글로벌오토뉴스

상단배너

  • 검색
  • 시승기검색
ä ۷ιλƮ  ͼ  ī 󱳼 ڵδ ʱ ڵ 躴 ͽ ǽ ȣٱ Ÿ̾ Auto Journal  Productive Product

[오토저널] E/E Safety 표준/법규 대응

페이지 정보

글 : 오토저널(ksae@ksae.org)
승인 2022-10-04 14:46:29

본문

전기/전자 시스템의 리스크 대응 위한 국제 표준
최근 들어 프리미엄 차량은 1Gbyte 코드로 동작하며, 70개 이상의 ECU들에 의해 동작하고 있다. 자율주행, 커넥티드 차량, 첨단 운전자 지원 시스템 등 신기술 및 서비스가 차량에 적용되고 있으며, 이로 인해 차량의 복잡도가 증가하고 있다. 특히 차량에 인터넷, 모바일 제품들과 V2V(Vehicle to Vehicle), V2I(Vehicle to Infrastructure) 등 무선 통신 기술이 적용되면서 Safety critical 시스템과 타 시스템과의 격리가 어려워지고 있다. 결국 차량의 복잡성과 연결성의 증가로 인해 전기/전자 시스템의 오작동 발생 가능성과 차량에 대한 사이버 공격 가능성이 커지고 있는 것이다. 

19be35ba1571447ae134146b06e6dd8c_1664862

<그림 1>은 실제로 최근 커넥티드 차량에 대한 보안 취약점을 해킹하여 에어컨, 오디오 시스템, 와이퍼, 도어락에서부터 탑승자의 안전과 직접적으로 연관이 될 수 있는 엔진, 조향 시스템, 브레이크 시스템들을 원하는 대로 조작할 수 있음을 증명한 사례이다.

<그림 2>는 차량의 시스템에 연결된 물리적 연결, 유선, 무선 같은 인터페이스들을 통해 다양한 어택 벡터들이 발생 가능하다는 것을 시험을 통해 보여주고 있다. 차량 탑재된 전기/전자 시스템은 안전에 영향을 미칠 수 있다. 예를 들어 차량 주행 중 운전자가 조작을 하지 않았음에도 갑자기 급제동을 한다면, 큰 사고로 이어질 가능성이 있다. 이러한 차량의 위험한 행동은 <그림 3>과 같이 해커의 사이버 공격이나 전기/전자 시스템의 오작동 혹은 기능적 불충분함에 의해 유발될 수 있기 때문에 이를 고려하여 시스템이 개발되어야 한다. 

19be35ba1571447ae134146b06e6dd8c_1664862

국제표준화기구(ISO)에서는 이러한 리스크를 대응하기 위해 <그림 4> 같은 국제 표준을 제정하여 공표하였다. 먼저, ISO 26262는 자동차 기능안전 국제표준으로서 전기/전자 시스템의 오작동으로 인해 유발되는 위험을 수용 가능한 수준으로 낮추기 위한 표준이다.

19be35ba1571447ae134146b06e6dd8c_1664862

그리고 ISO 21434는 자동차 사이버보안 엔지니어링 국제표준으로 해커에 의한 악의적인 사이버 공격으로 인해 유발되는 위험에 대응하고자 만들어진 표준이다. 마지막으로 ISO 21448은 카메라, 라이다와 같은 복잡한 센서 또는 기계학습 사용에 따른 상황인지 불확실성에 의해 의도된 기능이 차량에서 충분한 수준으로 구현되지 못함에 따라 발생하는 위험을 수용 가능한 수준으로 낮추기 위한 표준이다. ISO 21448은 줄여서 SOTIF라고도 불리는데, 현재 국제 표준 제정 중이다.

Functional Safety이란?
ISO 26262는 2011년에 최초 배포되어 Safety critical한 자동차 전기/전자 시스템의 개발, 생산, 운영, 폐기 시 적용되고 있다. 기능안전이란, 전기/전자 시스템의 문제에 의해 발생할 수 있는 비합리적인 위험으로부터 자유로운 상태를 의미한다. 

이것을 달성하기 위한 세부 요구사항이 ISO 26262에 제시되어 있는데, 핵심은 안전에 영향이 있을 수 있는 고장을 최대한 식별하여 이를 최대한 회피, 감지 및 처리하기 위한 안전 메커니즘을 구현하고 검증하는 것이다.

여기서 안전 관련 고장을 크게 두 가지로 분류하여 이야기할 수 있다. Systematic failure와 Random hardware failure가 그것이다. Systematic failure는 결정론적인 방식으로 발생하는 고장으로 소프트웨어 버그가 그 대표적 예이다. ISO 26262에서는 이에 대해서 반복적/단계적 검증을 포함하는 프로세스 및 방법론의 적용 뿐만 아니라, 시스템 운용 시 Runtime에서 이러한 결함을 감지/처리하기 위한 요구사항을 제시하고 있다.

반면, Random hardware failure는 하드웨어 수명 시간 동안 예측 불가능하게 발생하는 고장이다. 이 유형의 고장은 언제/어떤 조건에서 발생할 지 정확한 예측은 어렵지만, 고장률 자체는 산업계에 널리 쓰이는 데이터베이스를 활용하는 등의 방법을 통해 사전에 산정할 수 있다. ISO 26262는 이러한 유형의 고장에 대한 정량적 목표 값을 달성을 것을 요구하고 있다. 예를 들어 ASIL D 안전 목표에 대해 10 FIT (Failures In Time)를 달성해야 하는데 이는 확률적으로 1억 시간 동안 안전 관련 고장이 1회 미만으로 발생하도록 시스템을 설계해야 한다는 의미이다.

앞서 설명된 ISO 26262의 요건 대응을 위해서는 전사 수준의 기능안전 관리 체계가 수립되어야 하며 기능안전 요구 사항의 도출 및 안전 분석, 고장 주입 검증 등의 기능안전 활동을 포함하는 프로세스가 그 핵심이 된다. 

Cybersecurity란?
차량의 개발 환경 변화에 따라, 차량의 내/외부 연결 및 접점 증가는 전기/전자 시스템의 안전을 위협하는 사이버보안 공격의 증가로 이어졌다. 시스템 취약점에 대한 외부로부터의 공격을 통해 악의적인 조작이 가능해지면서 차량의 외부를 통한 접근은 내부 제어기의 안전의 영향을 미치는 결과를 초래하였다. <그림 5>와 같은 피해 사례를 통하여 주요 국제기구 및 국가들은 사이버보안 규정 및 가이드라인을 제정하였다. 

UNECE R.155는 차량 생명 주기 전체에 따른 요구 사항의 만족을 위하여 차량 제조사(OEM)에게 CSMS (Cybersecurity Management System) 인증을 요구하고 있다. UNECE R.155 요구사항은 SOP(Start of Production) 이후의 Production과 EOS(End of Support)까지를 포함하게 되면서 개발 프로세스의 변화로 이어졌다. 앞서 설명한 바와 같이 기능안전, 사이버보안과 같은 안전 관련 표준/법규 대응을 위해 Process, Technology, Organization관점으로 대응이 필요하다.

Process 관점
첫째, 프로세스의 경우 기본적인 프레임워크의 수립이 중요하다. 표준 도입 이전 기본적인 개발 프로세스가 부실할 경우 제대로 된 기능안전, 사이버보안 요건 이행이 어렵고, 신규 표준 도입 시 프로세스의 변경이 복잡하고 어렵기 때문이다. 만도는 Automotive SPICE 요건 기반의 기본적인 개발 프로세스 위에 기능안전, 사이버보안을 위한 프로세스/활동을 통합하여 자체 개발 프로세스인 MSDP(Mando System Development Process)를 구축하였다.

19be35ba1571447ae134146b06e6dd8c_1664862
19be35ba1571447ae134146b06e6dd8c_1664862

구축된 개발 프로세스는 엔지니어링 프로세스에 특화된 IT 시스템<그림 8>을 활용하여 프로세스를 모델링하여 관리, 게시하고 있다.

Technology 관점
엔지니어링 프로세스의 경우 누가 무슨 일을 해서 무엇을 만들어 낼 것인지에 대해 주로 기술하고 있을 뿐만 아니라, 각 프로세스에서 활용에 필요한 개발 방법론을 제시하고 있다. 개발 방법론은 어떻게 그 일을 수행할 것인지에 대해 가이드라인 형태로 기술되어 있어서 각 역할자는 굳이 여러가지 표준이나 논문을 참고하지 않아도 회사 수준에서 표준으로 정의된 방법론만 참고하면 기본적인 지식을 습득하여 실무에 적용할 수 있다.

19be35ba1571447ae134146b06e6dd8c_1664862

산업계에서 일반적으로 사용되는 개발 방법론을 각 조직에 맞게 재 정의할 수 있는데, 일례로 기능안전과 사이버보안을 관점의 분석이 각각 수행되어야 하지만 이것을 통합적으로 분석하기 위해 아래와 설명과 같이 FTA 방법론을 확장하여 적용할 수도 있다.

19be35ba1571447ae134146b06e6dd8c_1664862

ISO 26262에서는 FTA를 통해 고장 식별과 디자인의 강건함을 확인하는데 여기에 보안을 고려하기 위해 어택 트리(Attack tree)를 추가 반영하였다. <그림 10>이 FTA 확장을 설명하고 있다. FTA에 공격 이벤트를 포함하여 안전과 보안의 이벤트들을 동시에 분석 가능하게 FTA를 확장하였다. FTA 확장을 통해 안전과 보안을 동시에 분석 가능할 뿐만 아니라 기능안전 요구사항과 사이버보안 요구사항 간의 모순을 확인할 수도 있다.

앞서 제시된 프로세스 및 개발 방법론을 효과적으로 이행하기 위해서는 적절한 소프트웨어 도구의 지원이 필요하며, 이러한 도구는 준수해야할 표준과 고객 요구사항이 증가함에 따라 더욱 다양해지고 있다. 전통적인 프로세스인 요구관리, 형상관리, 테스트부터 시작하여 MBD(Model based Development)를 위한 도구 등 점차 그 활용 범위가 확대되고 있다. 또한, 점차 증가하는 오픈소스의 관리와 그에 따른 취약점을 관리하기 위한 시스템이 필요하다. 사이버보안의 위협을 완화하기 위해 다양한 Fuzzing 도구 및 모의해킹(Penetration Test) 도구 역시 갖추어야 할 것이다. 이렇듯 필요한 도구들이 증가함에 따라 도구 간 연결(Interface) 및 관리의 중요성이 더욱 부각되고 있다. <그림 11>은 ALM 도구와 대표적으로 사용되고 있는 영역별 도구들을 식별하여 이를 통합/관리하는 하나의 사례이다.

만도의 경우, 상기 언급한 도구 체계 뿐만 아니라, 전반적인 품질 통합 관리를 위해 단계별, 영역별 데이터를 수집, 분석하여 지표화를 통해 품질 상태 및 추이를 모니터링 할 수 있는 시스템을 구축하여 운영하고 있다.Organization 관점기능안전 및 사이버보안 달성을 위해 프로세스와 도구가 갖추어지더라도 그것을 수행할 리소스가 불충분하거나 부적절하다면 충분한 효과성을 기대하기 어렵다. 기능안전과 사이버보안을 고려한 프로세스 활동 수행을 위해 표준 역할을 정의하고 그에 따르는 책임과 역량 요건 정의가 필요하다. 

19be35ba1571447ae134146b06e6dd8c_1664862

만도는 약 50가지 역할에 대해 표준 책임과 역량에 대한 요구사항을 정의하였고 이를 확보하기 위한 교육 프로그램 및 자격 인증 제도를 개발하여 운영하고 있다.
또한 신규 법규나 표준에 효과적인 대응을 위해 프로젝트 수준이 아닌 전사적 조직이 필요할 수 있다. ISO 21434의 경우, 개발(R&D)외 기업운영, 생산 및 제품 운영 전반에 대한 지속적인 사이버보안 활동을 요구하고 있기에 만도는 BU(Business Unit) 간의 원활한 의사소통 및 실효성 있는 의사결정을 위한 상설 협의체를 수립하여 운영하고 있다.

Automotive Megatrend(CASE: Connected car, Autonomous driving, Shared mobility, Electric vehicle)에 따라 차량의 복잡도와 연결성이 증가하고 있다. 이로 인해 안전에 대한 리스크가 증가하고 있으며, 이런 리스크를 줄이기 위해 기능안전, 사이버보안 표준/법규를 만족해야 한다. 만도는 이에 대응하기 위해 표준/법규에 기반한 프로세스와 방법론을 구축하고 이를 제대로 지원하기 위한 도구 체계를 갖추었을 뿐만 아니라, 필요한 조직을 구성하고 충분한 교육 프로그램을 개발하는 등 전사적 참여를 통해 관련 표준/법규에 능동적으로 대응하고 있다.

글 / 이진환 (만도)
출처 / 오토저널 2022년 8월호  
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
하단배너
우측배너(위)
우측배너(아래)