ISO 21434는 대체 어떤 내용을 담고 있을까? 
(1편: 조직 차원에서 고려해야 할 구조적인 사이버보안) 
  

이전 블로그에서 차량 사이버보안의 필요성이 증대됨에 따라, 2020년 6월 UNECE (United Nations Economic Commission for Europe) 산하 WP.29(The World Forum for Harmonization of Vehicle Regulations)는 차량 사이버보안 규정인 UN Regulation No. 155 (UN R155)가 채택되었다는 말씀을 드렸었습니다.  

이러한 UNR 155는 법률 특성 상 다소 추상적으로 표기되었기 때문에, 이를 뒷받침하는 구체적인 문서로서 ISO 21434가 표준화되었습니다. 이에 UNR 155에 대해 실제로 준수하는 요구사항 등 구체적인 평가 기준에 대해서는 ISO/SAE 21434를 준용하게 됩니다.   

즉, ISO/SAE 21434는 차량의 전체 수명주기에 걸쳐 사이버보안 정책 및 프로세스를 정의하고, CSMS를 구현하는 기준을 제공하는 자동차 사이버보안 엔지니어링 국제 표준인데요. 그렇다면, 과연 ISO/SAE 21434는 구체적으로 어떠한 내용들을 다루고 있을까요? UNR 155의 내용을 뜯어보면 다음과 같습니다.  

  

텍스트, 스크린샷, 직사각형, 도표이(가) 표시된 사진 AI 생성 콘텐츠는 정확하지 않을 수 있습니다.
<ISO 21434 내용 구성> 

5절에서 8절까지는 조직에서 고려해야 할 구조적인 사이버보안 요구사항들에 대해 다루고 있습니다. 9절에서 14절까지는 제품의 개발 차원에서 사이버보안 요구사항들을 정의하고 있는데요. 제품의 설계 전 단계부터, 제품 개발 단계, 개발 후 단계로 나눠 사이버보안에 대한 요구사항들을 정의하고 있습니다.  오늘은 ‘조직에서 고려해야 할 구조적인 사이버보안 요구사항’인 5절부터 8절의 내용을 분석하고자 합니다.  

5절. 조직의 사이버보안 관리 (Organizational Cybersecurity Management) 

먼저 5절부터 살펴보죠. 5절은 조직 차원의 사이버보안 관리체계(CSMS; Cybersecurity Management System)에 대한 요구사항들을 다루고 있습니다. 사이버보안은 특정 팀이나 프로젝트에만 국한되는 활동이 아니라, 회사 전체 차원에서 관리되어야 하는 사항이라는 것이죠. 이를 위해 조직은 명확한 보안 정책과 절차를 수립해야 하고, 이에 대한 사이버보안 정책서를 작성해야 하며, 보안 관련 모든 결정과 활동은 기록으로 남아야 한다는 것을 강조하고 있습니다. 또한 역할과 책임이 애매하다면 보안에 대한 사각지대가 생기므로, 경영진부터 엔지니어까지의 책임체계가 분명해야 한다는 것을 언급하고 있습니다. 그래서 표준은 조직이 반드시 갖춰야 할 핵심 문서들을 제시하고 있습니다. 

  • 사이버보안 정책 - 조직은 사이버보안 정책과 규칙을 공식 문서로 정의해야 합니다. 경영진이 이를 승인하고 책임지는 모습이 보여야 하며, 단순히 선언문이 아니라 실제 위험을 관리하겠다는 의지가 드러나야 하죠. 
  • 역량·인식·개선 관리 증거 - 보안은 결국 사람이 하는 일이기 때문에, 인력이 필요한 역량을 갖추고 있는지, 정기적으로 교육과 인식 제고 활동을 하고 있는지, 그리고 조직이 지속적으로 개선하고 있다는 흔적이 있어야 합니다. 단순 교육 이력뿐 아니라 실제 변화가 보이면 더 좋습니다. 
  • 관리 체계 증거 - 조직 내에서 누가 보안을 담당하는지, 어떤 자원이 배분되는지, 어떤 프로세스로 운영되는지 명확히 보여주는 문서가 필요합니다. 체계가 없으면 결국 책임도 흐려지고, 보안은 선언에 그치게 되니까요. 
  • 도구 관리 증거 - 보안 활동을 위해 사용하는 툴이나 소프트웨어가 어떻게 선정·관리되고 있는지를 보여주는 기록이 필요합니다. 단순히 “툴이 있다”가 아니라, 버전 관리와 업데이트, 활용 내역까지 추적 가능해야 합니다. 
  • 감사 보고서 - 조직이 실제로 정책을 지키고 있는지 검증한 감사 결과입니다. 내부 및 외부 감사를 포함하고 발견된 문제와 개선 계획까지 포함되어야 함을 강조하고 있습니다. 

즉 5절은 “보안은 조직 전체의 일”이라는 사실을 제도적으로 정착시키는 것을 목표로 하고 있습니다. 

 

 

6절. 프로젝트 사이버보안 관리 (Project-dependent Cybersecurity Management) 

5절이 이러한 조직 관점에서의 보안에 집중했다면, 6절은 “각 프로젝트에 맞는 보안 관리”에 대한 요구사항을 다루고 있습니다. 아무리 조직 차원의 CSMS가 잘 구축되어 있어도, 실제 차량 개발 프로젝트에서는 각 제품에 대한 별도의 보안 계획이 필요합니다. 프로젝트마다 사용되는 부품, 인터페이스, 기능이 모두 다르기 때문에 그에 맞는 맞춤형 보안 계획 수립과 관리가 필요한 것이죠. 이를 위해 6절에서는 대표적으로 프로젝트별로 사이버보안 계획을 작성할 것을 요구하고 있습니다. 사이버보안 계획은 어떤 보안 활동을 언제, 누가, 어떻게 할지가 명확히 적혀 있어야 하며, 제품에 대해 개발, 시험, 운영 단계별로 보안활동을 추적하고 기록할 것을 강조하고 있습니다. 이 계획은 단순한 문서가 아니라, 프로젝트의 전 과정을 따라가며 실제로 작동해야 합니다. 즉, 제품의 개념 단계부터 개발·시험·운영에 이르기까지 추적 가능하고 업데이트 가능한 계획이어야 한다는 게 핵심입니다. ISO 21434는 아래의 문서가 구비되어 있어야 함을 강조하며, 조직 차원의 원칙이 현장의 실행으로 이어지도록 요구하고 있습니다.  

  • 사이버보안 계획 - 프로젝트 차원에서 어떤 보안 활동을, 누가, 언제, 어떻게 할지 정리한 계획입니다. 단순 일정표가 아니라 구체적인 활동 로드맵이 포함되어야 합니다. 
  • 사이버보안 케이스 - 해당 프로젝트의 보안 타당성을 논리적으로 설명하는 문서입니다. “우리는 이런 위협을 이렇게 다뤘다”는 식의 증거 모음집이라고 생각하시면 됩니다. 
  • 사이버보안 평가 보고서 - 독립적으로 진행한 보안 평가 결과가 필요합니다. 보안이 충분한지, 부족한 점은 뭔지, 수용 가능한 수준인지 판정하는 문서를 구비해야 할 것을 강조하고 있습니다. 
  • 개발 이후 단계 승인 보고서 - 프로젝트 결과물이 후속 단계(출시/운영/유지보수 등)로 넘어갈 수 있는지를 확인해주는 최종 승인 문서입니다. 출시 계획이나 생산 이관 요구사항 등을 확인하며, 말 그대로 “출시해도 된다”는 보증서 같은 거죠. 

결국 6절이 강조하는 메시지는 단순합니다. “조직 차원의 큰 틀(CSMS)을, 프로젝트 상황에 맞게 구체적인 계획으로 풀어내고 실제로 추적·관리하라.” 이것이 바로 회사 정책과 현장 실무를 연결하는 ISO 21434의 의도라고 할 수 있습니다.  

7절. 분산된 사이버보안 활동 (Distributed Cybersecurity Activities) 

7절은 “공급망 차원의 보안 책임”을 다루고 있습니다. 자동차는 하나의 기업이 단독으로 만드는 제품이 아닙니다. 수많은 1차·2차 협력업체(Tier 1, Tier 2)가 부품과 시스템을 공급하고, OEM과 함께 완성차를 만들어내죠. 이런 구조에서 보안 책임을 특정 기업 하나가 모두 떠안는 건 불가능합니다. 따라서 공급망 전체가 함께 보안에 참여하도록 요구하는 것이 7절의 핵심입니다. 계약단계에서부터 각 제품에 대한 보안 요구사항을 명확히 관리하고, 각 이해관계자들이 모두 보안에 대한 자신들의 역할을 이해하며 참여해야 한다는 것을 강조하고 있습니다. 

표준은 특히 계약 단계에서부터 보안 요구사항을 명확히 해야 한다는 점을 강조합니다. 보안 요구사항이 협력사 계약서나 조달 프로세스에 포함되지 않으면, 실제 제품 개발 단계에서는 책임 소재가 불분명해지고, 취약점이 방치될 가능성이 커지기 때문입니다. ISO 21434는 이를 막기 위해 OEM과 협력사 모두가 자신의 보안 역할을 이해하고, 이를 아래의 문서로 남기며, 협력 과정에서 적극적으로 공유할 것을 요구하고 있습니다.  

  • 사이버보안 인터페이스 협약 - 고객(OEM)과 공급자(Tier-1, Tier-2 등) 사이에서 누가 어떤 보안 활동을 책임질지 합의한 계약 문서입니다. 활동 분배, 정보 공유 방식, 책임 소재를 명확히 적어, 보안에서의 역할을 확실하게 정의하는 것이 중요합니다. 

7절은 “보안은 OEM만의 책임이 아니라, 공급망 전체의 책임’이라는 것을 강조하고 있다고 볼 수 있습니다.  

8절. 지속적 사이버보안 활동 (Continual Cybersecurity Activities) 

8절에서는 차량이 시장에 출시된 이후인 운영단계에서의 이야기를 다룹니다. 보안은 개발 단계에서 끝나지 않고, 차량이나 제품 출시 후에도 지속적으로 관리되어야 하죠. 이때 가장 중요한 개념은 바로 보안위협에 대한 모니터링입니다.  

보안위협에 대한 모니터링을 위해서는 새로운 취약점이나 공격 기법을 파악해, 이에 대한 탐지를 수행하고 관리할 체계가 필요합니다. 취약점이 발견되면 공개절차를 마련해 투명하게 대응하고, 사고가 발생하면 신속하게 대응하여 피해를 최소화하는 과정이 매우 중요합니다.  

  • 사이버보안 정보 출처 목록 - 보안 이벤트를 모니터링하기 위해 어떤 내부/외부 소스를 참고할지 정리한 문서입니다. 취약점 DB, 연구자 보고서, 공급망 정보, 정부 발표 등 다양한 소스가 여기에 포함됩니다. 단순 나열이 아니라, 왜 이 출처를 모니터링 대상으로 삼았는지 근거가 함께 있어야 합니다. 
  • 트리거 목록 - 어떤 조건에서 수집된 보안 정보가 중요 보안 이벤트로 분류될지 정의한 규칙 및 기준에 대한 문서입니다. 키워드, 설정 값, 특정 공급자 이름 등이 포함되어 있습니다. 
  • 사이버보안 이벤트 기록 - 모니터링 결과 실제 보안 이벤트로 분류된 사례들을 정리한 문서입니다. 전체 로그가 아니라 보안적으로 주목해야 하는 이벤트들에 대한 선별 목록이죠. 
  • 이벤트 도출 약점 목록 - 수집된 이벤트가 단순 현상인지, 아니면 시스템에 영향을 줄 수 있는 약점인지 판별하여 이를 기록하는 문서입니다. 즉 수집된 이벤트가 보안상 의미 있는 약점인지를 판단해 기록하는 것이죠. 
  • 취약점 분석 보고서 - 발견된 약점에 대해서 분석하여 실제 취약점인지 판별하고, 그 위험도를 평가한 결과입니다. 아키텍처 분석, 공격 경로 분석까지 포함될 수 있습니다. 
  • 취약점 관리 증거 - 취약점을 관리하거나 리스크를 관리한 기록입니다. 단순히 발견에서 끝나는 게 아니라, 끝까지 책임지고 대응했다는 증거가 포함되어야 함을 강조하고 있습니다. 

8절을 통해 사이버보안은 출시로 끝나는 게 아니라, 운영 단계에서 위협을 감시하고 업데이트하며 계속 이어지는 활동임을 알 수 있습니다. 

이렇게 오늘 1편에서는 5절부터 8절까지의 조직, 프로젝트, 공급망, 모니터링 등과 관련된 조직에서의 전체적인 사이버보안 요구사항에 대해 알아봤습니다. 정리하면, ISO 21434의 5절부터 8절까지는 ‘조직 전체가 보안을 책임지고, 프로젝트별로 계획을 실행하며, 공급망 전체가 협력하고, 출시 이후에도 보안이 이어진다’는 메시지를 담고 있습니다. 2편에서는 좀 더 실무적인 내용을 다뤄보려 합니다. 차량을 실제로 개발할 때의 보안 요소들인 ‘자동차 개발 V-사이클에서의 사이버보안’에 대해 설명하며, ISO 21434 표준의 9~14절에 대해 얘기해볼 예정입니다. 2편에서 뵙겠습니다! 

아우토크립트는 이러한 구조적인 사이버보안에 대해 실제 기업의 보안 프로세스와 운영 현장에 녹여낼 수 있도록 ISO 21434 컨설팅을 수행하고 있습니다. 이를 통해 제조사와 OEM의 보안 대응 능력이 한층 강화될 수 있도록 함께하고 있습니다.