이번에는 유럽 자동차 규제의 또 다른 축인 Euro 7을 보려고 합니다. Euro 7은 유럽 연합의 자동차 오염 물질 배출 규제입니다. Euro 1부터 현재 시행 중인 Euro 6까지 자동차의 오염 물질 배출 규제는 점점 강화됐습니다. 많은 사람들이 Euro 7를 더 강화된 배출가스 규제로만 생각하지만 이번 개정은 자동차 보안에도 많은 영향을 주는 규제항목들이 추가되었습니다. 이번 글에서는 Euro 7이 Euro 6와 비교하여 어떤 점이 달라졌는지 그리고 자동차 보안에는 어떤 영향이 있는지 알아보겠습니다.

그동안 자동차나 IoT 기기에서 생성되는 데이터는 제조사(OEM)나 플랫폼이 독점해 왔고, 정작 데이터를 만들어낸 사용자는 접근조차 어려운 경우가 많았습니다. EU는 이러한 데이터 독점을 완화하고 경쟁을 촉진하기 위해, 2020년 '유럽 데이터 전략'의 일환으로 Data Governance Act를 제정한 데 이어, 이를 실질적으로 규제하고 보완하는 Data Act를 탄생시켰습니다.

15절은 위협 분석과 위험 평가를 통해 도로 사용자에게 미칠 수 있는 영향을 체계적으로 판단하는 방법을 설명합니다. 표준은 이를 TARA라고 부르며, 보안 위협에 영향을 받는 도로 사용자 관점에서 분석 및 평가를 수행하도록 규정하고 있습니다. 아래 이미지는 TARA의 전체 과정을 개관한 도식입니다. 아이템 정의를 시작점으로 자산 식별 → 데미지 시나리오 → 위협 시나리오 → 공격 경로 분석 → 공격 용이성 평가 → 위험값 산정 → 위험 처리 결정으로 이어지는 흐름을 보여줍니다.

앞에서는 조직과 공급망 차원의 큰 그림을 살펴봤다면, 이번에는 실제 개발 현장으로 시선을 옮겨보겠습니다. 차량 개발의 V 사이클 안에서 사이버보안이 어떻게 자리 잡고 있는지 알아보겠습니다. ISO 21434의 9절부터 14절까지는 차량 개발 과정 전반에 걸쳐 보안이 어떻게 관리되어야 하는지를 구체적으로 정의하고 있습니다. 즉, 개발 전 → 제품 개발 → 검증 → 생산 → 운영 → 지원 종료로 이어지는 전 과정을 따라, 보안 요구사항을 정의하고 있습니다.

ISO/SAE 21434는 차량의 전체 수명주기에 걸쳐 사이버보안 정책 및 프로세스를 정의하고, CSMS를 구현하는 기준을 제공하는 자동차 사이버보안 엔지니어링 국제 표준인데요. 그렇다면, 과연 ISO/SAE 21434는 구체적으로 어떠한 내용들을 다루고 있을까요?