ISO/SAE® 21434:2021은 현대적인 자동차의 사이버보안 리스크를 다루는 자동차 산업의 국제 표준입니다. 이 표준에는 안전한 E/E(전기전자) 시스템과 이에 대한 구성요소 및 인터페이스를 구축하고 해당 시스템의 수명주기 전반에서 보안을 유지하는 데 필요한 요구사항이 명시되어 있습니다. ISO 21434는 UN-ECE R.155의 CSMS(사이버보안 관리 시스템)에 대한 참조 구현을 제공하며, 이를 통해 자동차 형식 승인을 위한 기술 요건을 규정합니다.
이 표준은 ISO 26262(자동차의 기능 안전 표준)와 짝을 이루는 것으로 볼 수 있지만, 이 표준에서는 E/E 시스템에 대한 악성 사이버 공격과 그 상호 작용에 따른 리스크도 다룹니다. 이러한 리스크는 차량, 운전자 및 기타 도로 사용자들이 오늘날의 급변하는 위협 환경에서 항상 안전할 수 있도록 지속적으로 식별하고 관리해야 합니다. ISO 21434는 특정한 방법이나 대응책의 활용을 의무화하지 않습니다. 그보다는 적절한 리스크 관리의 증거로서 지속적으로 제시하고 업데이트해야 할 활동과 작업 산출물을 정의합니다.
모델 기반 설계를 사용한 안전한 시스템 구축
MATLAB 및 Simulink를 사용한 모델 기반 설계를 통해 하나의 공통된 툴체인에서 두 ISO 표준을 모두 준수할 수 있습니다. 개발자와 실무자들은 모델 기반 설계를 사용해 안전한 시스템을 구축하여 필요한 작업 산출물을 생성하고 보안 사고가 발생하면 설계를 신속히 업데이트할 수 있습니다. 이러한 워크플로에서는 초기 개념부터 최종 구현에 이르기까지 요구사항과 설계 간의 완전한 추적성이 보장됩니다. 개발자는 사양과 메타데이터의 계층적 개선을 통해 보안 아키텍처의 완전성을 평가하고, 설계 변경의 영향을 판별하고, 전체적 일관성을 보장할 수 있습니다. 고급 검증 방법으로는 프로덕션 단계에 이르러 공격 표면이 드러나기 전에 취약점을 식별할 수 있습니다. 엔지니어는 이와 같은 기능으로 간과된 대응책을 발견하고 안전한 솔루션을 설계할 수 있습니다. 보안 리스크를 해결하고 나면, 엔지니어는 자동 코드 생성을 통해 솔루션을 빠르고 정확하게 구현할 수 있습니다.
정적 코드 분석을 사용한 취약점 검출
또 다른 리스크 해결 방법은 정적 코드 분석으로, 이 방법은 안전 및 사이버보안 표준에서 권장하고 있습니다. 엔지니어는 이 방법을 생성된 코드 및 직접 작성한 코드에 적용하여 코딩 가이드라인(CERT C/C++, MISRA© 보안 및 CWE 등) 준수 여부를 검증하고 통합 결함, 기밀성 위협, 성능 문제 같은 다른 문제들을 식별할 수 있습니다. 데이터와 제어 흐름의 심층적 정형 기법 기반 분석을 활용하면 동적 테스트 같은 종래의 방법으로는 찾기 어려운 결함을 밝히고 치명적인 취약점의 부재를 증명할 수도 있습니다.
전체 워크플로 문서, 리포트, 테스트 스위트 및 추가적 인증 아티팩트는 IEC Certification Kit (for ISO 21434, ISO 26262, ASPICE, and IEC 61508)에서 제공됩니다.
MATLAB 및 Simulink 제품을 사용한 ISO 21434
ISO 21434 응용 사례 개발을 위한 주요 제품
- IEC Certification Kit (for ISO 21434, ISO 26262, and ASPICE)
- Simulink
- System Composer
- Embedded Coder
- Simulink Check
- Simulink Coverage
- Requirements Toolbox
- Simulink Design Verifier
- Simulink Test
- Polyspace Bug Finder
- Polyspace Code Prover