AutomotiveIndustry
ASPICE
DevelopmentProcess
요약
- 핵심 개념을 “산출물 연결” 관점으로 정리합니다.
- 실무에서 자주 끊기는 추적성/증적 공백을 줄이는 접근을 제시합니다.
- 변경이 발생해도 Safety Case 근거가 유지되도록 운영 루틴을 제안합니다.
한 줄 정리: 안녕하세요 헤르메스솔루션 입니다.
배경과 문제
안녕하세요 헤르메스솔루션 입니다.
기능 안전은 분석 기법 자체보다, 산출물 간 연결성과 변경 시점의 갱신 속도가 실무 성과를 좌우합니다. 감사/고객 리뷰는 “무엇을 했는가”보다 “근거가 연결되어 있는가”를 봅니다.
핵심 내용
안녕하세요 헤르메스솔루션 입니다.
이번 주 블로그에서는 자동차 안전의 두 가지 핵심 요소인 사이버 보안(ISO/SAE 21434)과 기능 안전(ISO 26262)을 살펴봅니다.
오늘날의 자동차 산업에서는 사이버 보안과 기능 안전을 더 이상 별개의 분야로 취급할 수 없습니다. 차량이 점점 더 연결되고 자율화됨에 따라 사이버 공격은 단순한 데이터 침해에서 인간 생명에 대한 직접적인 위협으로 진화하고 있습니다.
2024년 현재 차량 사이버 공격의 95% 이상이 원격으로 실행되어 연결성과 무선 인터페이스로 인해 발생하는 새로운 종류의 위험이 드러납니다.
이 기사에서는 "위협"(ISO/SAE 21434에 따름)과 "위험"(ISO 26262에 따름)이 어떻게 상호 연관되어 있는지, 그리고 차량 개발 라이프사이클 전반에 걸쳐 두 표준을 함께 해결해야 하는 이유를 설명합니다.
ISO/SAE 21434: 사이버 보안 관점에서 "위협" 이해
ISO/SAE 21434는 개념 및 설계부터 생산, 운영 및 폐기에 이르기까지 전체 차량 수명 주기에 걸쳐 자동차 사이버 보안 관리 프레임워크를 정의합니다.
위협은 다음과 같이 정의됩니다. 잠재적인 악의적 행위 시스템이나 조직에 해를 끼칠 수 있는 행위.
예를 들어, 공격자가 ECU(전자 제어 장치) 또는 통신 채널에 침투하여 데이터를 조작하거나 잘못된 제어 명령을 주입하는 경우 조향 또는 제동 기능에 직접적인 영향을 미쳐 사이버 보안 문제가 안전 사고로 전환될 수 있습니다.
사이버 보안 위협의 핵심 요소
이미지 설명: (1) cybersecurity threat analysis eng 1024x853 1: 기능 안전 개념을 설명하기 위한 참고 이미지
-
의도성: 위협은 우발적인 시스템 오류가 아닌 고의적이고 악의적인 인간 행위에서 발생합니다.
-
공격 경로(Attack Path): 공격자가 대상 시스템에 도달하기 위해 취하는 경로입니다.
예: 외부 네트워크 → 게이트웨이 ECU → 내부 CAN 버스 → 제동 ECU -
공격 타당성: 필요한 시간, 기술, 장비 및 액세스를 기반으로 한 실행 난이도입니다.
-
자산: ECU, 통신 채널, 암호화 키, 펌웨어 코드 등 보호해야 하는 모든 것.
-
취약성: 취약한 암호화, 잘못된 인증, 열린 포트 등 공격자가 악용할 수 있는 약점입니다.
ISO/SAE 21434는 CIA Triad를 기반으로 위협을 평가합니다.
-
기밀성 – 무단 데이터 접근 방지
-
진실성 – 데이터 및 기능을 임의로 수정할 수 없도록 보장
-
유효성 – 필요할 때 시스템이 작동하는지 확인
필요한 보호 수준은 CAL(Cybersecurity Assurance Level, 1-4)로 표현됩니다.
| 수준 |
위험 수준 |
보증수준 |
일반적인 보안 조치 |
예시 시스템 |
|---|---|---|---|---|
| 칼 |
낮은 |
기본 보호 |
접근통제, 기본인증 |
인포테인먼트, 진단 포트 |
| 칼 2 |
중간 |
표준 보호 |
암호화된 통신, 로깅, 사용자 인증 |
Obd 인터페이스, 차량 게이트웨이 |
| 칼 3 |
높은 |
고급 보호 |
침입탐지, 무결성 검사 |
ECU-to-ECU 통신, OTA 업데이트 시스템 |
| 칼 4 |
매우 높음 |
다층 방어 |
HSM, 키보호, 침입방지 |
제동/조향 ECU, ADAS 제어 시스템 |
ISO 26262: 기능 안전 관점에서 "위험" 이해
ISO 26262는 차량의 E/E 시스템 오작동으로 인해 발생하는 위험을 다룹니다.
위험은 다음을 가리킨다. 잠재적 피해 원인 시스템 오작동 또는 무작위 하드웨어/소프트웨어 오류로 인해 발생합니다.
사이버 공격은 의도적인 반면, 위험은 의도하지 않은 센서 오류, 논리 오류, 불안정한 전원 공급 등의 결함으로 인해 발생합니다.
HARA: 위험 분석 및 위험 평가
ISO 26262는 세 가지 주요 매개변수를 사용합니다.
-
심각도(S): 잠재적 피해 수준
-
노출(E): 상황에 직면할 가능성
-
제어 가능성(C): 상황을 제어하거나 완화할 수 있는 운전자의 능력
이러한 요소를 결합하면 A부터 D까지의 ASIL(자동차 안전 무결성 수준)이 생성되며, D는 가장 높은 무결성 수준을 나타냅니다.
예: 고속도로 속도에서 브레이크 고장 → ASIL D
위협과 위험의 근본적인 차이점
| 측면 |
ISO/SAE 21434(위협) |
ISO 26262(위험) |
|---|---|---|
| 원인 |
의도적인 악의적 공격 |
무작위 시스템 오류 |
| 위험의 성격 |
적응형 적 |
통계적으로 예측 가능한 실패 |
| 평가 |
TARA(영향도×공격타당성) |
HARA(심각도 × 노출 × 제어 가능성) |
| 무결성 수준 |
교정 1~4 |
아실 A~D |
| 시간 역학 |
지속적으로 발전 |
상대적으로 정적 |
| 집중하다 |
알려지지 않은 새로운 공격 |
알려진 실패 모드 |
본질적으로 위협은 의도적으로 시스템 작동을 방해하는 반면 위험은 의도하지 않은 오작동으로 인해 발생합니다.
그러나 이들은 독립적이지 않습니다. 사이버 위협은 안전 위험이 될 수 있습니다.
위협이 어떻게 위험이 되는지
현대 연구에서는 사이버 공격이 안전 사고를 유발할 수 있음을 확인했습니다.
-
센서 데이터 조작: 레이더 또는 카메라 신호를 조작하면 잘못된 인식 및 잠재적인 충돌이 발생할 수 있습니다.
-
ECU 제어 무시: 공격자는 제동 또는 조향 동작을 변경하는 명령을 주입합니다.
-
통신 간섭: V2V 메시지가 중단되면 협력 운전 시스템이 오작동하게 됩니다.
이러한 사이버 보안 위협은 ISO 26262에 따라 기능 안전 위험으로 확대되어 즉각적인 물리적 위험을 초래할 수 있습니다.
실제 사례: 원격 브레이크 시스템 공격
통제된 테스트에서 연구원들은 5G 네트워크를 통해 텔레매틱스 ECU의 취약점을 악용하여 차량 내 CAN 버스에 대한 액세스 권한을 얻었습니다.
그들은 위조된 제동 명령을 성공적으로 보냈고, 이로 인해 운전자의 입력 없이 차량이 갑자기 정지하게 되었습니다.
표준에 의한 평가:
-
공격 가능성: 중간 (최대 1개월의 노력으로 숙련된 공격자 확보)
-
심각도(S): S3 – 생명을 위협할 가능성
-
노출(E): E4 - 고속도로 주행이 흔함
-
제어 가능성(C): C3 – 운전자가 반응할 수 없음
→ ASIL D
이 실험은 단일 사이버 보안 침해가 어떻게 직접적으로 기능 안전 장애로 이어질 수 있는지 보여줌으로써 보안이 안전과 동일하다는 것을 증명합니다.
TARA 및 HARA 방법론 비교
| 목 |
타라(ISO/SAE 21434) |
하라(ISO 26262) |
|---|---|---|
| 목표 |
사이버 위협 |
시스템 오작동 |
| 주요 요인 |
영향 × 공격 타당성 |
심각도 × 노출 × 제어 가능성 |
| 결과 |
사이버 보안 목표 + CAL |
안전 목표 + ASIL |
| 빈도 |
지속적(새로운 취약점 발생 시) |
이벤트 중심(설계 변경 시) |
| 평가 |
반정량적 |
질적 |
둘 다 예방 분석입니다. TARA는 사람이 주도하는 공격을 예측하는 반면 HARA는 시스템 중심의 오류를 모델링합니다.
통합을 향하여: HATARA의 부상
업계는 이제 하나의 프레임워크 내에서 위협과 위험을 공동으로 평가하기 위해 HARA + TARA를 결합한 통합 접근 방식인 HATARA를 채택하고 있습니다.
이 통합 프로세스는 일관된 위험 관리를 위해 ASIL 및 CAL 수준을 조정합니다.
장점:
-
중복 분석 제거
-
안전과 보안 요구 사항 간의 일관성을 보장합니다.
-
프로젝트 비용 및 리드타임 단축
-
전체적인 시스템 수준 위험 제어 가능
결론: 안전과 보안은 융합되어야 한다
이미지 설명: (1) cybersecurity 1024x585 1: 기능 안전 개념을 설명하기 위한 참고 이미지
최신 차량은 소프트웨어로 정의되고 네트워크로 연결된 시스템이므로 안전과 보안을 분리하여 관리하는 것이 불가능합니다.
보안 침해는 실제로 두 영역과 수명주기 관리를 병합하여 즉시 안전 위험을 야기할 수 있습니다.
자동차 산업은 이미 이러한 분야를 통합하기 위해 HATARA 및 STPA-SafeSec 방법론을 채택하고 있습니다.
궁극적으로 ISO/SAE 21434 및 ISO 26262를 통합하는 능력이 미래 모빌리티 시스템의 신뢰성과 신뢰도를 결정하게 될 것입니다.
주요 시사점
-
사이버 보안 위협 의도적이다; 기능적 안전 위험 의도하지 않은 것입니다.
-
실제로는 단일 위협이 위험으로 발전할 수 있습니다.
-
ISO/SAE 21434와 ISO 26262는 동시에 구현되어야 합니다.
-
HATARA는 업계의 사실상 표준이 될 가능성이 높습니다.
-
보안 없는 안전은 불가능합니다.
본 글은 통합 자동차 안전 및 사이버보안 관리의 중요성을 강조하기 위해 헤르메스솔루션에서 작성한 글입니다.
Hermes는 ISO/SAE 21434, ISO 26262 및 AI 기반 차량 안전 시스템에 대한 전문적인 통찰력을 지속적으로 제공합니다.
Hermes와 함께 안전한 이동성의 미래를 디자인해보세요.
실무 적용 가이드
- Item/기능 경계를 명확히 하고 HARA 범위를 고정합니다.
- Safety Goal→요구사항(HW/SW)→검증 케이스를 양방향으로 연결합니다.
- 설계 변경 시점마다 SPFM/LFM/PMHF와 근거 산출물을 함께 갱신합니다.
체크리스트
- Safety Goal과 검증 케이스가 1:1로 추적되는가?
- 변경 이력(누가/언제/왜)과 승인 근거가 남아 있는가?
- Safety Case 제출 시 “근거 묶음”을 즉시 생성할 수 있는가?
마무리
정리하면 기능 안전은 “완벽한 문서”보다 “연결된 근거와 빠른 갱신”이 품질을 만듭니다. 팀이 반복 가능한 운영 패턴을 갖추는 것이 장기적으로 가장 큰 비용 절감으로 이어집니다.
다음 단계: 프로젝트 산출물 샘플(추적 매트릭스/증적 패키지)이 필요하면 Hermes Solution Technical Briefing을 요청해보세요.
