2022년부터 자동차 분야 사이버 보안 요구 사항 준수 필요성 커져
설문조사 응답기업 중 6%만이 UNECE WP.29 R155 규정 준수에 대응하고 있어

[보안뉴스 이상우 기자] 사이벨리움(Cybellum)이 자동차 사이버 보안 강화 솔루션 개발을 지원하는 비영리 단체 ASRG(The Automotive Security Research Group)와 함께 자동차 업계가 사이버 보안 취약점을 어떻게 관리하고 있는지 평가하기 위한 설문조사를 실시하고, 이에 대한 보고서를 발표했다. 해당 설문조사는 자동차 산업 분야의 글로벌 OEM 및 Tier-1-2 공급업체를 대상으로 실시됐다.


ASRG의 창립자 존 헬드레스(John Heldreth)는 “한국, EU, 일본 등에서 UNECE WP. 29 F155 시행이 빠르게 추진되고 있고, ISO/SAE 21434가 공식 발표돼 요구사항에 대한 준수가 강제될 예정이다. 그러나 설문조사에 참여한 자동차 분야의 조직 중 6%만이 국제표준 및 규정 준수를 체계적으로 준비하고 있는 것으로 나타났으며 30%에 해당하는 조직은 새로운 사이버 보안 요건 준수를 위한 준비를 하지 못한 것으로 나타났다”며, “2022년부터는 자동차 분야의 사이버 보안 강화를 위한 요구 사항 준수가 의무화되고 강제적으로 시행될 예정이기 때문에 새로운 시대에 대비하는 것이 필요하다”고 덧붙였다.

이처럼 사이벨리움과 ASRG의 보고서에 따르면 현재 국제표준 및 규정이 시행을 앞두고 있는 상황임에도 불구하고 다수의 자동차 업체가 해당 국제표준 및 규정 준수에 대한 준비가 돼 있지 않은 상태인 것으로 나타났다. 보고서에서는 다음 사항을 지적하고 있다.

△설문조사 참여기업 중 63%는 취약점 관리 프로세스를 자동화하지 않았다.
△설문조사 참여기업 중 65%는 새로운 취약점에 대한 시기 적절한 평가가 점점 더 어려워지고 있다고 답변했다.
△설문조사 참여기업 중 43%는 사이버 보안에 대한 수동 관리로 인하여 보안 평가에 많은 시간이 소요된다고 언급했으며, 42%는 시기적절한 보안 평가를 방해하는 요인으로 복잡한 공급망에 대한 관리의 어려움을 언급했다.
△설문조사 참여기업 중 74%는 제품이 생산된 이후의 지속적인 모니터링 관리를 위하여 취약점 완화의 우선순위 지정을 자동화할 수 있는 솔루션을 사용하는 것으로 나타났다.
△설문조사 참여기업 중 6%만이 UNECE WP.29 R155 규정 준수를 준비하고 있다.

사이벨리움 슬라바 브론프만(Slava Bronfman) CEO는 “자동차를 대상으로 하는 사이버 위험이 지속적으로 증가하면서 다양한 위협에 대응하기 위해 각종 국제표준 및 규제가 제정되고 있다. 이러한 국제표준 및 규제는 자동차 업계가 취약점 관리에 대한 접근 방식을 전면적으로 재고할 것을 요구하고 있다”며, “과거에는 취약점에 대한 수동 관리만으로 자동차 보안을 강화할 수 있었지만 사이버 보안 위험이 다양해지면서 더 이상 수동 관리 프로세스만으로는 각종 보안 위험에 대응할 수 없게 됐다. 사이벨리움과 ASRG의 설문 조사에 따르면 자동차 산업 분야의 OEM및 공급업체의 주요 관심사 역시 보안관리 자동화 프로세스라는 것을 확인할 수 있다. 자동차 분야의 보안 취약점 관리 영역을 확장하기 위해서는 제품 보안 평가 및 제품 생산 단계 이후에 이루어지는 보안 작업을 자동화해야 한다”고 말했다.

한편, 사이벨리움과 ASRG이 공동으로 작성한 보고서는 국제표준 및 규정의 요구사항 준수를 위한 준비과정, 취약점 관리에 활용할 수 있는 적용사례, 취약점 완화에 소요되는 평균시간 등 자동차 사이버 보안 및 취약점 관리와 관련된 광범위한 주제를 다룬다. 해당 보고서는 사이벨리움 웹사이트에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>