15절은 위협 분석과 위험 평가를 통해 도로 사용자에게 미칠 수 있는 영향을 체계적으로 판단하는 방법을 설명합니다. 표준은 이를 TARA라고 부르며, 보안 위협에 영향을 받는 도로 사용자 관점에서 분석 및 평가를 수행하도록 규정하고 있습니다. 아래 이미지는 TARA의 전체 과정을 개관한 도식입니다. 아이템 정의를 시작점으로 자산 식별 → 데미지 시나리오 → 위협 시나리오 → 공격 경로 분석 → 공격 용이성 평가 → 위험값 산정 → 위험 처리 결정으로 이어지는 흐름을 보여줍니다.

앞에서는 조직과 공급망 차원의 큰 그림을 살펴봤다면, 이번에는 실제 개발 현장으로 시선을 옮겨보겠습니다. 차량 개발의 V 사이클 안에서 사이버보안이 어떻게 자리 잡고 있는지 알아보겠습니다. ISO 21434의 9절부터 14절까지는 차량 개발 과정 전반에 걸쳐 보안이 어떻게 관리되어야 하는지를 구체적으로 정의하고 있습니다. 즉, 개발 전 → 제품 개발 → 검증 → 생산 → 운영 → 지원 종료로 이어지는 전 과정을 따라, 보안 요구사항을 정의하고 있습니다.

ISO/SAE 21434는 차량의 전체 수명주기에 걸쳐 사이버보안 정책 및 프로세스를 정의하고, CSMS를 구현하는 기준을 제공하는 자동차 사이버보안 엔지니어링 국제 표준인데요. 그렇다면, 과연 ISO/SAE 21434는 구체적으로 어떠한 내용들을 다루고 있을까요?