Software-Centric Operations Management Leveraging the True Value of SDVs
SDV 진가 발휘하는 SW 중심 운영관리
2024년 07월호 지면기사  / 

글 | 이현정 상무, 페스카로(FESCARO)



자동차 사이버보안 위협은 갈수록 심화될 것이다. 차량 생애주기 전체에 걸친 지속적이고 효율적인 운영 관리 시스템의 중요성이 대두되고 있다. 자동차를 소프트웨어 중심으로 개발하는 것을 넘어, 일하는 방식도 소프트웨어 중심적으로 변화할 때 상호 시너지를 내며 SDV의 진가를 발휘할 수 있다. SDV가 운전자의 사용자 경험을 향상하듯 SDV를 위한 소프트웨어 중심 운영 관리 솔루션 SDO는 차량 사이버보안 실무 관계자들의 사용자 경험을 향상시키며, 이는 업무 효율성 제고로 직결된다. SDV의 안전한 토대를 마련하고 싶다면 SDO로 지속가능한 사이버보안을 실현하는 것이 중요하다.

글 | 이현정 상무, 페스카로(FESCARO)

이현정 상무는 페스카로 공동 설립자로 보안개발본부를 총괄하고 있다. 화이트해커 출신으로 페스카로의 독자적인 보안 알고리즘 기술을 개발해 미국국립표준기술연구소(NIST)의 FIPS 140-2 인증을 획득했으며, 한국교통안전공단 산하 자동차안전연구원(KATRI)의 V2X 보안기술 연구개발 및 실증사업도 성공적으로 수행했다. 자동차 사이버보안과 IT 서버 기술을 융합해 차량 생산부터 양산 이후까지 생애주기 전체를 아우르는 IT 기반 운영관리 솔루션을 개발해 완성차 제작사와 제어기 개발사의 업무 효율성을 획기적으로 높이는 데 기여했다.   

페스카로, SDV 시대 車 보안 ‘그랜드슬래머’ (autoelectronics.co.kr)
SDV 시대, 티어가 직면한 세 가지 허들은? (autoelectronics.co.kr)




차량 소프트웨어의 고도화와 필연적 결과   

자동차 업계에도 생성형 인공지능(AI) 서비스 ‘챗GPT’ 바람이 불고 있다. GM은 마이크로소프트(Microsoft)와 협력해 챗GPT 가상 비서를 개발하고 있고, 폭스바겐(Volkswagen)과 메르세데스 벤츠(Mercedes-Benz), BMW도 차량에 챗GPT를 도입하겠다고 밝혔다.
챗GPT는 운전자 경험 향상 측면에서는 좋은 선택임이 틀림없으나 잠재적인 위험도 짚고 넘어갈 필요가 있다. 챗GPT는 고도화된 소프트웨어다. 자동차에는 운행, 안전, 인포테인먼트 등을 위한 소프트웨어가 탑재돼 있고 또 끊임없이 추가될 것이다. 소프트웨어가 증가하면 필연적으로 따라오는 취약점이 있다. 바로 ‘해킹 위협’이다.
소프트웨어 정의 자동차(SDV)를 맞이하기 위해 유럽의 R155·R156부터 국내의 자동차관리법, 중국의 GB까지 사이버보안 관련 규제가 법제화되고 있다. 이에 자동차 업계는 규제에 대응하기 위해 사이버보안을 적용하고 있으나, 해킹 위협은 계속 진화하고 있다. ‘지속성’이 규제 대응의 핵심으로 떠오르는 이유이다. 


V모델(V-model)과 데브옵스(Devops)    

자동차 업계는 소프트웨어 개발 시 V모델을 사용하고 있다. 요구사항 분석, 아키텍처 설계 및 적용을 마치고 검증하는 프로세스다. 사실상 차량 출시 이후 개발이 종료되기 때문에 양산 이후의 소프트웨어 오류 및 결함에 신속하게 대응하거나 품질을 개선하는 데 어려움이 있다.
SDV 시대가 도래하며 업데이트가 용이한 소프트웨어 기술로 차량 생애주기가 확장되고, 이에 따라 출시 이후에도 지속적인 개발 및 관리의 중요성이 높아지고 있다. V모델의 아쉬움을 보완하는 데브옵스라는 새로운 방법론이 대두된 배경이다. 개발(Development)과 운영(Operations)을 통합해 설계-개발-검증-배포-운영-모니터링의 과정을 순환하며 지속적으로 제품을 개선해 나가는 방식이다.



그림 1 | V모델과 데브옵스 



규제 대응을 넘어, 
진짜 지속가능한 사이버보안 (Feat. IT 인프라) 


사이버보안도 예외는 아니다. 데브옵스 개념이 필히 적용돼야 하는 분야가 바로 사이버보안이다. 진화하는 해킹 위협에 지속적으로 대응해야 차량을 효과적으로 보호할 수 있기 때문이다. 필자는 서버 기술을 융합해 자동차 생애주기 전반을 아우르는 IT 기반 사이버보안 관리체계를 구축했다. 글로벌 완성차 제작사(OEM)에 실제로 적용된 IT 인프라 솔루션은 총 세 가지의 시스템으로 구성돼 있으며, 각 시스템의 주요 역할은 아래와 같다.

1) 사이버보안 인증 관리 시스템     
- 차종별 프로젝트 관리 및 프로젝트별 하위 아이템 관리 
- 부품 공급사들을 위한 보안 모듈 및 펌웨어 전자서명 관리
- 차량 진단용 인증서 발급·배포 관리
- 암호화 알고리즘에 사용되는 암호키 생성·관리

2) 실시간 사고대응 관리 시스템   
- 차종별 및 개별 차량별 보안 이벤트 내역 관리
- 보안 이벤트 실시간 모니터링
- 보안취약점 관리 및 보안 조치 수행
- 차종별 펌웨어 무선 업데이트 (OTA, Over The Air)

3) 소프트웨어 업데이트 관리 시스템    
- 소프트웨어 버전과 이력, 업데이트 현황 관리
- 소프트웨어 변경에 의한 영향도 분석 및 평가 관리
- RXSWIN(Regulation X Software Identification Number) 관리
- 소프트웨어 업데이트를 위한 차종별 패키지 관리 

상기 세 가지 시스템은 개별적으로 사용돼도 효과적이나, 상호 연동을 통해 ‘오케스트레이션(orchestration)’ 효과를 최대로 발현하는 것을 권장한다. 차량 개발-생산-생산 이후까지 생애주기 전반에 걸친 사이버보안 업무 프로세스를 자동화·최적화할 수 있기 때문이다. 실제로 글로벌 OEM에서 세 가지 시스템을 모두 도입해 규제 대응 효과와 업무 생산성을 극대화한 사례가 있다. 

UN R155·R156 인증 심사기관으로부터 OEM이 CSMS(사이버보안 관리체계, Cybersecurity Management System) 및 SUMS(소프트웨어 업데이트 관리체계, Software Update Management System) 인증을 획득하는 데 본 IT 인프라 솔루션이 구심점 역할을 했다고 평가받기도 했다.
페스카로의 IT 인프라 솔루션이 제공하는 핵심 가치는 다음과 같다. 첫째, 상호 복잡하게 연결된 사이버보안-소프트웨어 업데이트-관련 규제 간의 유기적 영향도를 체계적으로 추적 및 관리해 피해 확산을 최소화할 수 있다. 보안 이슈 발생 시 파생 및 후속 프로젝트에 대한 영향도를 파악하고 연관된 차량에 일괄적으로 보안 조치를 취할 수 있으며, 소프트웨어 업데이트 시에도 기존 항목 인증에 대한 영향도를 효과적으로 분석 및 평가할 수 있다. 

둘째, 차량 개발 및 운영 전 영역에 걸쳐 분산된 사이버보안 업무 관리를 일원화 및 전산화하여 업무 효율이 향상된다. 전방위적으로 일어나는 보안 관련 업무 이력을 체계적으로 관리할 수 있어 추후 소명자료로 활용도 가능하다. 
셋째, 실질적인 규제 대응을 수월하게 할 수 있다. 적지 않은 기업에서 본래 업무와 사이버보안 규제 대응 업무를 별도로 진행하고 있는 것이 현실이다. 페스카로는 고객사의 업무 프로세스에 최적화된 IT 인프라 설계 및 구현을 통해 본래 업무와 규제 대응 업무의 중복 업무를 최소화했다.



SDO(Software Defined Operation)의 등장   

앞으로 자동차 사이버보안 위협이 더욱 심화될 것으로 예상되면서, 차량 생애주기 전체에 걸친 지속적이고 효율적인 운영 관리 시스템의 중요성이 대두되고 있다. 제품(자동차)을 소프트웨어 중심으로 개발하는 것을 넘어, 일하는 방식(관리체계)도 소프트웨어 중심적으로 변화할 때 상호 시너지를 내며 SDV의 진가를 발휘할 수 있다고 기대된다. 
필자는 SDV를 위한 소프트웨어 중심 운영 관리 솔루션을 SDO(Software Defined Operation)라고 정의했다. 
SDV가 운전자의 사용자 경험을 향상하듯 SDO는 차량 사이버보안 실무 관계자들의 사용자 경험을 향상하며, 이는 업무 효율성 제고로 직결된다. 생산 이후의 중요성이 강조되는 시대, SDV의 안전한 토대를 마련하고 싶다면 SDO로 지속 가능한 사이버보안을 실현하는 것이 중요하다.





<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP