자율주행 자동차 형식 승인

1. 차량 형식 승인을 위한 요구사항 (UN 차량 사이버보안 규정 7.3)

(1) 특정 차량 형식이 사이버보안을 고려하여 설계, 개발, 시험되었음을 차량 제조사가 국가별 승인 기관(Approval authority) 또는 승인 기관이 인정한 기술 서비스에 증명하는 과정이다.

 

(2) 차량 제조사는 차량 형식 승인을 위해 하기 요구 사항을 준수하고, 그에 대한 증빙을 승인 기관 또는 기술 서비스에 제출해야 한다.

 

2. 차량 형식 승인

: 차량 제조사에 요구되는 항목

(1) 차량 제조사는 승인되는 차량 형식과 관련된 유효한 사이버보안 관리시스템 인증서를 보유해야 합니다.

 

 • ‌ 만약 2024년 7월 1일 이전에 형식 승인을 진행하는 경우,

차량 제조사가 해당 차량 형식의 개발 단계에서 사이버 보안이 적절히 고려되었음을 입증해야 한다.

 

(2) 차량 제조사는 승인되는 차량 형식에 대해 공급업체 관련 위험을 식별하고 관리해야 한다.

 

(3) 차량 제조사는 차량 형식의 중요 요소를 식별하고 차량 형식에 대한 철저한 위험 평가를 수행하여 식별된 위험을 적절하게 처리, 관리해야 한다.

 

(4) 위험 평가는 차량 형식의 개별 요소 및 이들의 상호작용을 고려해야 한다.

 

(5) 위험 평가는 외부 시스템과의 상호 작용을 추가로 고려해야 한다.

 

(6) 차량 제조사는 위험을 평가하는 동안 ‘UNR No.155 Annex 5 Part A’에 언급된 모든 위협과 관련된 위험 및 기타 관련 위험을 고려해야 한다.

 

(7) 차량 제조사는 위험 평가에서 식별된 위험으로부터 차량 형식을 보호해야 한다. 차량 형식을 보호하기 위해 비례적 완화가 구현되어야 한다.

 

이행되는 완화책은 식별된 위험과 ‘UNR No.155 Annex 5 Part B, C’의 모든 완화책을 포함해야 한다.

그러나 언급된 완화책이 식별된 위험에 관련되지 않거나 충분하지 않은 경우, 차량 제조사는 다른 적절한 완화가 구현되도록 보장해야 한다. 

 

• ‌ 만약 2024년 7월 1일 이전에 형식 승인을 진행 하는 경우,

차량 제조사에서는 UNR No.155 Annex 5 Part B, C’에 언급된 완화가 기술적으로 가능하지 않을 수 있다.

이 경우, 차량 제조사는 적절한 완화책을 적용하고, 기술적 타당성에 대해 승인기관에 제공해야 한다.

 

(9) 차량 제조사는 애프터마켓 소프트웨어, 서비스, 애플리케이션, 데이터의 저장 및 실행을 위해 안전한 전용 환경을 확보하기 위한 적절하고 비례적인 조치를 취해야 한다.

 

(10) 차량 제조사는 형식 승인 전에 구현된 보안 조치의 효과를 검증하기 위해 적절하고 충분한 테스트를 수행해야 한다.

 

(11) 차량 제조사는 아래와 같은 조치를 이행해야 한다.

• ‌ 차량에 대한 사이버 공격을 탐지하고 방지.

• ‌ 차량 형식과 관련된 위협, 취약성 및 사이버 공격 탐지와 관련하여 차량 제조사의 모니터링.

• ‌ 시도되거나 성공한 사이버 공격을 분석할 수 있는 데이터 포렌식.

 

(12) 이 규정을 준수하기 위해 사용되는 암호화 모듈은 널리 통용되는 표준 규격과 일치해야 한다.

만약 그렇지 않다면, 차량 제조사는 사용에 대한 정당성을 입증해야 한다.

 

 2024년 7월부터는 차량 제조사가 새로운 차량을 판매하기 위해서는 사이버보안 관리시스템에 대한 인증을 획득해야 하며, 각 차량 형식마다 승인 기관으로부터 승인을 받아야 한다.

 

3. 해외 자동차 사이버보안 국제기준 도입

 (1) 유럽

EU 회원국(27개)은 국제기준인 UNR 155를 채 택하여 2022년 7월 이후 출시되는 신차 및 2024년 7월 이후 운행되는 모든 차에 국제기준을 적용할 예 정이다.

 

(2) 미국

자동차 사이버보안과 관련된 법령을 별도로 제․개 정하지 않고, 법적 구속력이 없는 사이버보안 가이 드라인(2021년)만 운영 중에 있다.

미국의 경우 안전기준 및 사이버보안 관련 규정 등이 자동차 제작사에게 규제로 작용한다는 입장에 따라 그 도입을 늦추는 추세이다.

 

(3) 일본

국제기준인 UNR155을 「도로운송차량법(道路運 送車両法)」의 하위 법령인 도로운송차량의 보안기준 등에 반영하여 법령을 정비하였으며, 2021년 1월 이후 출시된 자율주행차 등 자동 운행 장치를 갖춘 자동차, 2024년 1월 이후 출시되는 신차, 2026년 5 월 이후 운행되는 모든 차에 국제기준을 적용할 예정이다.

 

(4) 한국

국토교통부에서 국제기준인 UNR 155와 조화하여 자동차제작사의 CSMS 구축을 의무화하고 정부가 승인･감독하도록 하는 내용의 「자동차관리법」 및 하위 법령 개정을 준비 중에 있으며, 법 개정에 앞서 UNR 155를 기반으로 향후 국내 기준으로 제정될 가능성이 높은 사항에 대해서 자동차제작사에게 ‘자동차 사이버보안 확보를 위한 권고안'을 우선 제시하였다.

 

현재 국토교통부는 CSMS 인증․평가기준 마련, 사이버보안 위협 대응 기술 개발 등을 위해 자동차 안전연구원 주관으로 ‘자동차 통합보안 안전성 평 가기술 개발’을 위한 연구용역을 수행 중에 있다.

 

이를 통해 자동차 사이버보안 기준과 관련한 「자동차관리법」 및 하위 법령 개정안을 도출해야 할 것이다.