사이벨리움-ASRG, 자동차 사이버보안 규정 준수 상황 점검 보고서 발표
50개 글로벌 자동차 OEM 및 부품업체 대상 설문조사 실시
2021-09-08 온라인기사  /  윤범진 기자 bjyun@autoelectronics.co.kr

자동차 보안 라이프사이클 관리 분야의 선도 기업인 사이벨리움(Cybellum)과 자동차의 사이버 보안 강화를 위한 솔루션 개발을 지원하는 비영리 단체인 ASRG(The Automotive Security Research Group)는 자동차 업계의 사이버보안 취약점 관리 현황을 평가하기 위한 설문 조사인 ‘사이버보안 규정 준수 상황 점검 보고서’를 발표했다. 해당 설문 조사는 자동차 산업 분야의 50여 글로벌 OEM 및 Tier-1, 2 업체를 대상으로 실시됐다.

ASRG의 창립자인 존 헬드레스(John Heldreth)는 “한국, EU, 일본 등에서 자동차 사이버 보안 법규인 UNECE WP. 29 F155 준수 및 시행이 빠르게 추진되고 있고, ISO/SAE 21434가 공식 발표되어 요구사항에 대한 준수가 강제될 예정이다. 그러나 설문조사에 참여한 자동차 관련 조직 중 6%만이 국제표준 및 규정 준수를 체계적으로 준비하고 있는 것으로 나타났으며 30%에 해당하는 조직은 새로운 사이버보안 요건 준수를 위한 준비를 하지 못한 것으로 나타났다.”고 말했다. 그는 또 "2022년부터 자동차 분야의 사이버보안 강화를 위한 요구사항 준수가 의무화되어 강제적으로 시행될 예정이므로 새로운 시대에 대비할 필요가 있다."고 덧붙였다.

사이벨리움과 ASRG의 보고서에 따르면, 현재 국제표준 및 규정이 시행을 앞두고 있는 상황임에도 다수의 자동차 업체가 이에 대한 준비가 되어 있지 않은 상태인 것으로 나타났다. 보고서에서는 다음 사항을 지적하고 있다.

  • 설문 조사 참여 기업 중 63%는 취약점 관리 프로세스를 자동화하지 않았다.
  • 설문 조사 참여 기업 중 65%는 새로운 취약점에 대한 시의 적절한 평가가 점점 더 어려워지고 있다고 답변했다.
  • 설문 조사 참여 기업 중 43%는 사이버보안에 대한 수동 관리로 인하여 보안 평가에 많은 시간이 소요된다고 언급했으며, 42%는 복잡한 공급망에 대한 관리의 어려움으로 인해 시의 적절한 보안 평가가 어려웠다고 언급했다.
  • 설문 조사 참여 기업 중 74%는 제품이 생산된 이후의 지속적인 모니터링 관리를 위하여 취약점 완화의 우선순위 지정을 자동화할 수 있는 솔루션을 사용하는 것으로 나타났다.
  • 설문 조사 참여 기업 중 6%만이 UNECE WP.29 R155 규정 준수를 준비하고 있다.

사이벨리움의 슬라바 브론프만(Slava Bronfman) CEO는 "자동차를 대상으로 하는 사이버 위험이 지속적으로 증가하면서 다양한 위협에 대응하기 위해 각종 국제표준 및 규제가 제정되고 있다. 이러한 국제표준 및 규제는 자동차 업계가 취약점 관리에 대한 접근방식을 전면적으로 재고할 것을 요구하고 있다."라며 “과거에는 취약점에 대한 수동 관리만으로 자동차 보안을 강화할 수 있었지만 사이버보안 위험이 다양해지면서 더 이상 수동 관리 프로세스만으로는 각종 보안 위험에 대응할 수 없게 됐다.”고 우려를 표했다.

그는 또 "사이벨리움과 ASRG의 설문 조사에 따르면, 자동차 산업 분야의 OEM 및 공급업체의 주요 관심사 역시 보안 관리 자동화 프로세스라는 것을 확인할 수 있다. 자동차 분야의 보안 취약점 관리 영역을 확장하기 위해서는 제품 보안 평가 및 제품 생산 단계 이후에 이루어지는 보안 작업을 자동화해야 한다.”고 말했다.

사이벨리움과 ASRG이 공동으로 작성한 보고서는 국제표준 및 규정의 요구사항 준수를 위한 준비 과정, 취약점 관리에 활용할 수 있는 적용 사례, 취약점 완화에 소요되는 평균 시간 등 자동차 사이버보안 및 취약점 관리와 관련된 광범위한 주제를 다룬다.
해당 보고서는 사이벨리움의 웹사이트를 통해 확인할 수 있다. [AEM]


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>


  • 100자평 쓰기
  • 로그인


TOP