한 줄 정리: 안녕하세요 헤르메스솔루션 입니다.
안녕하세요 헤르메스솔루션 입니다.
기능 안전은 분석 기법 자체보다, 산출물 간 연결성과 변경 시점의 갱신 속도가 실무 성과를 좌우합니다. 감사/고객 리뷰는 “무엇을 했는가”보다 “근거가 연결되어 있는가”를 봅니다.
안녕하세요 헤르메스솔루션 입니다.
이번 주 블로그에서는 자동차 안전의 두 가지 핵심 요소인 사이버 보안(ISO/SAE 21434)과 기능 안전(ISO 26262)을 살펴봅니다.
오늘날의 자동차 산업에서는 사이버 보안과 기능 안전을 더 이상 별개의 분야로 취급할 수 없습니다. 차량이 점점 더 연결되고 자율화됨에 따라 사이버 공격은 단순한 데이터 침해에서 인간 생명에 대한 직접적인 위협으로 진화하고 있습니다.
2024년 현재 차량 사이버 공격의 95% 이상이 원격으로 실행되어 연결성과 무선 인터페이스로 인해 발생하는 새로운 종류의 위험이 드러납니다.
이 기사에서는 "위협"(ISO/SAE 21434에 따름)과 "위험"(ISO 26262에 따름)이 어떻게 상호 연관되어 있는지, 그리고 차량 개발 라이프사이클 전반에 걸쳐 두 표준을 함께 해결해야 하는 이유를 설명합니다.
ISO/SAE 21434는 개념 및 설계부터 생산, 운영 및 폐기에 이르기까지 전체 차량 수명 주기에 걸쳐 자동차 사이버 보안 관리 프레임워크를 정의합니다.
위협은 다음과 같이 정의됩니다. 잠재적인 악의적 행위 시스템이나 조직에 해를 끼칠 수 있는 행위.
예를 들어, 공격자가 ECU(전자 제어 장치) 또는 통신 채널에 침투하여 데이터를 조작하거나 잘못된 제어 명령을 주입하는 경우 조향 또는 제동 기능에 직접적인 영향을 미쳐 사이버 보안 문제가 안전 사고로 전환될 수 있습니다.
이미지 설명: (1) cybersecurity threat analysis eng 1024x853 1: 기능 안전 개념을 설명하기 위한 참고 이미지
의도성: 위협은 우발적인 시스템 오류가 아닌 고의적이고 악의적인 인간 행위에서 발생합니다.
공격 경로(Attack Path): 공격자가 대상 시스템에 도달하기 위해 취하는 경로입니다.
예: 외부 네트워크 → 게이트웨이 ECU → 내부 CAN 버스 → 제동 ECU
공격 타당성: 필요한 시간, 기술, 장비 및 액세스를 기반으로 한 실행 난이도입니다.
자산: ECU, 통신 채널, 암호화 키, 펌웨어 코드 등 보호해야 하는 모든 것.
취약성: 취약한 암호화, 잘못된 인증, 열린 포트 등 공격자가 악용할 수 있는 약점입니다.
ISO/SAE 21434는 CIA Triad를 기반으로 위협을 평가합니다.
기밀성 – 무단 데이터 접근 방지
진실성 – 데이터 및 기능을 임의로 수정할 수 없도록 보장
유효성 – 필요할 때 시스템이 작동하는지 확인
필요한 보호 수준은 CAL(Cybersecurity Assurance Level, 1-4)로 표현됩니다.
| 수준 |
위험 수준 |
보증수준 |
일반적인 보안 조치 |
예시 시스템 |
|---|---|---|---|---|
| 칼 |
낮은 |
기본 보호 |
접근통제, 기본인증 |
인포테인먼트, 진단 포트 |
| 칼 2 |
중간 |
표준 보호 |
암호화된 통신, 로깅, 사용자 인증 |
Obd 인터페이스, 차량 게이트웨이 |
| 칼 3 |
높은 |
고급 보호 |
침입탐지, 무결성 검사 |
ECU-to-ECU 통신, OTA 업데이트 시스템 |
| 칼 4 |
매우 높음 |
다층 방어 |
HSM, 키보호, 침입방지 |
제동/조향 ECU, ADAS 제어 시스템 |
ISO 26262는 차량의 E/E 시스템 오작동으로 인해 발생하는 위험을 다룹니다.
위험은 다음을 가리킨다. 잠재적 피해 원인 시스템 오작동 또는 무작위 하드웨어/소프트웨어 오류로 인해 발생합니다.
사이버 공격은 의도적인 반면, 위험은 의도하지 않은 센서 오류, 논리 오류, 불안정한 전원 공급 등의 결함으로 인해 발생합니다.
ISO 26262는 세 가지 주요 매개변수를 사용합니다.
심각도(S): 잠재적 피해 수준
노출(E): 상황에 직면할 가능성
제어 가능성(C): 상황을 제어하거나 완화할 수 있는 운전자의 능력
이러한 요소를 결합하면 A부터 D까지의 ASIL(자동차 안전 무결성 수준)이 생성되며, D는 가장 높은 무결성 수준을 나타냅니다.
예: 고속도로 속도에서 브레이크 고장 → ASIL D
| 측면 |
ISO/SAE 21434(위협) |
ISO 26262(위험) |
|---|---|---|
| 원인 |
의도적인 악의적 공격 |
무작위 시스템 오류 |
| 위험의 성격 |
적응형 적 |
통계적으로 예측 가능한 실패 |
| 평가 |
TARA(영향도×공격타당성) |
HARA(심각도 × 노출 × 제어 가능성) |
| 무결성 수준 |
교정 1~4 |
아실 A~D |
| 시간 역학 |
지속적으로 발전 |
상대적으로 정적 |
| 집중하다 |
알려지지 않은 새로운 공격 |
알려진 실패 모드 |
본질적으로 위협은 의도적으로 시스템 작동을 방해하는 반면 위험은 의도하지 않은 오작동으로 인해 발생합니다.
그러나 이들은 독립적이지 않습니다. 사이버 위협은 안전 위험이 될 수 있습니다.
현대 연구에서는 사이버 공격이 안전 사고를 유발할 수 있음을 확인했습니다.
센서 데이터 조작: 레이더 또는 카메라 신호를 조작하면 잘못된 인식 및 잠재적인 충돌이 발생할 수 있습니다.
ECU 제어 무시: 공격자는 제동 또는 조향 동작을 변경하는 명령을 주입합니다.
통신 간섭: V2V 메시지가 중단되면 협력 운전 시스템이 오작동하게 됩니다.
이러한 사이버 보안 위협은 ISO 26262에 따라 기능 안전 위험으로 확대되어 즉각적인 물리적 위험을 초래할 수 있습니다.
통제된 테스트에서 연구원들은 5G 네트워크를 통해 텔레매틱스 ECU의 취약점을 악용하여 차량 내 CAN 버스에 대한 액세스 권한을 얻었습니다.
그들은 위조된 제동 명령을 성공적으로 보냈고, 이로 인해 운전자의 입력 없이 차량이 갑자기 정지하게 되었습니다.
표준에 의한 평가:
공격 가능성: 중간 (최대 1개월의 노력으로 숙련된 공격자 확보)
심각도(S): S3 – 생명을 위협할 가능성
노출(E): E4 - 고속도로 주행이 흔함
제어 가능성(C): C3 – 운전자가 반응할 수 없음
→ ASIL D
이 실험은 단일 사이버 보안 침해가 어떻게 직접적으로 기능 안전 장애로 이어질 수 있는지 보여줌으로써 보안이 안전과 동일하다는 것을 증명합니다.
| 목 |
타라(ISO/SAE 21434) |
하라(ISO 26262) |
|---|---|---|
| 목표 |
사이버 위협 |
시스템 오작동 |
| 주요 요인 |
영향 × 공격 타당성 |
심각도 × 노출 × 제어 가능성 |
| 결과 |
사이버 보안 목표 + CAL |
안전 목표 + ASIL |
| 빈도 |
지속적(새로운 취약점 발생 시) |
이벤트 중심(설계 변경 시) |
| 평가 |
반정량적 |
질적 |
둘 다 예방 분석입니다. TARA는 사람이 주도하는 공격을 예측하는 반면 HARA는 시스템 중심의 오류를 모델링합니다.
업계는 이제 하나의 프레임워크 내에서 위협과 위험을 공동으로 평가하기 위해 HARA + TARA를 결합한 통합 접근 방식인 HATARA를 채택하고 있습니다.
이 통합 프로세스는 일관된 위험 관리를 위해 ASIL 및 CAL 수준을 조정합니다.
장점:
중복 분석 제거
안전과 보안 요구 사항 간의 일관성을 보장합니다.
프로젝트 비용 및 리드타임 단축
전체적인 시스템 수준 위험 제어 가능
이미지 설명: (1) cybersecurity 1024x585 1: 기능 안전 개념을 설명하기 위한 참고 이미지
최신 차량은 소프트웨어로 정의되고 네트워크로 연결된 시스템이므로 안전과 보안을 분리하여 관리하는 것이 불가능합니다.
보안 침해는 실제로 두 영역과 수명주기 관리를 병합하여 즉시 안전 위험을 야기할 수 있습니다.
자동차 산업은 이미 이러한 분야를 통합하기 위해 HATARA 및 STPA-SafeSec 방법론을 채택하고 있습니다.
궁극적으로 ISO/SAE 21434 및 ISO 26262를 통합하는 능력이 미래 모빌리티 시스템의 신뢰성과 신뢰도를 결정하게 될 것입니다.
사이버 보안 위협 의도적이다; 기능적 안전 위험 의도하지 않은 것입니다.
실제로는 단일 위협이 위험으로 발전할 수 있습니다.
ISO/SAE 21434와 ISO 26262는 동시에 구현되어야 합니다.
HATARA는 업계의 사실상 표준이 될 가능성이 높습니다.
보안 없는 안전은 불가능합니다.
본 글은 통합 자동차 안전 및 사이버보안 관리의 중요성을 강조하기 위해 헤르메스솔루션에서 작성한 글입니다.
Hermes는 ISO/SAE 21434, ISO 26262 및 AI 기반 차량 안전 시스템에 대한 전문적인 통찰력을 지속적으로 제공합니다.
Hermes와 함께 안전한 이동성의 미래를 디자인해보세요.
정리하면 기능 안전은 “완벽한 문서”보다 “연결된 근거와 빠른 갱신”이 품질을 만듭니다. 팀이 반복 가능한 운영 패턴을 갖추는 것이 장기적으로 가장 큰 비용 절감으로 이어집니다.
다음 단계: 프로젝트 산출물 샘플(추적 매트릭스/증적 패키지)이 필요하면 Hermes Solution Technical Briefing을 요청해보세요.