자동차 사이버보안: UNECE 소프트웨어 업데이트 프로세스 권고안

안녕하세요, 여러분!

오늘은 자동차 사이버보안의 중요한 변화, UNECE의 소프트웨어 업데이트 프로세스 권고안에 대해 알아보겠습니다.

이 권고안은 자동차 사이버보안 분야에 중요한 변화를 가져올 것으로 보이는데요, 함께 살펴보겠습니다.

제가 참조한 링크는 다음과 같습니다.

UNECE Recommendation on Software Update Processes - Argus

 

UNECE의 소프트웨어 업데이트 권고안이란?

UNECE(유럽경제위원회)는 OTA(Over-The-Air) 업데이트를 위한 보안 및 표준화된 방법을 제공하기 위해 생겨났습니다.

이는 정부의 강력한 관여 하에 있으며, 이해관계자들(산업 연합, 원래 장치 제조업체, 표준화 기관, 정부 기관 등)로부터 제기된 문제에 따라 현재 수정 중입니다.

권고안의 핵심 목표 3가지

• 소프트웨어 업데이트 관리: 모든 자동차 제조업체가 소프트웨어 업데이트 관리 시스템(SUMS: Software Update Management System)을 개발하도록 합니다.
  
  이는 향후 사이버보안 구현의 기반을 마련하고, 소프트웨어 업데이트에 대한 추가적인 검사를 가능하게 합니다.
  
  
• 기관을 위한 지침: 최신 기술과 보안 취약점에 대한 지침을 제공합니다.
  
  이는 국가 수준의 기관에 적용되며, OEM과 소프트웨어 개발자에게 필요한 테스트 절차, 문서화 및 검증 과정을 개요 합니다.
  
  
• 인증 및 감독 강화: SUMS의 관리 부분에 초점을 맞춰 OEM에게 추가 인증 수준을 요구합니다.
  
  이 인증은 최대 3년간 유효하며, 국가 또는 지역 당국의 승인을 받아야만 획득할 수 있습니다.

 

다양한 보안 위협요소 대응

• 통신 및 연결 기반 공격 대응: 악의적인 의도로 보내진 메시지, 서비스 거부(DoS) 공격, 통신 채널 도청, 통신 채널 하이재킹, 재전송 공격, 메시지 스푸핑 등에 대한 대응책을 제공합니다.
  
  
• 맬웨어 기반 위협 대응: 사용자의 실수로 인한 보안 문제, 이동식 드라이브를 통한 멀웨어, 비인가 접근 등을 다룹니다
  
  
• 시스템 프로세스: 무단 접근 탐지를 위한 권한 관리, 텔레매틱스 시스템의 조작, 소프트웨어 업데이트 보안/무결성/인증 등에 대한 대책을 포함합니다.

유지관리의 어려움 🌐

 
이 권고안은 커넥티드카의 보안 문제에 대응하는 중요한 제안이지만, 시간이 지남에 따라 유지 관리가 어려울 수 있습니다.

이에 대해, 관련 기관에 대한 지침이 전반적인 성공을 위한 중요한 역할을 할 것으로 예상됩니다.

정부 기관, 비정부기구(NGO), 산업 기관들이 새로운 보안 조치에 대해 지속적으로 평가하고 합의해야 합니다.

사이버보안 위협은 규제 위원회가 새로운 최첨단 기술을 분석하고 새로운 법률을 제정하는 것보다 훨씬 빠르게 진화하고 있습니다.

결론

UNECE의 이 권고안은 자동차 사이버보안 분야에서 중요한 이정표가 될 것입니다.

이는 자동차 제조업체와 소프트웨어 개발자들에게 새로운 도전을 제시하며, 차량의 안전과 보안을 강화하는 데 중요한 역할을 할 것입니다.