2021-12-06 17:45 (월)
사이벨리움-ASRG, 자동차 사이버보안 규정 준수 상황 점검 보고서 발표
상태바
사이벨리움-ASRG, 자동차 사이버보안 규정 준수 상황 점검 보고서 발표
  • 길민권 기자
  • 승인 2021.09.08 19:23
이 기사를 공유합니다

설문 조사 참여 기업 중 63% 취약점 관리 프로세스를 자동화하지 않아

사이벨리움(Cybellum)과 자동차의 사이버 보안 강화를 위한 솔루션 개발을 지원하는 비영리 단체인 ASRG(The Automotive Security Research Group)는 자동차 업계의 사이버보안 취약점 관리 현황을 평가하기 위한 설문 조사인 ‘사이버보안 규정 준수 상황 점검 보고서’를 발표했다.

이번 설문 조사는 자동차 산업 분야의 50여 글로벌 OEM 및 Tier-1-2 공급업체를 대상으로 실시되었다.

ASRG의 창립자인 존 헬드레스(John Heldreth)는 “한국, EU, 일본 등에서 자동차 사이버 보안 법규인 UNECE WP. 29 F155 준수 및 시행이 빠르게 추진되고 있고, ISO/SAE 21434가 공식 발표되어 요구 사항에 대한 준수가 강제될 예정이다. 그러나 설문 조사에 참여한 자동차 관련 조직 중 6%만이 국제표준 및 규정 준수를 체계적으로 준비하고 있는 것으로 나타났으며 30%에 해당하는 조직은 새로운 사이버보안 요건 준수를 위한 준비를 하지 못한 것으로 나타났다”라고 말했다.

이어 그는 “2022년부터는 자동차 분야의 사이버보안 강화를 위한 요구 사항 준수가 의무화되고 강제적으로 시행될 예정이기 때문에 새로운 시대에 대비하는 것이 필요하다”라고 말했다.

사이벨리움과 ASRG의 보고서에 따르면, 현재 국제표준 및 규정이 시행을 앞두고 있는 상황임에도 불구하고 다수의 자동차 업체가 이에 대한 준비가 되어 있지 않은 상태인 것으로 나타났다. 보고서에서는 다음 사항을 지적하고 있다.

◇ 설문 조사 참여 기업 중 63%는 취약점 관리 프로세스를 자동화하지 않았다.

◇ 설문 조사 참여 기업 중 65%는 새로운 취약점에 대한 시의 적절한 평가가 점점 더 어려워지고 있다고 답변했다.

◇ 설문 조사 참여 기업 중 43%는 사이버보안에 대한 수동 관리로 인하여 보안 평가에 많은 시간이 소요된다고 언급했으며, 42%는 복잡한 공급망에 대한 관리의 어려움으로 인해 시의 적절한 보안 평가를 어려웠다고 언급했다.

◇ 설문 조사 참여 기업 중 74%는 제품이 생산된 이후의 지속적인 모니터링 관리를 위하여 취약점 완화의 우선순위 지정을 자동화할 수 있는 솔루션을 사용하는 것으로 나타났다.

◇ 설문 조사 참여 기업 중 6%만이 UNECE WP.29 R155 규정 준수를 준비하고 있다.

사이벨리움의 CEO인 슬라바 브론프만(Slava Bronfman)은 “자동차를 대상으로 하는 사이버 위험이 지속적으로 증가하면서 다양한 위협에 대응하기 위해 각종 국제표준 및 규제가 제정되고 있다. 이러한 국제표준 및 규제는 자동차 업계가 취약점 관리에 대한 접근 방식을 전면적으로 재고할 것을 요구하고 있다”라며 “과거에는 취약점에 대한 수동 관리만으로 자동차 보안을 강화할 수 있었지만 사이버보안 위험이 다양해지면서 더 이상 수동 관리 프로세스만으로는 각종 보안 위험에 대응할 수 없게 되었다”라고 말했다.

또 슬라바 브론프만은 “사이벨리움과 ASRG의 설문 조사에 따르면 자동차 산업 분야의 OEM및 공급업체의 주요 관심사 역시 보안 관리 자동화 프로세스라는 것을 확인할 수 있다. 자동차 분야의 보안 취약점 관리 영역을 확장하기 위해서는 제품 보안 평가 및 제품 생산 단계 이후에 이루어지는 보안 작업을 자동화해야 한다”라고 말했다.

한편 사이벨리움과 ASRG이 공동으로 작성한 보고서는 국제표준 및 규정의 요구 사항 준수를 위한 준비 과정, 취약점 관리에 활용할 수 있는 적용 사례, 취약점 완화에 소요되는 평균 시간 등 자동차 사이버보안 및 취약점 관리와 관련된 광범위한 주제를 다룬다. 해당 보고서는 사이벨리움의 웹사이트를 통해 확인할 수 있다.


[AIS 2021] 국내 최대 인공지능•머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!(보안교육 7시간 이수)

-인공지능•머신러닝 적용 정보보호 기술과 위협 정보 공유의 장

-2021년 9월 16일 온라인 개최

-공공•금융•기업 정보보호 관계자라면 누구나 무료참석

-보안교육 7시간 이수증 발급

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★