자동차 업계는 빠르게 변화하고 있습니다. 자율 주행차, 전기차, 그리고 커넥티드 카의 등장으로 인해 우리는 이전보다 더욱 스마트하고 효율적인 교통 수단을 누릴 수 있게 되었습니다. 하지만 이러한 혁신은 새로운 보안 위협을 동반하며 자동차 제품 개발을 더욱 복잡하게 만들었고, 이에 다양한 규제 기준을 준수하기 위한 팀 간의 조정은 더욱 중요해졌습니다. 그러나 현재 많은 조직에서 사이버 보안, 안전, 제품 개발, 프로젝트 관리와 같은 전문 팀들을 독립적으로 운영하고 있으며, 서로 다른 조직이나 전 세계에 분산되어 있는 경우도 있습니다. 이러한 복잡한 환경에서 효과적인 협력과 정렬을 통해 안전한 자동차 생태계를 이루는 것은 큰 도전 과제가 됩니다.
안전 및 보안 팀의 고립화
2011년 이래로 ISO 26262 표준은 자동차 개발에서 기능 안전을 이끌어 왔으며, 원본 장치 제조업체(OEMs), 1단계 공급업체 및 일부 2단계 공급업체는 안전에 초점을 맞춘 성숙한 능력, 프로세스, 도구 및 문화를 개발했습니다. 반면에 사이버 보안의 경우 자동차 개발에서 상대적으로 새로운 분야로, 글로벌 OEM 및 1단계 공급업체에서 급속하게 나타나는 새로운 표준, 감사 및 평가 요구 사항을 도입했습니다. 현재까지도 ISO 21434와 같은 표준에 맞춰진 사이버 보안 프로세스는 IT 보안에서 전환 및 심화되며 자동차 개발 내에서의 정체성이 개발되고 있습니다.
이 두 분야의 명백한 특성으로 인해 각각의 전문 팀이 작업하는 경우가 종종 발생했으며, 이를 해소하기 위해 조직은 차량 수준의 위험 분석을 공유하고 제품 개발 팀에 안전 및 사이버 보안 요구 사항을 전달하기 시작했습니다. 이러한 노력은 더 나은 협업을 촉진했으나, 투명성 문제와 여러 도구 및 팀 간의 원활한 협업이 필요함에 따라 불필요한 위험을 도입하기도 했습니다.
ISO 26262와 같은 안전 표준은 시스템 결함이나 하드웨어 고장으로부터의 피해 위험을 완화하기 위해 시스템적 및 무작위 하드웨어 결함을 대상으로 합니다. 반면에 사이버 보안은 안전, 금융 및 운영적 영향뿐만 아니라 핵심 시스템 자산에 대한 잠재적 공격을 평가하고 대응합니다. 이러한 차이점은 자동차 개발에서 안전 및 사이버 보안 팀 간의 일관된 협업을 달성하는데 있는 어려움을 강조합니다.
위험 제어 및 완화는 차량-네트워크(V2N) 또는 차량-디바이스(V2D)와 같은 통신 채널을 처리할 때 상충되는 요구 사항을 초래할 수 있습니다. 이러한 경우 안전 및 보안 팀은 제품 개발과 협력하여 이러한 불일치를 해결하고 일관된 시스템을 만들어야 합니다.
자동차 제조업체와 소비자는 오랫동안 리콜, 사고, 사망 사고와 같은 안전 문제에 직면해 왔습니다. 자동차 시스템이 셀룰러, 블루투스 및 기타 연결 옵션을 포함하면서 사이버 보안은 더욱 중요해졌으며, 커넥티드 카에서 발생하는 사이버 보안 위협의 증가로 인해 업계는 ISO 21434 표준을 신속하게 채택하게 되었습니다. 이러한 변화는 차량 관리, 생산 라인 중단, 안전 위험 해결과 같은 시나리오에서 명확하게 나타납니다.
효과적인 의사소통은 안전, 보안 및 제품 개발을 통합하는데 중요합니다. 안전 및 위협 분석은 독립적으로 이루어질 수 없으므로 팀은 종합적인 개발 프로세스를 만들기 위해 협력해야 합니다. ISO 21434 및 ISO 26262 모두 안전, 보안 및 품질 부서 간의 의사소통의 중요성을 강조합니다. 일반적으로 안전 및 보안 팀은 서로 독립적으로, 그리고 제품 개발 주기의 다른 시점에 요구 사항을 개발하기에 상충되는 요구 사항을 조기에 식별하여 비용이 많이 드는 재작업 발생 위험을 제거해야 합니다. 때때로 늦게 도입된 사이버 보안 요구 사항이 기존 안전 요구 사항과 충돌하면 소프트웨어 개발, 테스트 및 통합 후에 재작업이 필요하게 되고, 이러한 재작업은 지연, 추가 테스트 및 비용 증가로 이어질 수 있기 때문입니다.
증가하는 소프트웨어 복잡성 및 사이버 보안의 중요성
이 다이어그램은 자동차 산업에서 애자일 소프트웨어를 채택하는 어려움을 보여줍니다. 일부 경우에는 마치 준수 장벽에 부딪히는 것과 같습니다.
R155 및 R156 표준은 사이버 보안 채택과 더불어 차량, ADAS, AI에 소프트웨어 서비스를 통합하도록 유도하고 있으며, 이 외에도 추가 소프트웨어 통합으로 인해 사이버 공격의 위협이 증가하고 있습니다. ISO 21434 표준은 이러한 새로운 사이버 보안 요구 사항을 해결하기 위해 도입되었지만, 아직 의사소통 채널이 충분히 구축되지 않은 상태입니다.
OEM들은 사이버 보안을 신속히 지원하기 위해 소프트웨어를 내부에서 개발하고 Agile 소프트웨어 공장을 구축하고 있으며, 1차 및 2차 공급업체들도 이에 맞추기 위해 발 빠르게 움직이고 있습니다. 일부 OEM과 1차 공급업체들은 애자일 방법론 중 일부 요소만 선택적으로 도입하고 있기도 (스크럼과 미니 V-모델을 결합) 하지만 이들 조직은 애자일 방식으로 표준을 준수하며 내장형 자동차 소프트웨어를 개발하는 것이 어렵다는 것을 깨닫고 있습니다. 스토리와 에픽에 대한 높은 문서화 요구 사항과 엄격한 품질 기준을 충족하기 위해 스크럼과 같은 애자일 방법론을 적용할 때 안전, 보안, 제품 개발이 조화를 이루지 못할 경우 기술 부채가 쌓일 위험이 있기 때문입니다.
제품 개발, 안전, 보안 및 기타 팀 간의 협업과 가시성, 정렬을 확보하는 것은 신속하게 소프트웨어를 개발하면서도 표준을 준수하기 위한 필수적인 과정입니다. 앞으로도 우리는 지속적인 협력을 통해 보안 위협에 효과적으로 대응하고, 안전하고 신뢰할 수 있는 자동차 생태계를 구축해 나가야 합니다. 업계 보안과 요구사항을 충족하며 혁신 성장을 이루기 위한 모든 기업의 노력이 실질적인 성과로 이어져, 미래의 자동차 산업이 더욱 안전하고 혁신적인 방향으로 나아가기를 기대합니다.
자동차 및 반도체 산업을 위한 Jama Connect
사이버 보안 프로세스를 최적화하고 자동차 및 반도체 산업에서 앞서 나가는데 도움이 되는 JAMA 의 엄청난 잠재력을 활용해보세요!
Originally by Jama Software | April 25, 2024 | https://www.jamasoftware.com/blog/critical-alignment-for-security-safety-and-product-teams-in-automotive-development > jama
