유엔 유럽경제위원회(UNECE)는 지난해 2020년 6월 사이버 보안 및 커넥티드 카의 소프트웨어 업데이트에 대한 새로운 법규인 ‘WP29’를 채택했다. 이는 차량의 IT보안 및 소프트웨어 업데이트에 대한 요건 및 감사 요구 사항을 명시하고 있다.
EU지역 이외 지역을 포함하여 이 규정법규에 참여하는 54개 협약국에는 독일을 포함한 EU뿐만 아니라, 한국과 일본도 해당 법규를 채택해 이를 준수하게 될 예정이다. 본 법규들은 2021년 1월 발효될 예정이며, EU에서 가장 먼저 시행될 예정이다. EU는 2022년 7월부터 시행한다.
해당 법규는 승용차(자동차)와 상용차(밴, 트럭, 버스)를 대상으로 하며, 2022년 7월부터 모든 신차는 형식 승인을 받아야 한다. 이어 2024년 7월부터는 규제 적용 범위가 모든 차량으로 확대될 예정이다. 서명한 국가들(유럽, 한국, 일본)은 전 세계 생산량의 3분의 1을 차지하고 있다. 또한, 본 규정에 서명한 58개국에 수출하려는 차량제조사는 UNECE 규정을 준수해야 한다. 이 규정 법규가 시행되면, 차량 형식 승인을 받지 못한 차량은 유럽 내 판매가 전면 금지되기 때문이다.
공식 문서 ‘ECE-TRANS-WP29-2020-079-Revised'(링크)에 따르면, 사이버 보안 형식 승인과 관련하여 두 가지의 특정 요구사항이 있다.
1) 제조사의 사이버 보안 관리 시스템 (CSMS)의 요구사항
– 차량 사이버 위험의 식별과 관리
– CSMS 컴플라이언스 인증서 확보를 위한 지속적인 검토, 그리고 실행 및 시현 가능한 개선 프로세스
– ‘합리적인 시간’ 내에 사건 대응
2) 사이버 보안에 관련된 차량 승인 요구사항
– 차량에 대한 사이버 공격의 탐지와 예방
– 식별된 위험으로부터 차량 보호
지난 2020년 3월 발표한 맥킨지 보고서(PDF)에 따르면, 자동차 사이버 보안에 대한 요구가 지속적으로 확산되고 있다. 이에 사이버 보안 강화에 2020년 49억 달러에서 2030년 97억 달러로 증가하는 막대한 투자를 촉발할 것으로 기대된다.
소프트웨어 안전 전문 기업 슈어소프트가 유엔 유럽경제위원회(UNECE) WP29 규제를 본격적으로 대응하기 위한 사이버보안 평가 서비스를 출시했다고 밝혔다.
슈어소프트는 이런 시장 흐름에 선제적으로 대응하기 위해 21년간 자동차 소프트웨어 분야에서 쌓아온 기술과 경험을 바탕으로 차량 형식 승인에 대응하기 위한 사이버보안 평가 서비스를 출시했다.
슈어소프트의 사이버보안 평가 서비스는 자동차 소프트웨어 라이프 사이클을 기반으로 설계부터 소프트웨어 통합 검증, 시스템 및 실차 검증까지 총 3단계의 서비스를 제공하고 있다. 또한 슈어소프트는 지난 6월 21일 이타스코리아와 사이버보안 대응 협력 MOU를 맺으며, 자동차 사이버 보안 테스팅에 대한 협력 관계를 구축한 바 있다.
슈어소프트 전동화시스템실 홍길표 실장은 “슈어소프트의 사이버보안 서비스는 국내 자동차 제조사 및 부품사들이 다가오는 UNECE WP29 규제를 효과적으로 대응할 수 있는 최선의 선택이 될 것”이라고 기대했다.
