오늘날의 차량은 바퀴 달린 컴퓨터이기 때문에 사이버 공격의 위험에 노출되어 있습니다. 2024년 7월, 전체 자동차 산업 공급망에 걸친 포괄적인 자동차 사이버 보안을 보장하기 위한 새로운 규정이 발표되었습니다. ENX 협회는 OEM과 공급업체가 새로운 요구 사항을 이행할 수 있도록 지원하기 위해 새로운 차량 사이버 보안 감사(VCSA)를 발표했습니다.
This article was first published in the German "QZ - Quality and Reliability" journal, vol. 69 (2024)
디지털 전환은 차량을 더 효율적이고 안전하게 만들었습니다. 전자 제어 시스템과 지속적인 네트워킹을 통해 사이버 범죄자의 표적이 되기도 했습니다. 중요한 시스템은 공격을 받아 치명적인 결과를 초래할 수 있습니다. 엄격한 소프트웨어 개발에도 불구하고 항공 분야에서도 표준은 오류 없는 소프트웨어에 대한 보장이 없습니다.
그러나 소프트웨어 제어를 통해 품질 문제에 신속하게 대응할 수 있으며, 이제 거의 하룻밤 사이에 무선(OTA)으로 업데이트할 수 있습니다.
증가하는 사이버 위협에 대응하기 위해 유엔은 각각 사이버 보안 관리 시스템(CSMS)과 소프트웨어 업데이트 관리 시스템(SUM)의 구현을 포함하는 UNECE R 155와 156을 채택했습니다. 이 규정은 모델의 전체 수명 주기와 공급망 전체에 걸쳐 사이버 보안을 보장하기 위한 것입니다. EU에서는 2024년 7월부터 모든 신규 차량에 대해 이 규정이 의무화되었습니다.
ISO/SAE 21434(도로 차량 - 사이버 보안 엔지니어링)를 통해 유엔 규정을 준수하기 위한 지침과 준수 증명을 만들기 위한 시도가 이루어졌습니다. 그러나 실제로는 ISO/PAS 5112의 사양에도 불구하고 테스트 서비스 제공업체의 감사 프로그램이 너무 다르다는 것이 입증되었습니다. 따라서 제조업체는 여전히 입법자에게 공급업체의 준수에 대한 신뢰할 수 있고 유사한 증거를 제공할 기회가 부족했으며, 이들은 유사한 테스트 기준에 따라 계약 조항 준수를 입증하는 데 문제가 있었습니다.
이것이 유럽 자동차 제조업체, 공급업체 및 협회의 연합체인 ENX 협회가 ENX VCS 평가 프로그램을 설계한 이유입니다. ENX VCS는 ISO 21434 및 ISO에 따라 차량 사이버 보안 관리 시스템(VCSMS)의 구현을 감사합니다
5112. VCS 감사는 전 세계적으로 표준화되어 있으며 ISO 표준보다 새로운 과제에 더 빠르게 적응할 수 있다는 것이 결정적인 장점입니다. 국제 전문가 그룹이 정기적으로 평가 프로그램을 검토하여 최신 정보를 유지합니다.
ENX VCS 프로세스와 VCS 레이블의 필요조건에 대한 모든 것을 알아보세요.
표준화된 ENX VCS 심사를 통해 기업들은 다중 평면 심사 프로세스와 분산 심사로 인해 발생할 수 있는 불필요한 비용, 특히 재정적 비용을 피할 수 있습니다. 모든 심사 제공업체에서 전 세계적으로 비교 가능한 프로세스를 보장하기 위해 ENX는 프로그램 시작과 함께 특정 심사 제공업체 기준 및 평가 요건(ACAR VCS)과 차량 사이버 보안 심사(VCSA)를 위한 구속력 있는 심사 카탈로그를 발표했습니다. 여기에는 VCS 심사원을 위한 일련의 필수 역량과 구속력 있는 절차 모델(예: 필수 문서 및 프로세스 심사, 모든 사이버 보안 관련 프로젝트의 위험 지향적 무작위 표본 구성 등)이 정의되어 있습니다. 그런 다음 샘플 프로젝트를 담당한 엔지니어링 팀을 심사원과 전문가가 인터뷰합니다. 팀의 작업 결과를 검토하여 V-CSMS가 실제로 사용되는지 확인합니다. 성공적인 테스트가 완료되면 기업은 ENX에 해당 VCS 라벨을 신청하고 ENX 교환 메커니즘을 통해 이해 당사자에게 제공할 수 있습니다.
구조적으로 ACAR VCS를 통한 VCS 심사는 확립된 자동차 표준 TISAX®를 기반으로 합니다. 두 심사 메커니즘은 서로를 보완합니다. TISAX®는 기업의 정보 보안을 평가하는 반면, VCS 레이블은 차량 부품의 사이버 보안을 확인합니다. TISAX®와 마찬가지로 VCS 심사는 사이버 관련 부품 제공에 있어 공급업체의 다양한 역할을 고려합니다. 따라서 각 공급업체는 실제 특정 역할에 해당하는 VCSA 심사 카탈로그의 요구 사항만 충족해야 합니다. 서로 다른 레이블을 구분합니다:
VCS 심사의 일환으로 OEM과 공급업체는 승인된 심사 제공업체로부터 V-CSMS 심사를 받고 ENX로부터 3년 동안 유효한 VCS 레이블을 받을 수 있습니다. 새로운 레이블의 글로벌 비교 가능성이 높아짐에 따라 V-CSMS가 UNECE R 155 사이버 보안 사양을 준수한다는 신뢰가 강화되어 기업은 당국 및 비즈니스 파트너에게 규정 준수를 명확하게 입증하고 포괄적인 자동차 사이버 보안에 기여할 수 있습니다. 이 단계에서는 신속하게 대응하는 것이 중요합니다: 도입 단계에서는 ENX VCS 심사 등록이 무료입니다.
DQS는 1985년 독일 최초의 인증 기관으로 설립되었습니다. 그 이후로 세계 최고의 심사 및 인증 전문 기관 중 하나가 되었습니다. 창립 파트너인 DGQ(Deutsche Gesellschaft für Qualität e. V.)와 DIN(Deutsches Institut für Normung e. V.)은 표준화 작업뿐만 아니라 훈련 및 추가 교육에 있어서도 중요한 파트너입니다.
저희는 고객을 대신하여 위원회 및 단체에 적극적으로 참여하고 있으며, 전문 지식을 바탕으로 심사에 참여하고 있습니다. 저희의 책임은 심사 체크리스트가 끝나는 곳에서 시작됩니다. 저희의 말을 믿으세요.
당사의 텍스트와 브로셔는 당사의 표준 전문가 또는 오랜 기간 심사원으로 활동한 전문가들이 독점적으로 작성합니다. 텍스트 내용이나 저자에 대한 서비스에 대해 궁금한 점이 있으시면 언제든지 문의해 주시기 바랍니다.
Source: www.qz-online.de (Germany's leading periodical for quality management).
정보 보안 및 소프트웨어 개발을 위한 제품 관리자이자 전문가입니다. Holger Schmeken은 또한 KRITIS 감사 절차 역량을 통해 ISO 27001 감사관으로서의 전문 지식을 제공합니다.
