Proven by Intelligence
보이지 않는 안전을 인텔리전스로 증명하다.
기술 인사이트를 만나보세요.
미래 자동차 개발을 위한 기능안전 및 사이버보안 통합수행 방안
미래 자동차의 안전
최근 자동차 분야에 혁신의 바람이 불고 있다. 이를 대표적으로 나타내는 것이 바로 <그림 1>이다. 커넥티비티(Connectivity), 자율주행(Autonomous), 공유(Sharing), 그리고 전장화(Electrification)까지 C.A.S.E라고 일컬어지고 있는 변화의 흐름은 자동차를 마치 하나의 커다란 첨단 ICT(Information and Communication Technology) 시스템으로 변모시켰다. 다시 말해 더 이상 “자동차”라는 굴레에만 얽매이지 않게 된 것이다.
<그림 1> C.A.S.E (Connectivity, Autonomous, Sharing, Electrification)
미래 자동차의 개발은 운전자에게 다양하고 새로운 부가가치를 제공하는 한편, 보다 많은 위험 요소에 노출시키게 되었다. 차량 내부에서 발생하는 고장 뿐만 아니라 차량 외부에서 오는 보안공격까지, 차량 내외부에서 운전자는 물론 주변 보행자의 생명과 자산을 위험하게 만들고 있다. 이와 관련해 자동차 분야의 국제 표준 ISO 26262와 ISO/SAE 21434는 각각 차량 내부의 위험과 차량 외부의 위험으로부터 “기능안전(Functional Safety)” 및 “사이버보안(Cyber Security)”을 달성해 운전자 및 보행자의 생명과 자산을 보호하도록 요구한다.
본 포스팅에서는 서로 다른 목적을 가지는 기능안전 및 사이버보안의 통합수행 방안을 소개하고자 한다. 특히, "medini analyze"라는 모델 기반 분석 솔루션을 통해 표준이 요구하는 안전분석 및 보안분석 과정을 설명한다.
기능안전과 사이버보안
차량 충돌 또는 추돌과 같은 사고가 발생하게 되면 운전자 및 보행자는 생명과 자산에 심각한 피해를 입게 된다. 사고를 발생시키는 원인으로는 여러가지가 있겠지만 미래 자동차에서는 <그림 2>에서 볼 수 있듯이, 차량을 구성하는 내부 구성요소의 고장으로 인한 위험과 차량 외부로부터 오는 악의적 목적의 보안공격으로 인한 위험으로 구분한다. 즉 차량 안에서 뿐만 아니라, 밖에서도 사고가 발생할 수 있다는 것이다.
<그림 2> 차량 내·외부의 다양한 위험
OEM 및 TIER 업체에서는 차량 내외부의 위험으로부터 사용자를 보호하기 위해 관련된 국제 표준을 준수해 시스템을 개발하게 된다. 기능안전 표준인 ISO 26262와 사이버보안 표준인 ISO/SAE 21434가 그것이다. ISO 26262는 전기/전자 시스템의 고장으로 인한 위험으로부터 자동차를 보호하기 위해, 시스템의 생명주기 동안 기능안전을 체계적으로 관리하기 위한 방안이 명시되어 있다. 여기서 기능안전 이란 “전기/전자 시스템의 오작동으로 야기되는 위험원으로 인한, 비합리적인 위험이 없는 상태”로, 표준을 준수해 시스템을 개발하게 되면 “안전 목표”가 시스템에 구현되어 “위험원”을 예방할 수 있게 된다.
마찬가지로 ISO/SAE 21434는 외부 보안공격의 위험으로부터 자동차를 구성하는 전기/전자 시스템을 보호하기 위해, 시스템의 생명주기 동안 사이버보안을 체계적으로 관리하기 위한 방안이 명시되어 있다. 이 때 사이버보안의 정의는 “전기/전자 제어 시스템 및 해당 기능이 가질 수 있는 자산을 보안공격의 위협으로부터 충분히 보호하는 조건”으로, 위협요소의 “리스크”를 줄이기 위한 “보안 목표”를 표준에 따라 시스템에 구현 및 지속적으로 분석하고 관리할 수 있게 된다.
두 개의 표준을 준수함에 있어 가장 중요한 부분은 기능안전과 사이버보안의 상관관계이다. 목표 차량의 기능안전 달성 수준(ASIL, Automotive Safety Integrity Level)이 낮게 판별되었다고 가정해보자. 만약 보안공격을 통해 기능안전과 관련된 위험을 발생시킬 수 있고 해당 보안공격이 누구나 일으킬 수 있는 것이라고 한다면, 기존에 수립하였던 기능안전 달성 수준을 다소 높게 재조정해야 할 것이다.
모델 기반 통합수행 방안
기능안전과 사이버보안은 모두 시스템 생명주기에 따라 수행되지만, 달성 목적이 다른 만큼 각각의 세부 활동 프로세스에 따라 업무가 수행되어야 한다. 기능안전의 경우 제품 구상 단계에서 “아이템 정의”를 대상으로 “위험원 분석 및 리스크 평가(HARA, Hazard Analysis and Risk Assessment)”를 통해 도출된 “안전 목표”에 따라 시스템을 개발하고, 제품 개발 단계에서 개발된 “시스템 아키텍처”가 “안전 목표”에 따라 위험원을 제거 또는 최소화하였는지 “안전 분석”을 통해 확인하게 된다.
반대로 사이버보안의 경우 제품 구상 단계에서 “아이템 정의”를 대상으로 “위협 분석 및 리스크 평가”를 수행해 위협 요소의 리스크를 줄이기 위한 “보안 목표”를 시스템에 구현하고, 제품 개발 단계에서 위협 요소의 리스크가 목표 수치에 맞도록 일정하게 유지되는지 지속적으로 분석하고 관리하게 된다.
<그림 3> 통합수행 프로세스 개요
이처럼 서로 다른 두 개의 프로세스를 각각 수행해서 기능안전 및 사이버보안 산출물 간의 상관관계까지 고려해야 한다면, 정해진 시간과 리소스 아래에서 목표 시스템의 개발을 완수하기란 현실적으로 불가능할 것이다. 하지만 두 프로세스 모두 “아이템 정의”에서부터 시작해 “시스템 아키텍처”를 대상으로 분석이 수행된다는 공통점을 가진다. 즉 <그림 3>과 같이 모델을 중심으로 두 개의 프로세스를 통합수행 하게 되면, 보다 효율적으로 표준에 기반한 시스템을 개발할 수 있게 된다.
예를 들어 자율주행 센서 및 인포테인먼트 시스템과 연결된 “스마트 에어백 시스템”이 있다고 가정해보자. 이 시스템은 외부 카메라 및 레이더 센서로 위험을 감지해, 차량 충돌 시의 충격 강도와 탑승자의 위치에 따라 에어백을 전개한다. 만약 에어백이 전개되지 않거나 잘못 전개된다면 운전자의 생명을 위협하는 사고를 발생시킬 수 있을 것이다. 뿐만 아니라 외부와의 통신을 수행하는 인포테인먼트 시스템을 통해 에어백의 전개를 막거나 정상적으로 달리는 차량에서 에어백이 펼쳐지도록 보안공격이 이루어진다면, 이 또한 큰 사고를 발생시킬 수 있을 것이다. 즉 “스마트 에어백 시스템”에는 “안전 목표”와 “보안 목표”가 시스템에 개발되어야 하고, <그림 4>에서 보이는 바와 같이 “안전 분석” 수행 시에는 보안 위협 요소까지 고려되어야 할 것이다.
<그림 4> 사이버보안 위협 요소를 고려한 FMEA
오늘 본 포스팅에서는 “medini analyze”를 이용한 모델 기반 통합수행 방안을 소개하였다. 이를 통해 필수불가결한 요소로 자리잡게 된 기능안전과 사이버보안을 모두 달성하게 됨으로써, 미래 자동차 개발에 한발 빠르게 다가설 수 있을 것이다.
참고문헌
[1] ISO, “ISO 26262:2018, Road Vehicles - Functional Safety”, International Organization for Standardization, 2018.
[2] ISO, “ISO/SAE DIS 21434:2020, Road Vehicles – Cybersecurity engineering”, International Organization for Standardization, 2020
[3] G. Macher, et. al, “Integrated Safety and Security Development in the Automotive Domain”, SAE Technical Paper, 2017.
[4] J.K. von Wedel and P. Arndt, “Safe and Secure Development: Challenges and Opportunities”, SAE Technical Paper, 2018.
[5] G. Macher, et. al, “An Integrated View on Automotive SPICE, Functional Safety and Cyber-Security”, SAE Technical Paper, 2020.
