여러 표준들의 효율적인 구현은 엔지니어링의 주요 과제 중 하나다. 벡터 컨설팅은 글로벌 OEM 및 공급사들과의 프로젝트를 통해 보안 및 안전 관련 표준들이 어떻게 적용되는지를 보여주고 있다. 이를 통해 고객은 제조물 책임과 관련하여 요구되는 품질을 달성하는 동시에 표준 준수에 소요되는 과도한 비용을 줄일 수 있다. 이 기사에서는 보안 및 안전 관련 표준들의 효율적인 구현을 위한 유기적인 설계 지침을 제공한다.

글｜크리스토프 에베르트(Christof Ebert), Vector Consulting Service 대표 
역｜김 승 훈 사업부장, Vector Consulting Service 
출처｜ATZ electronics, 2020년 9월호



표준이 최신 기술이다  

표준은 국제 협력을 간소화하고, 공급망에 대한 명확한 인터페이스를 정의하며, 소비자를 보호한다. 법률적 관점에서 볼 때는 표준이 최신 기술을 의미하게 된다. 그러나 빠른 속도로 증가하는 수많은 표준들을 준수하는 것이 점점 어려워지고 있다. 이러한 표준들은 그 내용이 중첩되거나 지역적 특징을 나타내기도 한다. 

표준은 법률적으로 유효하기 위해 그 복잡함에도 불구하고 신중히 구현되어야 하지만, 동시에 추가적인 비용이 발생되어서도 안된다. 
표준은 제품, 프로세스 또는 절차에 대한 합의이며, 공인된 협회, 무역 기구 또는 정부 조직에 의해 국내 및 국제 수준에서 결정된다. 제품 개발에서 표준의 적용은 기반이 되는 “최신 기술”을 의미한다. 예를 들어, 제조물 책임 또는 안전 및 사이버 보안에서 그렇다. 국제 연합(UN)은 국제 협력 및 세계 평화를 지원하기 위해 국제 표준화 기구(ISO)와 함께 가장 높은 수준의 표준을 신중히 선정한다. 그림 1은 자동차 산업에서 IT 및 전자장치 개발을 위한 관련 표준들을 보여준다(지역적 변형 및 파생된 표준들은 그림의 단순화를 위해 표시하지 않았다).



그림 1｜자동차 산업의 IT 및 전자장치 개발을 위한 관련 표준



표준은 종종 협력을 용이하게 하기 위해 승인되고 확립된 절차이다. 시스템 개발 및 IT에서, 사실상 많은 표준이 데이터 교환 및 구성요소 인터페이스 등을 위해 제정되었다. 표준은 국제 협력을 용이하게 하고, 프로젝트 및 제품 개발을 위해 외부 구성요소 사용 시 신뢰성을 제공한다. 특히 제품의 신뢰성 및 보안에 유용하다.

생산자와 소비자 모두에게 있어 표준의 중요한 장점은 최신 기술의 명확한 규정이다. 제품이 시장에 출시되는 시점에 발표된 표준은 소위 “최신 기술”을 함께 형성한다. 
이러한 최신 기술은 적용 가능한 지식에 대한 개요로서 엔지니어 뿐만 아니라 법적으로도 중요하다. 만약 제품 고장으로 인해 사고가 발생한 경우, 표준에 의한 최신 기술을 생산자가 준수했는지를 확인하게 된다. 예를 들어, 프로세스, 교육, 지침 및 문서 등을 통해 준수 여부를 시연한다면, 이를 통해 소위 ‘현대적인 방식’으로 작업했다는 것을 보여줄 수 있는 이점이 있다. 이러한 것을 증명하지 못하는 경우, 일반적으로 손상에 대한 제조물 책임은 생산 시 필요한 주의를 실행하지 않았다는 명확한 이유로 제조업체에 부과된다. 


업계 동향  

사실상 모든 기업은 비용, 품질, 혁신이라는 마법의 삼각형 속에서 계속 씨름한다. 그림 2는 올해 초에 벡터 컨설팅에서 수행한 설문조사 결과를 보여준다[1, 2]. 글로벌 위기로 인해 비용 절감에 많은 초점을 맞춘 것은 놀라운 일이 아니다. 2년 전에는 혁신에 좀 더 초점이 맞춰졌다. 코로나 팬데믹이 이러한 현상을 증가시켰지만, 근본 원인은 이전부터 있었다. 2019년 초에 이미 경기침체에 대한 두려움이 커지고 있었다. 이러한 상황에서 문제가 되는 것은 많은 기업이 비용 압박을 품질과 혁신보다 훨씬 더 우선순위로 삼고 있다는 것이다. 이러한 잘못 적용된 비용 절감은 결국 세계 시장에서 휠씬 더 뒤처지는 결과를 낳는 악순환으로 쉽게 이어질 수 있다.

용기 있게 집중적인 투자를 하는 기업만이 위기에서 승자가 된다. 이 점은 특히 표준이 중요하게 작용하는 품질에도 적용된다. 

많은 리콜 캠페인 사례가 보여주듯 품질에 대한 비용 절감은 결과적으로 매우 값비싼 대가를 치른다. 안전 및 보안을 예로 들어 보자. IT 관련 상세 해설서에서 제공하는 각종 IT 솔루션들은 실제 심각한 문제에 거의 도움이 되지 않는다. 여기에는 표준을 효율적으로 구현하는 방법과 함께 다른 표준과의 상호 작용에 대한 구체적인 지침이 필요하다. 이 경우 효율적인 협력 모델에 초점을 맞춰야 한다. 표준이 공급망에서도 명확히 구현되지 않으면 개별 표준들의 준수는 아무런 소용이 없다. 표준을 일관되게 구현하기 위해서는 기업 간 민감한 데이터 취급에 대한 확장 가능한 정보 모델과 보안이 필요하다. 



그림 2｜기업들의 공통 과제 - 비용, 품질, 혁신



표준의 함정: 
복잡성과 비용 

많은 엔지니어들은 종종 표준의 홍수에 빠져 있다고 불평한다. 

사실 표준의 수는 계속 증가하고 있고 이로 인해 관리 시스템의 지속적인 업데이트, 문서화를 위한 데이터베이스, 내부 프로세스 뿐 아니라 직원 교육 및 규제 기관과의 의사소통 등을 위해 상당히 많은 양의 작업들이 요구된다. 

간단한 예로써, 차량과 그 구성요소의 안전 및 보안 분야의 표준을 보자. 기능안전성 표준은 좋은 출발점이다. 역사적으로 IEC 61508은 전자 관련 부품의 개발을 위한 것이었다. 오늘날, 차량을 위한 ISO 26262 또는 농기계를 위한 ISO 25119와 같은 광범위한 산업 표준이 여기에서 파생되었다. 차량 내의 소프트웨어와 IT 장비의 사용이 증가됨에 따라 자가 학습, 적응 및 자율 시스템의 보호 등 점점 더 많은 특수한 사례들의 발생과 그로 인한 한계 상황 해소를 위한 ISO 21448의 SOTIF(의도한 기능안전성)와 같은 작업도 현재 진행 중이다.

이러한 기능안전성 표준과 함께 사이버 보안에 대한 표준이 개발되었다. 여기에는 훨씬 다양한 표준이 있다. 보안 관리를 위한 ISO 27001로부터, 차량을 위한 SAE 3061 ISO 21434와 같이 특정 산업을 위한 표준이 만들어졌다. 최근, 차량의 형식 승인이 보안 표준화와 연계되었다. UNECE 위원회는 WP.29에서 사이버 보안 관리(CSMS) 및 SW 업데이트 관리(SUMS)에 대한 명확한 지침을 규정했다[3]. 여기도 ISO 24089의 SW 업데이트, 보안 표준들 그리고 AUTOSAR 규격까지 다른 표준들과 명백히 중첩되는 부분이 있다. 

기능안전성과 사이버 보안에 대한 이러한 표준들은 이제 품질 요구사항에 대한 광범위한 ISO 250xx 표준 시리즈들과도 연결된다. 이러한 표준들은 각 품질 요구사항을 지정하고, 테스트하고, 측정하는 방법에 대해 설명한다. ISO는 표준과 그 파생 표준들이 많다는 것을 인식하고 그동안 표준들을 공통 아키텍처로 통합하기 시작했다. 이렇게 복제 대신 통합 방법을 사용하면 중첩은 최소화된다. 그림 3은 효율적인 구현을 위해 공통성을 기반으로 하는 기본 절차를 설명한다.




그림 3｜효율적인 구현을 위해 공통성을 기반으로 하는 통합 프로세스



사례 연구: 
UNECE 소프트웨어 업데이트 관리  

현재 많은 OEM이 새 UNECE 규정을 만족하기 위해 소프트웨어 업데이트 관리 시스템을 준비하고 있다. 여기에는 사이버 보안도 요구되지만, 차량 내 소프트웨어의 조작방지에 대한 보호도 요구된다. 또한 소프트웨어 무선 업데이트(OTA)가 증가하면서 운전자에게 업데이트되는 소프트웨어에 대한 버전과 변경되는 소프트웨어가 차량 동작에 미치는 영향에 대해 고지할 필요가 있다. 
기능안전성의 관점에서는 운전에 방해되지 않도록 차량의 기능을 유지해야 한다.

SUMS는 형식 승인을 받은 차량의 모든 소프트웨어 버전의 지속적인 투명성이 요구된다. 이것은 OEM에서 기능의 변경이나 추가로 인한 영향성 분석부터 시작되며, 개발 프로세스의 일관성, 위험 평가의 문서화, SW의 차량과 ECU로의 안전한 전달, 인포테인먼트 또는 진단 인터페이스를 통한 운전자 및 승인 기관에 정보 전달 등이 요구된다. 특히 기능이 복잡하고 변형이 많은 경우 구현 비용이 높아진다. 

SUMS의 경우 ASPICE, 사이버 보안 및 기능안전성 표준에서 제공되는 기본적인 개발 프로세스들을 사용한다. 여기에 주요 변경사항으로는 RxSWIN 을 통한 지속적인 추적성과 적용 가능한 형식 승인 요구사항에 대한 영향성 분석이다. 안전 목표의 경우, 영향성 및 위험분석(HARA)으로 부터 요구사항 및 안전 컨셉으로 전개된다. 프로세스의 경우 기본적으로 ASPICE에 기반을 두고 있는데, 이는 시스템 분석, 추적 가능성 및 문서화와 같은 본질적인 방법이 여기에 뿌리를 두고 있기 때문이다. 위협 및 위험 분석(TARA)에서 시작하는 보안 프로세스도 업데이트 소프트웨어의 배포 및 배포 후 업데이트와 직접 연결된다. 예를 들어, ASIL 등급이 높은 안전 대상은 명백히 사이버 보안 관점에서 보호되어야 하는 자산이다. 

자율주행 기능을 위한 SOTIF의 경우 요구사항과 가정들이 아직 완료되지 않았기 때문에 여전히 컨설팅이 필요하다. SOTIF의 특별한 분석 방법은 악명 높은 “알려지지 않은 미지”를 식별한다. 
이것은 무지 그 자체와 무지에 대한 인식 부족으로 인해 보안 위험을 초래할 수 있는 기능과 그 상관 관계들이다[4]. 이는 예를 들어 자동화의 위험 분석과 같은 기능안전성과, 새로운 요구사항에 대한 오남용 사례 분석과 같은 사이버 보안에 적용된다. RxSWIN을 고정점으로 사용하는 문서 및 정보는 요구사항 데이터베이스에 기술된다. 회귀 테스트의 경우 여기에서 직접 도출될 수 있으므로 변경 사항들은 승인 규격에 대한 영향 분석과 함께 즉시 확보될 수 있다. 


권장 사항 

수많은 컨설팅 프로젝트를 통한 경험으로부터 도출된 아래의 4가지 원리는 표준을 효율적이고 안전하게 구현하는 데 도움이 된다.

> 투명하고 효율적인 준수 보장: 준수 및 거버넌스는 표준의 일관된 적용과 결과의 문서화를 요구한다. 프로세스는 프로세스 평가를 통해 개선되기도 하지만, 시간의 압박과 잘못 이해된 애자일로 인해 일상적인 비즈니스에서 방향을 잃는 경우가 많다. 표준이 원칙적으로 준수되고 사용될 수 있도록 요구되어야 한다. 소규모 소프트웨어 변경에 대한 안전 케이스의 변경이 너무 오래 걸린다면, 이는 프로세스 때문이다. 모듈식 문서화 및 (반)자동 영향 분석을 통해 프로세스를 자동화해야 한다.

> 스마트하고 간략한 표준 사용: 실제로 모든 기업들은 수많은 표준의 구현을 위해 소요되는 높은 비용에 대해 불평한다. 이를 면밀히 들여다보면 종종 표준이 개별적으로 구현 및 적용되
어 비효율적이고 복잡하다는 점을 발견하게 된다. 또한 표준 자체를 프로세스 지침으로 그대로 사용하기도 한다. 이는 복사-붙여넣기로는 달성할 수 없는 잘못된 보안으로 연결된다. 
표준은 목표를 정의하지 구현 방법을 설명하지 않는다. 이는 시간과 환경으로부터 표준의 독립성을 보장해 준다. 따라서 분명한 권장 사항은 관련 표준을 올바로 이해하고 링크하되 단순 
복사하지 않아야 한다. 또한 표준과 프로세스의 공통 부분을 통합한 아키텍처를 권장한다. 

> 일관되고 지속 가능한 기본 프로세스 적용: 표준은 정기적으로 검토하는 경우에만 도움이 된다. 우리는 종종 진부한 ASPICE 요구사항이 일관되게 이행되지 않는다는 것을 알아내기 위한 태스크 포스팀으로 요청받는다. 애자일은 대체로 완전히 잘못 해석된다. 그중 하나로 추적성과 영향성 분석 등과 같은 주요 방법들을 줄여 결국 구성요소의 통합에 실패한다. 이는 특히 
공급망, 듀얼 소싱, Autosar 도입에서 두드러지게 나타난다. 최근의 예에서 알 수 있듯이, Autosar Adaptive SOA를 도입할 때는 물론 소프트웨어 업데이트 관리에서 너무 많은 변형들이 있을 때 문제들이 폭발적으로 증가한다. 효과적인 기본 프로세스, 그 중 특히 프로젝트 관리, 형상 관리 및 요구사항 엔지니어링에 집중해야 한다. 

> 사용 가능하고 유용한 전문 지식과 지식의 통합: 보통의 경우, 요구사항에 대해서는 잘 처리하지만 적용되어야 할 표준들은 간과되는 경우가 많다. 사이버 보안에서 키 관리 및 실시간 성능과 관련된 예가 보여주듯, 재작업에는 많은 시간이 소요된다. 보통의 애자일 팀은 필수 역량을 구축하기가 어렵다. 보안 전문가가 있는 고립된 상아탑은 프로젝트 압력에서 너무 멀리 떨어져 있다. 따라서 동료 및 주요 문제 전문가와 네트워크로 연결되는 사람들에게 최소 필수 기본 전문 지식과 책임이 명시적으로 부여되는 애자일 기능 팀을 권장한다. 독단적인 사양 대신 신속하게 밀고 당기기가 이루어져야 한다. 외부 검토와 함께 포괄적인 구현은 빠른 수정 주기를 용이하게 하기 때문에 매우 중요하다. 우리는 많은 고객들에게 가상의 안전 및 보안 관리자를 프로젝트의 단일 담당자로 사용하여 일관성과 연속성을 보장한다.


참고문헌: 
[1] Industry Trends 2020. Online: www.vector.com/trends, visit: July, 15, 2020
[2] Ebert, C.; Kim A.; van Genuchten, J.: Technology Trends: Winning with ACES. IEEE Software, ISSN: 0740-7459, vol. 37, no. 2, pp. 6-13, May 2020
[3] N.N.: UNECE Task Force on Cyber Security and Over-the-Air issues. Cybersecurity Management System (CSMS) und Software Update Management System (SUMS). https://wiki.unece.org/dosearchsite. action?cql=siteSearch+~+%22csms+sums%22&queryString=csms+sums
[4] Ebert, C.: Requirements Engineering. ISBN: 978-3-86490-562-9, Dpunkt-Verlag, Heidelberg,Germany, 6. Completely updated edition, 2019

AEM_Automotive Electronics Magazine