ISO 21434: 정의, 규정 준수, 도구 및 인증

기술이 끊임없이 진화하는 세상에서 자동차 산업은 사이버 보안 측면에서 앞서 나가기 위해 열심히 노력해 왔습니다. 점점 더 많은 자동차가 인터넷에 연결됨에 따라 운전자와 데이터를 보호하기 위한 조치를 취하는 것이 필수적입니다. 이것이 ISO 21434가 도로 차량 시스템의 사이버 보안을 촉진하기 위해 개발된 이유입니다. 이 블로그 게시물에서는 ISO 21434와 이것이 조직에 미치는 영향에 대해 자세히 살펴보겠습니다. 열린 도로에서 안전하게 지내십시오!

자동차의 사이버 보안이란 무엇입니까?

자동차의 사이버 보안은 연결된 차량을 무단 액세스 또는 악의적인 손상으로부터 보호하는 관행입니다. ISO 21434는 위험 식별, 위협 관리, 개인 정보 보호 등에 대한 권장 사항을 포함하여 조직이 시스템의 보안을 유지하기 위해 따라야 하는 일련의 규정 및 지침을 간략하게 설명합니다. ISO 21434는 또한 설계별 보안 및 시스템 오류 처리 기능과 같은 안전 고려 사항과 관련된 요구 사항을 정의합니다. 정기적인 소프트웨어 업데이트, 신속한 취약점 패치, 시스템 아키텍처 내의 단일 실패 지점 방지, 이중 인증(TFA) 또는 일회용 암호(OTP)와 같은 보안 인증 프로토콜 구현과 같은 조치를 취함으로써 조직은 관련 위험을 최소화할 수 있습니다. 자동차의 사이버 위협.

ISO 21434이란 무엇입니까?

ISO 21434는 ISO(국제표준화기구)에서 개발한 표준입니다. 도로 차량 시스템에서 사이버 보안을 위한 프레임워크를 생성하도록 설계되었습니다. 이 표준은 위험 평가 및 관리에서 보안 제어 및 완화 전략에 이르기까지 모든 것을 다룹니다. 요컨대, ISO 21434는 사이버 공격으로부터 차량을 안전하게 보호하는 것에 관한 것입니다.

ISO 21434는 SAE(Society of Automotive Engineers)에서 개발한 ISO/SAE 21434 표준을 기반으로 합니다. ISO/SAE 21434 표준은 차량의 사이버 보안에 대한 일련의 지침입니다. 자동차와 트럭에 대한 사이버 공격이 증가함에 따라 만들어졌습니다. ISO/SAE 21434 표준은 자발적이지만 ISO 21434는 모든 ISO 회원에게 필수입니다.

개요 :

ISO 21434는 제조업체, 공급업체 및 OEM에 차량 전자 시스템의 사이버 보안을 보장하기 위한 프레임워크를 제공하기 위해 개발된 표준입니다. 제품 개발의 시작부터 폐기에 이르기까지 모든 단계에서 사이버 보안이 고려되도록 만들었습니다. 이 점을 자세히 설명하기 위해 ISO 21434는 다음을 위해 도로 차량의 사이버 보안과 관련된 용어, 목표, 기준 및 방법을 제공합니다.

• 사이버 보안 표준 및 절차 정의
• 사이버 보안 위협 분석, 식별 및 관리
• 그리고 회사 내에서 '설계에 의한 보안' 또는 사이버 보안 문화를 촉진합니다.

ISO 21434에는 무엇이 포함되어 있습니까?

ISO 21434에는 위험 평가 및 관리, 보안 제어, 통신 및 정보 교환, 완화 전략의 네 가지 주요 부분이 포함됩니다.

1. 위험 평가 및 관리: ISO 21434는 조직이 차량 시스템에 대한 위험을 평가하고 관리하도록 요구합니다. 여기에는 사이버 보안 위험 식별, 평가 및 관리가 포함됩니다. 조직은 또한 사이버 사고를 처리하기 위한 계획을 세워야 합니다.
2. 보안 통제: ISO 21434는 조직이 사이버 공격으로부터 차량을 보호하기 위해 보안 제어를 구현하도록 요구합니다. 이러한 제어에는 인증, 권한 부여 및 암호화와 같은 항목이 포함됩니다.
3. 통신 및 정보 교환: ISO 21434는 조직이 사이버 보안 위험 및 사고에 대한 정보를 교환하도록 요구합니다. 여기에는 공급업체, 고객 및 기타 이해 관계자와의 정보 공유가 포함됩니다.
4. 완화 전략: ISO 21434는 조직이 사이버 사고를 처리하기 위한 완화 전략을 마련할 것을 요구합니다. 이러한 전략은 사고가 차량 시스템에 미치는 영향을 최소화하도록 설계되어야 합니다.

ISO 21434의 목적:

오늘날 모든 차량에는 인공 지능의 힘이 실려 있습니다. Wi-Fi 및 Bluetooth에서 USB 및 LTE 연결에 이르기까지 자동차에는 첨단 기술이 탑재되어 있어 더욱 매력적이고 현대적입니다. 이 모든 것이 함께 차량의 능력을 향상시킬 뿐만 아니라 사이버 공격에 매우 취약합니다.

ISO 21434의 목적은 모든 유형의 사이버 공격으로부터 차량을 보호하는 것입니다. 이 표준은 조직이 차량 시스템에 대한 위험을 평가, 관리 및 완화할 수 있는 프레임워크를 제공합니다. ISO 21434는 처음부터 폐기에 이르기까지 제품 개발의 모든 단계에서 사이버 보안을 고려하도록 설계되었습니다.

ISO 21434 구현 프로세스:

ISO 21434 구현 주기는 표준 자체에 정의된 XNUMX단계 절차입니다.

1. 보안 기능 위반으로 인한 자산 및 잠재적 손상 식별
2. 가능한 위협, 공격 및 취약점의 식별 및 분석
3. 손상 시나리오 및 공격 성공 확률을 기반으로 위험 수준 결정
4. 나머지 위험이 수용 가능할 때까지 대응 조치를 취하십시오.
5. 자산 목록, 손상 시나리오, 공격 보고서 또는 위험 보고서와 같은 위험 평가 프로세스의 중요한 단계 및 결과에 대한 문서화.

ISO 21434 문서 구조:

ISO/SAE DIS 21434 [11]는 설계 및 개발에서 생산, 운영 및 폐기에 이르기까지 차량 수명 주기의 모든 단계에 대한 사이버 보안 활동에 중점을 둡니다. ISO/SAE DIS 21434 초안의 구조는 이 섹션에서 분석되고 간략하게 설명된 후 문서의 후속 섹션에서 더 자세한 설명이 제공됩니다.

제 1 규범의 범위를 정의합니다.

제 2 규범적 참조를 제공합니다.

제 3 문서에 사용된 용어의 약어와 정의를 정의합니다.

제 4 자동차의 생태계, 사이버 보안 관리 및 전체 차량 수명 주기를 설명하는 설명 섹션입니다. 이 부분은 차량 생태, 조직 사이버 보안 관리 및 자동차 수명주기 전반에 대한 정보를 제공합니다. 이 맥락에서 자동차 사이버 보안의 정의는 자동차 자체뿐만 아니라 자동차 내부의 모든 자산을 해를 입힐 수 있는 무단 액세스 또는 조작으로부터 보호하는 것을 의미합니다.

따라서 자동차 사이버 보안은 다음을 고려합니다. 

• 차량 또는 그 구성 요소에 대한 위협 및 
• 차량 외부의 자산을 손상시키지만 차량 내부의 취약성을 이용하는 생태계에 대한 위협. 

또한 사이버 보안 관리 및 사이버 보안 엔지니어링 수명 주기 활동에 대한 일반적인 조직 개요가 제공됩니다.

제 5 조직의 사이버 보안 전략, 정책 및 목표에 대한 설명이 포함됩니다. 이 섹션의 목적은 다음과 같습니다.

• 사이버 보안에 관한 조직 목표와 이러한 목표를 달성하기 위한 조직 전략을 설명합니다.
• 조직의 사이버 보안 전략을 구현하기 위한 조직별 규칙 및 프로세스의 사양
• 사이버 보안 엔지니어링 및 해당 권한에 대한 책임 할당
• 필요한 자원을 제공
• 사이버 보안 문화 조성
• 사이버 보안 활동을 수행하는 데 필요한 역량과 인식을 관리합니다.
• 지속적인 개선 적용
• 조직의 사이버 보안 감사 수행
• 사이버 보안 프로세스 간의 상호 작용을 관리합니다.

제 6 잠재적인 상황이나 사건에 의해 도로 사용자가 위협을 받는 정도를 결정하기 위한 계획과 방법을 포함하는 위험 관리 요구 사항을 정의합니다.

제 7 개념 단계를 다루고 위협 분석 및 위험 평가의 결과로 사이버 보안 목표를 정의합니다. 사이버 보안 목표를 달성하기 위한 사이버 보안 요구 사항 정의.

제 8 제품 개발 단계에 특정한 사이버 보안 요구 사항의 구현 및 검증을 지정합니다. 

제 9 생산, 운영 및 유지 관리 단계에 집중하고 생산된 항목에서 사이버 보안 사양이 구현되도록 요구 사항을 지정합니다. 현장 사이버 보안 활동도 다룹니다.

제 10 조직 프로세스를 포함한 지원 프로세스를 설명합니다. 

섹션 1, 2, 3에서는 문서의 첫 페이지에 사용된 규칙의 범위와 약어 및 단어 정의에 대해 설명합니다. 이러한 내용은 이전에 소개 섹션에서 다루었기 때문에 이 작업에서 더 이상 논의되지 않습니다.

SAE J3061 대 ISO 21434:

ISO 21434 및 SAE J3061은 자동차 사이버 보안에 중점을 둔 서로 다른 두 가지 표준입니다. ISO 21434는 유럽 표준이지만 SAE J3061은 SAE(Society of Automotive Engineers)에서 개발한 미국 표준입니다.

ISO 21434와 SAE J3061의 주요 차이점은 차량의 사이버 보안에 대한 각각의 접근 방식입니다. ISO 21434는 자동차 사이버 보안에 대한 전체적인 접근 방식을 사용하는 반면 SAE J3061은 특정 사이버 위협에 더 중점을 둡니다. 또한 ISO 21434는 차량 수명 주기의 모든 단계에서 자동차 사이버 보안을 구현하는 방법에 대한 지침을 조직에 제공하는 반면 SAE J3061은 위험 관리에 대한 일반적인 권장 사항만 제공합니다. ISO 21434는 전체 차량 수명 주기를 다루기 때문에 ISO 3061는 SAE J21434보다 더 포괄적입니다.

ISO 21434와 UN R155의 관계:

ISO 21434 및 UN 규정 No. 155(UN R155)는 모두 자동차 사이버 보안을 규제하지만 ISO 21434는 기술 표준이고 UN R155는 법적 지침입니다.

ISO 21434와 UN R155의 주요 차이점은 ISO 21434는 안전한 차량 개발에 중점을 두고 UN R155는 사용 중인 차량의 안전을 보장하는 데 중점을 둔다는 것입니다. ISO 21434는 차량 수명 주기의 모든 단계에서 자동차 사이버 보안을 구현하는 방법에 대한 지침을 조직에 제공하는 반면 UN R155는 해당 차량을 사용할 때 기본 안전 요구 사항에 대한 규칙과 규정을 제공합니다. 또한 ISO21434는 UNR155 규정 범위에 포함되지 않는 위험 평가, 시스템 설계 프로세스 및 테스트 프로세스와 같은 주제를 다룹니다. ISO 21434는 전체 차량 수명 주기를 다루기 때문에 ISO 155는 UN R21434보다 더 포괄적입니다.

요구사항 추적성 및 ISO-21434:

ISO 21434는 조직이 개발 수명 주기 전반에 걸쳐 제품 요구 사항을 추적할 수 있도록 요구합니다. 요구 사항 추적성은 개발 단계에서 모든 요구 사항이 고려되고 구현되었는지 확인하는 프로세스입니다.

ISO/SAE 21434는 개발 프로세스 전반에 걸쳐 사이버 보안 사양에서 사이버 보안 요구 사항을 도출하기 위한 표준으로 확립된 세 가지 핵심 원칙(RQ‑09‑08, RQ 09-09 및 RQ 09-10)을 설명합니다. 추적 가능성의 이 중요한 요소는 프로젝트 라이프사이클의 모든 단계에서 성공적인 구현을 보장합니다. 예를 들어,

• [RQ-10-02] 및 [RQ-10-03] 둘 다 요구 사항과 디자인 간의 상관 관계를 조사합니다.
• 구성 요소 구현과 해당 사양 간의 추적 가능성은 다음에서 설명합니다. [RQ‑10‑08] 및 [RQ‑10‑09], 이 두 가지 연구 질문이 가장 중요하다는 것을 보여줍니다.

ISO-21434 내 통합 및 검증

ISO/SAE 21434에는 결과가 사이버 보안 사양을 충족하는지 확인하기 위해 구성 요소를 하위 시스템 및 시스템에 통합하는 것과 관련된 요구 사항 [RQ-10-09] 및 [RQ-10-10]이 포함되어 있습니다. [RQ-10-10]은 검증을 위해 다음과 같은 방법을 강조합니다.

• 요구 사항 기반 테스트 – 요구 사항 기반 테스트는 요구 사항이 충족되었음을 입증할 뿐만 아니라 중복 코드가 없는지 확인하는 데도 중요합니다.
• 인터페이스 테스트 – 인터페이스 테스트는 소프트웨어 시스템, 하위 시스템 및 구성 요소 간의 연결이 제대로 수행되고 있는지 확인합니다.
• 자원 사용 평가 – 연결된 시스템의 경우, 특히 악의적인 개체가 공격할 때 적절한 양의 리소스(메모리, 타이밍, 파일 시스템…)를 할당하고 경쟁 문제를 해결하는 것을 신중하게 고려해야 합니다.
• 제어 및 데이터 흐름 검증 – 부정확한 데이터 또는 부적절한 제어 흐름으로 인해 코드가 위협에 노출될 수 있습니다. 제어 및 데이터 흐름 분석은 둘 다 시스템의 설계 사양에 적합한지 확인하는 탁월한 방법입니다.
• 동적 분석 – 동적 분석은 시스템이 활발하게 실행 중일 때 시스템의 동작을 검사하는 소프트웨어 테스트를 포괄하는 용어입니다. 이 방법은 프로그램의 전체 또는 일부를 검증하고 확인하는 데 적용하여 항상 정확성을 보장할 수 있습니다.

Visure 요구 사항 ALM 플랫폼:

ISO 21434 표준은 자동차 사이버 보안에 대한 포괄적이고 총체적인 접근 방식을 제공합니다. 그러나 표준을 처음 접하는 조직에서는 이를 구현하는 것이 어려울 수 있습니다. 그 곳이 Visure 요구 사항 ALM 플랫폼 들어 온다.

Visure Requirements는 조직이 제품 개발 수명 주기 전반에 걸쳐 ISO 21434 규정 준수를 효과적으로 관리하는 데 도움이 되는 요구 사항 관리 도구입니다. Visure 요구 사항을 통해 조직은 다음을 수행할 수 있습니다.

• ISO 21434에서 제품 요구 사항까지 요구 사항 추적
• ISO 21434 준수 보고서 자동 생성
• 조직 전체에서 ISO 21434 규정 준수를 위해 협업

지금 Visure 요구 사항을 시작하고 ISO 21434 규정 준수 여정을 간소화하십시오!

결론 :

ISO 21434는 사이버 공격으로부터 차량을 보호하는 방법에 대한 지침을 제공하는 글로벌 표준입니다. Visure Requirements ALM Platform과 같은 전문 도구의 도움 없이는 이러한 표준을 구현하기 어려울 수 있습니다. 당사 플랫폼을 사용하면 ISO 21434의 구조에 따라 문서를 쉽게 생성하고 관리할 수 있으므로 표준 준수를 쉽게 보장할 수 있습니다. 요청 무료 30 일 평가판 오늘 Visure Requirements가 규정 준수를 달성하고 제품 개발 프로세스를 개선하는 데 어떻게 도움이 되는지 알아보십시오.