ISO/SAE 21434

개요

ISO/SAE 21434는 차량 내·외부 시스템에 존재하는 사이버 보안 위협을 체계적으로 식별·평가·대응하기 위한 국제 표준이다. 차량 전자 제어 장치(ECU), 통신 인터페이스, OTA, 클라우드 등 다양한 요소를 포괄하며, 자동차 개발 전 과정에 걸친 보안 설계를 요구한다. 본 글에서는 ISO 21434의 구성, 요구사항, 프로세스, 도입 전략 및 실제 산업 영향 등을 정리한다.

---

1. 정의 및 목적

항목	설명
정의	ISO/SAE 21434는 자동차 사이버 보안 위험을 식별·분석하고, 설계-생산-운영-폐기 전 단계에서 보호 대책을 수립하는 글로벌 표준이다.
제정기관	ISO(국제표준화기구), SAE(자동차기술학회) 공동 제정
목적	차량 전 생명주기(Lifecycle) 기반 사이버 보안 확보, 보안성 설계 요구사항 정립

---

2. 적용 범위

항목	설명
범위	도메인 컨트롤러, ECU, 차량 내통신, V2X, OTA, 백엔드 서버 포함
적용 대상	OEM, Tier 1/2, 보안 모듈 공급업체, 클라우드 운영사 등
생명주기 단계	개발 기획, 설계, 검증, 생산, 운영, 폐기 등 전체 라이프사이클 적용

ISO 26262의 기능 안전성과 병렬적으로 구성된다.

---

3. 주요 구성 항목

구성 요소	설명	목적
Cybersecurity Governance	보안 조직과 정책, 책임 정의	조직 내 보안문화 확립
Risk Assessment	위협 식별, TARA 프로세스 기반 평가	위협모델링 및 영향도 평가
Concept Phase	보안 목표 및 보안 요구 도출	제품 초기 요구에 반영
Product Development	설계, 구현, 검증 단계의 보안 활동	S/W, H/W 수준 보호 대책 적용
Incident Response	운용 중 위협 탐지 및 대응 계획	보안 업데이트, 모니터링 포함

보안 목표(Cybersecurity Goal), 요구사항(CSR), 보안 수준(CAL)을 기준으로 문서화한다.

---

4. 도입 효과 및 기대 이점

항목	설명	효과
인증 대응	UN R155 사이버 보안 인증 전제 조건	유럽 등 수출 시 필수 적용
공급망 연계 보안	전체 밸류체인에 보안 요구 전달 가능	Tier 1~N 보안 수준 상향평준화
보안 내재화	설계단계부터 보안 요구 내장 가능	Cost of Security 최소화
위협 대응 강화	실시간 보안 이벤트 탐지 구조 수립	OTA 대응 체계 정비 가능

보안 사고 대응력 향상과 개발 비용 절감 효과가 동시에 발생한다.

---

5. 산업 적용 사례 및 고려사항

사례	설명	고려사항
OEM	차량 전체 플랫폼에 CAL 기반 보안 설계 적용	개발 도구 체계화, 보안 인증 확보 필요
ECU 개발사	보안 요구 반영한 펌웨어 구조 설계	Threat 모델링 기반 설계 체계 필요
클라우드 운영사	차량 통신 백엔드 보안 연계	경량 암호화, 접근 제어 정책 설계 필수
보안 테스트 기업	인증 대응 위한 취약점 진단 서비스	ISO 21434 기반 분석 툴 연동 필요

CSMS(Cybersecurity Management System) 체계와 함께 연계 도입된다.

---

6. 결론

ISO/SAE 21434는 자동차 산업 전반에 걸쳐 사이버 보안을 내재화하는 구조적 기준으로, 소프트웨어 정의 차량(SDV), 커넥티드카, 자율주행차 시대에 필수적인 보안 프레임워크이다. 기술뿐 아니라 정책, 공급망, 인증 전략까지 포괄하는 보안 문화 구축이 요구된다.