ISO/SAE 21434
개요
ISO/SAE 21434는 자동차 산업을 위한 사이버 보안 표준으로, 차량의 생애주기 전반에 걸쳐 사이버 위협으로부터 보호하기 위한 요구사항과 절차를 규정합니다. 차량이 점점 더 연결되고 자율화됨에 따라, 보안은 기능 안전과 함께 필수 요소로 떠올랐습니다. 이 글에서는 ISO/SAE 21434의 구조, 요구사항, 프로세스, 적용 전략 및 실제 도입 사례를 통해 자동차 사이버 보안의 핵심을 정리합니다.
1. 개념 및 정의
ISO/SAE 21434는 자동차 사이버 보안 엔지니어링을 위한 글로벌 표준으로, 차량 시스템, 구성 요소, 소프트웨어, 통신 등에 대한 보안 요구사항, 리스크 평가, 검증 방법을 정의합니다.
- 정식 명칭: ISO/SAE DIS 21434: Road vehicles — Cybersecurity engineering
- 대상 범위: 차량 시스템 전체(ECU, 통신, 클라우드 등)
- 적용 단계: 차량 개발, 생산, 운영, 폐기까지 전체 라이프사이클
ISO 26262가 기능 안전을 다루는 반면, ISO/SAE 21434는 보안 위협 대응을 중심으로 합니다.
2. 특징
| 항목 | 설명 | 유사 규격 대비 차별점 |
| 전체 라이프사이클 적용 | 개발~폐기 전 주기 보안 적용 | ISO 27001은 조직 중심 관리 |
| 위험 기반 접근 | TARA(Threat Analysis and Risk Assessment) 적용 | 기술 중심 대응에서 전략 중심 대응으로 확장 |
| 자동차 특화 구조 | ECU, OTA 등 차량 특성 반영 | 일반 보안 표준과 구분 |
ISO/SAE 21434는 차량 설계 초기부터 보안을 내재화하는 것을 강조합니다.
3. 구성 요소
| 구성 요소 | 설명 | 주요 예시 |
| Cybersecurity Management | 조직, 프로젝트 차원의 보안 책임 정의 | 사이버 보안 계획서, 역할 매트릭스 |
| Concept Phase | 시스템 보안 요구사항 정의 | 데이터 흐름 모델링, 자산 식별 |
| Product Development | 기술 보안 요구사항 및 구현 | 암호화, 침입 탐지, ECU 보안 강화 |
| Validation & Verification | 보안 목표 달성 여부 확인 | Penetration Test, Code Review |
| Post-Development | 운영 중 사이버 위협 대응 체계 | OTA 보안 패치, 모니터링, 대응 시나리오 |
ISO/SAE 21434는 기능 중심 설계뿐 아니라 조직 체계와 프로세스 정비를 요구합니다.
4. 기술 요소
| 기술 요소 | 설명 | 적용 사례 |
| TARA | 위험 기반 보안 요구사항 도출 | STRIDE, HEAVENS 방법론 활용 |
| Secure Boot | ECU 초기 부팅 검증 | 인증되지 않은 펌웨어 실행 방지 |
| Secure OTA | 원격 업데이트 시 보안 확보 | 암호화 전송, 무결성 검증 |
| HSM (Hardware Security Module) | 하드웨어 기반 키 보호 | ECU 내 보안 키 저장 및 암호 연산 |
보안 기술은 ISO/SAE 21434 프로세스 내에서 기술적 보안 요구사항으로 구현됩니다.
5. 장점 및 이점
| 장점 | 설명 | 기대 효과 |
| 리스크 기반 보안 설계 | 위협 분석과 우선순위 기반 대응 | 보안 자원 최적 분배 가능 |
| OEM/공급망 보안 통합 | 협력사 대상 요구사항 명확화 | 공급망 보안 일관성 확보 |
| 인증 대응 기반 마련 | UN WP.29 R155 규제 대응 가능 | 글로벌 수출 경쟁력 강화 |
ISO/SAE 21434는 단순 기술 적용이 아닌 보안 거버넌스와 협력 체계 구축까지 요구합니다.
6. 주요 활용 사례 및 고려사항
| 사례 | 설명 | 고려사항 |
| 글로벌 OEM | 차량 플랫폼 전체에 보안 설계 내재화 | 프로젝트 초기 단계부터 보안 계획 수립 필요 |
| Tier1 부품사 | ECU 단위에서 TARA 및 Secure Boot 구현 | ISO 26262와의 통합 프로세스 고려 필요 |
| 국내 스타트업 | ADAS/IVI 시스템의 OTA 보안 설계 | 클라우드 연동 보안 정책 동시 수립 필요 |
도입 시, 조직 역량 분석, TARA 방법론 선정, 도구체계(GRC 플랫폼 등) 확보가 선행되어야 합니다.
7. 결론
ISO/SAE 21434는 차량이 점점 더 커넥티드되고 자율화되는 미래에서 자동차 사이버 보안의 핵심 표준으로 자리잡고 있습니다. 단순 기술 대응이 아닌 전사적 보안 체계를 요구하며, 글로벌 OEM과 부품사 모두가 공급망 관점에서 보안 수준을 일치시켜야 합니다. 조기 도입과 교육, 협력 기반 체계 구축이 성공적인 대응의 핵심입니다.