페르세우스

2020년 6월 25일, 약 2년간의 준비와 개정 끝에 유엔은 자동차 사이버 보안에 관한 두 가지 새로운 규정을 공식적으로 채택했습니다.

자동차 규제는 유엔에서 새로운 주제가 아닙니다. 유엔은 1950년대 초부터 차량 안전 및 보안 기준 규제에 참여해 왔습니다. 그러나 이 주제가 생소했기 때문에 유엔이 자동차 사이버 보안 규정을 개발하기 시작한 것은 2018년이 되어서였습니다.

하지만 왜 지금일까요? 주니퍼 리서치(Juniper Research) 에 따르면 , 2023년까지 7억 7,500만 대의 소비자 차량이 텔레매틱스 또는 차량용 앱을 통해 연결될 것으로 예상되는데, 이는 2018년 3억 3,000만 대에서 증가한 수치입니다. 또한, 인터내셔널 데이터 코퍼레이션(International Data Corporation) 은 같은 해까지 전 세계 신규 경차 및 트럭의 약 70%가 내장형 연결 기능을 탑재하여 판매될 것으로 예측합니다. 다른 커넥티드 카 관련 연구 결과에 따르면, 전 세계 커넥티드 카 시장은 2023년까지 1,220억 달러 규모로 성장하여 연평균 14%의 성장률을 기록할 것으로 예상됩니다.

커넥티드 카 시장이 확대됨에 따라, 글로벌 자동차 OEM, 1차 및 2차 공급업체, 그리고 기타 업체들은 커넥티드 카를 위한 다양한 서비스, 부품 및 기술을 지속적으로 개발하고 있습니다. 결과적으로 차량 연결성이 향상되고 임베디드 솔루션에 대한 수요가 증가함에 따라, 커넥티드 카를 겨냥한 사이버 공격의 위험도 커지고 있습니다. 

2020년 3월 미국 연방조달청(GSA)의 최근 보고서에 따르면, 자동차에는 최대 1억 줄의 코드가 있으며, 2030년까지는 약 3억 줄의 소프트웨어 코드가 포함될 것으로 예상됩니다. 이는 사이버 공격의 수많은 기회를 만들어 운전자를 큰 위험에 빠뜨립니다. 따라서 새로운 커넥티드 서비스와 기능이 등장할 때마다 해커의 진입점이 늘어나고 잠재적인 사이버 공격, 사기, 데이터 유출 사고의 위험이 발생하여 기업, 운전자, 그리고 도로 이용자 모두에게 위협이 됩니다.

자동차 사이버 보안 규정의 경우, 업계, 정부 및 도로 이용자 전반에서 보안 강화에 대한 요구가 뚜렷합니다. 이러한 자동차 사이버 보안 노력 중 하나는 유엔 유럽 경제 위원회(UNECE)의 WP.29와 함께 개발된 규정을 통해 확인할 수 있습니다. UNECE 개요에 따르면 WP.29의 목적은 "차량 기술 규정의 전 세계적 조화 또는 개발을 목표로 하는 조치를 시작하고 추진하는 것"입니다. 커넥티드 카의 보급이 증가함에 따라, 자율주행 및 커넥티드 카(GRVA)에 대한 새로운 작업반이 구성되었습니다. WP.29와 GRVA는 새로운 자동차 사이버 보안 규정을 함께 개발했으며, 올해 6월 25일 기준으로 두 개의 새로운 WP.29 자동차 사이버 보안 규정이 채택되었습니다. 

UNECE는 2020년 6월 25일 보도자료 에서 다음과 같이 설명했습니다.

 UNECE의 차량 규정 조화를 위한 세계 포럼에서 채택한 두 가지 새로운 UN 규정은 4가지 분야에 걸쳐 조치를 시행할 것을 요구합니다. 차량 사이버 위험 관리, 가치 사슬 전체에서 위험을 완화하기 위한 설계상의 차량 보안, 차량 전체에서 보안 사고 탐지 및 대응, 안전하고 보안이 유지되는 소프트웨어 업데이트 제공 및 차량 안전이 손상되지 않도록 보장, 차량 소프트웨어에 대한 소위 '무선(OTA)' 업데이트에 대한 법적 기반 도입. 

첫 번째 규정은 사이버보안 및 사이버보안 관리 시스템(CSMS) 관련 차량 승인에 관한 통일된 조항에 중점을 둡니다. 두 번째 규정은 차량 소프트웨어 업데이트 프로세스 및 소프트웨어 업데이트 관리 시스템(SUMS)에 관한 것입니다.

자세한 내용은 아래를 참조하세요.