기능안전성과 사이버 보안: 미래 자동차 위한 통합 엔지니어링 전략

자동차 시스템의 복잡성이 급증하고 SDV로의 전환이 가속화됨에 따라 기능안전성(Functional Safety, ISO 26262)과 사이버 보안(Cybersecurity, ISO/SAE 21434)은 더 이상 독립적인 분야가 아니다. 이런 통합은 단순한 규제 준수를 넘어, 자율주행 및 V2X와 같은 첨단 기능을 안정적으로 구현하고 소프트웨어 중심 아키텍처의 견고성을 확보하기 위한 전략적 필수 요소가 됐다. 두 영역의 체계적인 통합은 차량의 견고성과 시장 경쟁력을 좌우하는 핵심 동력이 된다.

글 |  주백수 부대표, 신승환 상무, Seon ENS









왜 기능안전성과 사이버 보안을 같이 봐야 하는가? 
기능안전성과 사이버 보안은 모두 '불합리한 위험(unreasonable risk)'을 체계적으로 제거하는 것을 궁극적인 목표로 공유한다. 즉 기능안전성은 HARA로 사이버 보안은 TARA를 사용해서 각각 기능안전성과 사이버 보안 관점에서 위험을 도출하고, 해당 위험을 제거, 경감 등의 조치를 취한다. 분야는 다르지만 시스템에 존재하는 위험을 체계적으로 식별하고 해당 위험은 관리하는 엔지니어링 방법인 셈이다. 이런 관점에서 보자면 이는 두 표준이 V-모델 개발 프로세스라는 공통 기반 위에서 상호 보완적인 관계를 형성해야 함을 의미한다.


안전 달성의 필수 전제 조건으로의 보안 
두 분야가 긴밀하게 연계돼야 하는 가장 결정적인 이유는 사이버 보안이 기능안전성 달성의 필수 전제 조건이기 때문이다. 아무리 높은 안전 무결성 수준(ASIL)으로 설계된 시스템이라도 해커의 의도적 공격으로 인해 그 안전 메커니즘이 무력화된다면 안전 목표는 달성될 수 없다. 즉 사이버보안을 신경 쓰지 않는다면 안전 메커니즘 무력화되는 것을 막을 수 없다. 반대로 기능안전성을 염두에 두지 않는 사이버 보안만으로도 충분하지 않다. 예를 들어, 보안이 취약한 저등급 소프트웨어(QM)를 통해 시스템에 침투한 공격자가 메모리 관리 장치(MMU) 설정을 변경해 핵심 안전기능(ASIL D)을 비활성화 시키면, 이는 안전 분석만으로는 예측하기 어려운 치명적인 위험으로 이어진다. 정리하자면 의도적인 위협 행위를 포함하는 보안 분석 없이는 우발적 결함에 대한 안전 시스템의 무결성을 완벽하게 보장할 수 없다.


통합을 위한 근본적인 관점 및 차이점 분석  
효과적인 통합을 위해서는 두 분야의 유사점만이 아니라 근본적인 차이점을 명확히 이해하는 것이 중요하다. 기능안전성은 주로 시스템 내부의 우발적 결함(Accidental Faults)을 위험의 근원으로 다룬다. 이는 하드웨어 고장, 소프트웨어 오류, 환경적 영향 등 예측가능하거나 무작위로 발생하는 시스템 내부의 오작동 가능성에 초점을 맞춘다. 핵심 활동인 HARA(위험원 분석 및 위험 평가)와 FMEA/FTA는 이런 내부 결함이 시스템의 안전 기능에 미치는 영향을 분석하고 안전 무결성 수준(ASIL)을 결정하는 데 중점을 둔다.
반면, 사이버 보안은 외부의 의도적 공격(Intentional Attacks)을 주요 위험 근원으로 상정한다. 이는 악의적인 외부 위협 행위자가 시스템의 취약점을 이용해 기밀성, 무결성, 가용성을 침해하려는 시도를 포함한다. 따라서 분석 범위는 시스템 내부에 국한되지 않고, 외부와 연결된 통신 인터페이스, 소프트웨어의 취약점, 그리고 공격 경로(Attack Path)를 포함해 훨씬 광범위하다. TARA(위협 분석 및 위험 평가)는 이런 외부 위협과 공격 가능성을 식별하고 위험도를 평가하는 데 핵심적인 역할을 한다.
위험의 근원 차이는 곧 분석의 복잡성 차이로 이어진다. 기능안전성 분석은 일반적으로 하나의 단일 결함 또는 최대 2~3개의 독립적인 다중점 결함의 동시 발생 가능성(예: PMHF 계산 시 다중점 결함)을 고려한다. 이는 주로 확률론적 분석(Probabilistic Analysis)을 통해 안전 목표 위반 확률을 계산하는 비교적 구조화된 접근 방식이다.
사이버 보안 분석은 여러 단계를 거치는 정교한 다단계 공격 경로를 분석해야 하므로 복잡성이 훨씬 높다. 공격자는 여러 취약점을 연쇄적으로 이용하여 최종 목표를 달성하려 하므로, VAR(설계 취약성 분석)을 통해 시스템의 모든 잠재적 진입점과 단계별 공격 성공 가능성을 종합적으로 평가해야 한다. 이는 정적인 분석을 넘어 위협 행위자의 동기, 능력, 자원까지 고려해야 한다.


위험 분석 기법의 차이 
두 분야는 동일한 '위험 제거' 목표를 가졌지만, 이를 달성하기 위해 사용하는 분석 기법에는 차이가 있다.
- 기능안전성(Safety): HAZOP(시스템 운용 편차 분석), FMEA(부품 고장 모드 분석), FTA(고장 원인 하향식 추적)와 같이 시스템 자체의 오작동 가능성에 초점을 맞춘 정립된 방법론을 사용한다.
- 사이버 보안 (Security): 자산 기반 위협 모델링(예: STRIDE, EVITA 등), 공격 경로 분석(예: Attack Tree)과 같이 공격자의 관점에서 시스템의 가치 있는 자산을 보호하는 데 중점을 둔다.


실질적인 접근 방법: '통합적 접근 방식'의 구현     
안전과 보안 활동을 별개의 사일로(silo)에서 진행할 경우, 요구사항 충돌과 분석 중복으로 막대한 비효율이 발생한다. 이런 중복을 막기 위해서 통일된 접근 방식과 통합된 접근 방식을 사용할 수 있다. 두 방식은 다음과 같다.
- 통일된 접근 방식(Unified Approach): 모든 활동, 프로세스, 산출물을 하나의 단일 체계로 합치는 방식이다. 이론적 이상이지만, 조직 구조, 전문 툴체인, 기존 프로세스 등의 문제로 현실적 적용이 어렵다.
- 통합적 접근 방식 (Integrated Approach): 안전과 보안 각각의 독립적인 프로세스는 유지하되, 개발 생명주기의 주요 지점에서 상호 간의 입력과 출력을 긴밀하게 공유하고 교차 검토(Cross-functional Review)를 수행해 일관성을 확보하는 방식이다. 고도로 규제된 기존 안전 프로세스를 존중하면서 유기적인 연계가 가능하다.

업계 현실을 고려할 때, '통합적 접근 방식(Integrated Approach)'이 가장 실용적이고 효과적인 해결책으로 평가받는다. 즉 현재의 OEM, 부품사의 조직구조와 지금까지 갖추진 프로세스, 도구 및 환경 등의 레거시 활용을 극대화하면서 기능안전과 사이버 보안을 별도로 고려했을 때의 문제를 용이하게 해결할 수 있기 때문이다.


개발 생명주기 전반의 프로세스 통합 지점 
통합적 접근 방식은 기존 품질 및 안전 프로세스를 기반으로 보안 활동을 확장하고 연계하는 데 초점을 맞춘다. 다음 표는 개발 생명주기 단계별 통합 지점과 시너지를 요약한 것이다.

 

단계 (Phase)	통합 지점 및 시너지	주요 고려사항
기획	안전 계획서(Safety Plan)를 사이버 보안 계획서(Cybersecurity Plan)의 템플릿으로 활용. 재사용 부품 목록 공유.	보안 활동은 새로운 위협 모델에 따른 재평가 등 안전과 다른 재사용 조건을 가질 수 있음.
공급업체 관리	안전 분야의 DIA를 보안 분야의 CSIA(사이버 보안 인터페이스 협약)의 기반으로 활용.	보안은 제품 단종 후에도 장기적인 취약점 패치 지원이 계약에 명시되어야 함.
개념(Concept)	안전 아이템 정의(Item Definition)를 보안 아이템 정의의 시작점으로 사용.	보안 분석을 위해 블루투스, Wi-Fi 등 안전 분석에서 제외될 수 있는 인터페이스와 환경 요소를 반드시 추가해야 함.
설계(Design)	공통 아키텍처 명세서를 사용하고, 안전과 보안 관련 내용을 오버레이(overlay) 형식으로 표현하여 일관성 유지.	안전 상태(Safe State)와 서비스 거부(DoS) 공격 벡터 간의 충돌 관리.
구현(Implementation	MISRA C, CERT C/C++ 등 안전 및 보안 코딩 규칙을 통합된 정적 분석 도구로 관리.	안전(write-read-back)과 보안(안티 글리칭) 고유의 방어적 코딩 기법 조화.
테스트 및 검증	공통 테스트 인프라 및 환경 활용. 안전 테스트 계획을 보안 테스트 계획의 기반으로 삼음.	보안은 퍼즈 테스트, 침투 테스트 등 공격자의 관점에서 시스템을 시험하는 고유한 방법론이 추가되어야 함.
운영 및 서비스	필드 이슈 관리 프로세스 및 수행 절차를 안전/보안 공동 분석 창구로 운영함.	안전 및 보안 위험 시 기능 제한(Degradation)이나, 유지 범위에 대한 정책 분리.
수명 종료	안전 및 보안 지원 기간과 모니터링 활동을 조율. 보안 패치가 안전에 미치는 영향 평가 프로세스 수립.	보안 취약점은 제품 수명 후반에도 계속 발견될 수 있으므로 안전보다 긴 지원 기간이 필요할 수 있음.

성공적인 통합을 위한 단계별 핵심 활동 

개념 단계: HARA/TARA 시너지 극대화
개발 초기 단계의 긴밀한 협력은 불필요한 재작업을 방지하고 프로젝트 전체의 방향성을 결정한다.
- 아이템 경계의 확장: 안전 분석의 아이템 정의를 기반으로 하되, 보안 분석을 위해 텔레매틱스(TCU), OBD-II 포트, 진단 도구 등 외부와의 인터페이스는 기능안전성의 안전 분석이나, 사이버 보안의 공격표면으로서 아이템의 경계에 명확히 포함돼야 한다.
- 손상 시나리오의 구체화: 안전 분석에서 도출된 '위험원(Hazards)'은 보안 분석에서 '손상 시나리오(Damage Scenarios)'를 구체화하는 중요한 입력 자료가 된다. 예를 들어 '의도치 않은 조향'이라는 위험원을 '공격자에 의한 의도적인 조향 조작'이라는 구체적인 시나리오로 발전시킬 수 있다.
- 요구사항의 상호 검토 및 조율: 도출된 안전 목표와 보안 목표를 상호 검토하여 충돌을 해결하고 시너지를 창출해야 한다. (예: 'ASIL D 소프트웨어와 QM 소프트웨어 간의 공간적 격리' 요구사항과 '메모리 격리' 보안 요구사항을 통합하여 일관된 아키텍처 설계)


설계 및 구현 단계: 충돌 관리와 메커니즘 상호 활용  
설계 단계는 추상적인 목표를 구체적인 메커니즘으로 구현하는 과정이며, 충돌 관리가 핵심이다.

안전 및 보안 메커니즘의 상호 활용: 
- 시너지: 보안 기술(예: 메시지 인증 코드, 보안 부팅)은 데이터의 무결성과 신뢰성을 보장해 안전 목표를 강화할 수 있다.
- 충돌 관리 (ASIL 조율): 보안 메커니즘을 안전 목표 달성에 활용할 때는 반드시 해당 메커니즘이 요구되는 ASIL 등급을 충족하는지 검토해야 한다. 특히, 보안 부팅 절차가 RAM 복사 과정의 우발적 결함을 탐지하지 못하는 경우 등, 안전 관점에서 절차를 변경해야 할 수 있다.


오류 대응 전략의 일관성 확보: 
- Safe State vs. DoS 충돌: 안전을 위해 시스템을 즉시 정지시키는 '안전 상태'는 공격자에게 DoS 공격의 빌미를 제공할 수 있다.
- 조화로운 정책: FTTI(Fault Tolerant Time Interval, 결함 허용 시간 간격)와 같은 안전 제약을 침해하지 않는 범위 내에서, 시스템을 즉시 중단시키기보다는 기능을 점진적으로 저하시키거나 공격 이벤트 기록 후 제한된 모드로 전환하는 등 조화로운 오류 처리 정책을 수립한다. 


방어적 코딩의 통합: 
- 안전 코딩은 'write-read-back'과 같이 하드웨어 결함 대응에 중점을 두는 반면, 보안 코딩은 '안티 글리칭(anti-glitching)'과 같이 의도적인 물리적 공격을 방어하는 특화된 기법을 요구한다. 조직은 이 두 가지를 포괄하는 통합된 '신뢰성 있는 설계 원칙'을 수립해야 한다.



결론: ‘안전은 필요조건, 충분조건은 아니다’   

미래 자동차 시스템의 복잡성과 상호 연결성을 고려할 때 기능안전성과 사이버 보안은 분리할 수 없는 불가분의 관계다. 안전 엔지니어링이 제공하는 엄격한 기반 없이는 견고한 보안을 구축할 수 없다. 그러나 동시에, 지능적인 공격자의 의도적 위협을 고려하지 않는다면 그 어떤 안전 시스템도 완벽하게 보호될 수 없다.
궁극적으로, 자동차 제조사가 높은 수준의 견고성과 복원력을 갖춘 차량을 개발하고 갈수록 엄격해지는 규제를 준수하기 위해서는 단편적인 해결책을 넘어선 체계적이고 통합된 엔지니어링 접근 방식이 유일한 해답이다. 개발 생명주기 전반에 걸친 긴밀한 협업과 상호 검토를 통해 두 분야의 요구사항을 조율하고 충돌을 예방하는 통합 엔지니어링이야말로 자동차 산업의 혁신을 이끌 유일한 척도가 될 것이다.

 

---

참고문헌
Automotive Cybersecurity Engineering Handbook, Dr. Ahmad MK Nasser,

AEM(오토모티브일렉트로닉스매거진)

---