기술자료

사이버 보안의 정적 검증





차량의 사이버 보안 위협이 커지면서 이를 방지하기 위해 차량의 제조사와 협력사가 체계적으로 대응하는 규제가 생겼습니다. UN에서는 유럽경제위원회(UNECE) 차량 규정의 국제적 통합을 위해 세계 포럼을 열어 새로운 법규를 채택했습니다.

UNECE 법규는 자동차 산업에서 법적 구속력이 있는 최초의 국제 표준입니다. 차량의 IT 보안과 소프트웨어 업데이트에 대하여 다음과 같은 요구 사항을 명시합니다.



• 차량의 사이버 위험 관리

• 가치 사슬(value chain)에 따른 위험 완화 설계를 통한 차량 보안

• 차량 전체에 대한 침입 탐지와 보호

• 안전한 소프트웨어 업데이트 제공과 무선 업데이트에 대한 법적 근거 마련



UNECE 법규에서는 ISO/SAE 21434 표준을 참고하여 사이버 보안을 위한 세부 활동을 권장합니다. 이 표준은 V-model을 기반으로 대응 방안을 제시합니다. 구현 단계에서 수행해야 하는 정적 검증에 관한 지침도 있습니다. 구현 단계부터 보안 취약점을 제거하면 차량을 향한 사이버 공격을 미리 예방할 수 있습니다.





나아가, ISO/SAE 21434 문서의 사이버 보안 코딩 관련 지침을 보면 10장의 Product development에서 업계 표준이나 모범 사례가 되는 도구 활용을 제안합니다. 대표적인 정적 분석 가이드라인으로 MISRA C 2012와 CERT C를 제안하고 있습니다. 따라서 이 표준을 제공하는 정적 분석 도구를 활용하는 것이 좋습니다.

(후략)

* 위의 글은 슈어소프트테크에서 제공되었습니다.