 물론 전체 통합 시스템의 설계 오류와 사이버 공격에 노출될 가능성도 함께 늘었다.
사이버 공격이 실제로 다수 발생하고 있다. 맥킨지에 따르면 2030년에는 약 3억 라인의 SW 코드가 자동차에 탑재될 전망이다. 최근에는 무선(OTA) SW 자동 업데이트가 추가되면서 차량에 접근할 수 있는 방식이 그 어느 때보다 많아졌다. 모든 취약점을 식별하고 제거하는 것은 현실적으로 어렵다.
유엔 유럽경제위원회(UNECE)는 급격하게 성장하고 있는 차량 산업의 보안 위협에 대응하기 위해 UNECE 기존 차량 안전성에 관한 국제 표준 ISO 26262가 아닌 ISO/SAE 21434를 참고해 CSMS(사이버보안 관리 체계, Cyber Security Management System)를 운영하도록 권장하고 있다. ISO/SAE 21434는 차량 기획 단계부터 시작해 생산 및 생산 이후 과정까지의 사이버보안 활동에 관한 프로세스를 정의하는 것을 목적으로 만들어진 국제 표준이다.
보안 위협 증가와 엄격해지는 국제 표준을 준수하기 위해, 현재 자동차 제조업체와 공급업체는 사이버 보안 솔루션 및 관련 프로세스에 투자를 꾸준히 늘리고 있다.
ISO 21434의 요구사항을 준수한다는 것은 자동차 제조업체와 공급업체가 사이버 보안 문제를 지속적으로 파악하고 해결하기 위한 담당자들의 명확한 역할과 책임, 관련 프로세스를 수립해야 한다는 것을 의미한다. 사이버 보안 문제의 책임은 보안 관련 조직 뿐만 아니라 제품의 수명 주기와 관련된 모든 관련자들에게 있다.
기업은 이런 프로세스를 처음부터 만들고 관리할 시간, 비용, 전문 지식 및 기타 리소스가 부족하다. 수작업으로 엑셀과 같은 전문적이지 않은 도구로 분석하고 있어 규정 준수 및 보안 위협 대응 문제를 해결하는 것은 더욱 어려운 일이다. 현실적인 문제를 해결하기 위해서는 더욱더 깊이 있는 시스템 엔지니어링을 기반으로 전체 제품 수명 주기 동안 제품을 관리하고 추적할 수 있는 총체적인 접근 방식에 초점을 두고, 보안 취약점을 신속하게 예측하고 해결할 수 있는 솔루션이 반드시 필요하다.
시스템 수준의 설계 요구사항을 준수하는 사용하기 쉬운 모델링 및 분석 솔루션으로 사이버 보안 엔지니어로서 가장 큰 과제인 ISO 21434를 비롯한 관련 표준 및 규정을 준수해야 한다. 모든 잠재된 보안 위험을 완벽하게 분석하며 속도와 효율성을 극대화할 수 있는 업무 워크플로우 구축을 지원을 지원할 수 있어야 한다.
가까운 미래에는 물리적 안전성과 편의성 뿐만 아니라 사이버 보안 수준이 자동차 성능과 안전성을 판단하는 중요한 기준 중 하나가 될 것이다. 기술의 진보와 연결성, 그에 따른 사이버 공격에 노출가능성으로 자동차 시장에서 사이버 보안은 고객의 선택에 큰 영향을 미치는 주요한 요소로 작용하게 될 시기는 더욱 앞당겨질 것으로 보인다. 첨단 도구와 기술로 무장하고 다양한 위협상황에 대한 최적의 모범 사례를 신속하게 실행하며 더욱 엄격하고 빠른 보안 인증을 선보이는 기업이 혁신 리더가 될 것이라는 것 또한 명확하다.
문석환 앤시스코리아 대표 info_korea@ansys.com
