ISO 21434

ISO/SAE 21434 (Road vehicles — Cybersecurity engineering) — 도로 차량 내 전기·전자(E/E) 시스템 엔지니어링의 사이버보안 관점을 제공하는 국제 표준. 2021년 8월 31일 1st Edition 배포, 제정까지 약 36개월 소요. UN R155 CSMS 요구사항을 기술적으로 이행하는 공학 표준이며, ISO 26262(기능 안전)·ISO 21448(의도된 기능의 한계)와 함께 자동차 안전·보안 3대 표준을 구성한다.

적용 범위 (General Considerations)

대상: series production road vehicle의 사이버보안 관련 item 및 component (aftermarket·service parts 포함). prototype은 제외.
범위 외: 차량 외부 시스템(예: back-end server)은 사이버보안 목적상 고려할 수 있으나 ISO 21434 적용 대상 X.
라이프사이클 6단계: concept / product development / production / operations / maintenance / decommissioning·end of cybersecurity support.
Supply chain 전체에 적용 — 조직의 사이버보안 리스크 관리가 전 생명주기·공급망에 걸쳐 수행.

핵심 용어 정의

용어	정의
Cybersecurity goal	하나 이상의 threat scenario와 연관된 개념 레벨 사이버보안 요구사항
Cybersecurity claim	리스크에 대한 statement — 리스크 retain/share 정당화 포함 가능
Cybersecurity concept	Item의 사이버보안 요구사항 + 운용 환경 요구사항 + controls 정보
Cybersecurity control	리스크를 수정(modify)하는 measure
Cybersecurity incident	취약점 exploitation을 수반할 수 있는 현장(field) 상황
Cybersecurity specification	사이버보안 요구사항 + 대응되는 아키텍처 설계
Architectural design	컴포넌트·경계·인터페이스·상호작용을 식별할 수 있게 하는 표현
Verification	규정된 요구사항이 충족되었음을 객관적 증거로 확인
Validation	Item의 cybersecurity goal이 adequate하고 achieved됨을 객관적 증거로 확인
Attack feasibility	attack path 수행의 용이성을 나타내는 속성
Impact	damage scenario로부터의 피해·신체적 위해 규모 추정

용어 계층(Asset/Item/Component/Threat Scenario/Damage Scenario)은 자동차 사이버보안의 용어 체계 참조.

위치

영역	법규(What)	표준(How)
Cybersecurity	UN R155 (CSMS)	ISO/SAE 21434
Software Update	UN R156 (SUMS)	ISO 24089
Functional Safety	—	ISO 26262
SOTIF	—	ISO 21448

제정 과정

표준화 7단계

ISO의 표준 개발은 다음 단계를 거친다:

단계	명칭	약어
00	예비단계 (Preliminary stage)	—
10	제안단계 (Proposal stage)	NP
20	준비단계 (Preparatory stage)	WD
30	위원회단계 (Committee stage)	CD
40	질의단계 (Enquiry stage)	DIS
50	승인단계 (Approval stage)	FDIS
60	출판단계 (Publication stage)	IS

ISO 21434 1st Ed는 2018년 CD → 2020년 DIS → 2021년 FDIS·IS 순으로 약 36개월 소요.

TC22/SC32/WG11 조직 — “Cybersecurity”

공동 의장 (Convenors):
- ISO: Dr. Gido Scharfenberger Fabian (독일, Carmeq/VW)
- SAE: Lisa Boran (미국, Ford)
P-Member (13개국): AT, BE, CN, DE, FR, IT, IL, JP, KR, NL, SE, UK, US

4개 Project Group (PG)

PG	주제	역할
PG1	Risk Management	위험 평가에 필요한 단계의 추상적 설명을 포함한 모듈식 방법론 (Modular methodology with abstract descriptions of steps required for risk assessment)
PG2	Product Development	엔지니어링 프로세스 및 필수 보안 절차
PG3	Operation, Maintenance and Other Processes	차량 수명 주기의 비개발(non-development) 부분에 대한 사이버보안
PG4	Process Overview and Interdependencies	사이버보안 엔지니어링을 가능하게 하는 기업 및 프로젝트 종속 관리 활동

요구사항 구조

전체 RQ 101개 + RC 12개 + PM 4개로 구성:

RQ (Requirement): 의무 요구사항
RC (Recommendation): 권고 사항
PM (Permission): 허용 사항

요구사항 분류

조직 전반의 사이버보안 Management 요구사항 (아래 Management 참조)
Project별 사이버보안 Management 요구사항
분산 개발 경우 활동 요구사항
제품 수명주기 동안 지속적으로 수행하는 Cybersecurity Activities
제품 수명주기 단계별 활동: 개념 단계 / 개발 단계 / 개발 사후 단계 (생산~폐기) — 아래 Development 참조
반복 수행하는 TARA (Threat Analysis and Risk Assessment)

Management of Cybersecurity

4개 카테고리로 분류:

Organization Management

조직 전반에 상시 적용되는 사이버보안 관리 활동.

Cybersecurity Governance — 도로 차량 사이버보안 리스크 인지 + 경영진 commitment
- Cybersecurity policy를 rules and processes로 강제 (프로세스 정의·기술 규칙·가이드·방법·템플릿)
- Cybersecurity responsibilities — 책임·조직 권한 정의
- Cybersecurity resources — 숙련 인력·적합 도구
Cybersecurity Culture — 강한 문화와 약한 문화 비교 지표(책임 추적성, 우선순위, 보상 체계, 독립적 평가, 선제적 태도, 지속 개선) 제시
Information Sharing Systems — 공유 필요·허용·금지 상황 정의, 외부와 정보 보안 분류(public/internal/confidential/third-party confidential) 정렬
Information Security Management — 작업 산출물(work products)은 ISMS에 따라 관리
Management Systems — IATF 16949 + ISO 9001 기반의 품질 관리 시스템 구축. 변경·문서·형상·요구사항 관리. Configuration 정보는 end of cybersecurity support까지 유지 (Bill of materials, software configuration)
Tool Management — 사이버보안에 영향을 줄 수 있는 도구(모델 기반 개발, 정적 분석, verification tool, flash writer, EOL tester, 진단 도구, 툴체인·컴파일러) 관리. 취약점 재현용 환경을 end of cybersecurity support까지 재현 가능하게
Organizational Cybersecurity Audit — ISO 21434 목적 달성 여부를 독립적으로 판정. ISO 26262 기반 독립성 원칙 적용. IATF 16949 + ISO 9001 감사와 결합 가능. 주기적 수행

Project-Dependent Management

Cybersecurity Responsibilities — 프로젝트 사이버보안 활동 책임 할당 및 커뮤니케이션
Cybersecurity Planning — Item/Component 사이버보안 관련성 분석 → 신규 개발/재사용/tailoring 판단. Cybersecurity Plan 포함 항목: 활동 목적 / 종속성 / 책임 인력 / 필요 자원 / 시작·종료·기간 / 산출물. Project plan에 참조 또는 포함 (구분 가능)
Tailoring — 활동을 tailoring할 경우 rationale(정당화) 작성·검토 필수
Reuse — 수정 있음 / 운용 환경 변경 / 관련 정보 변경 시 reuse analysis 수행
Component out-of-context — 의도된 용도·맥락·외부 인터페이스 가정을 문서화. 통합 시 claims·assumptions 검증
Off-the-shelf Component — 통합 시 사이버보안 관련 문서 수집·분석 → 할당 요구사항 충족 가능성·application context 적합성·문서 충분성 판정. 부족 시 ISO 21434 활동 식별·수행
Cybersecurity Case — item/component 사이버보안에 대한 argument 제공. 포함: cybersecurity goals·requirements, argument, ISO 21434 work products (증거)
Cybersecurity Assessment — 독립적 평가. Rationale는 독립적 검토. ISO 26262 기반 독립성 scheme 사용 가능
Release for post-development — 사전 확보 산출물: Cybersecurity case / Assessment report / post-development 요구사항. 조건: argument 설득력 / assessment 확인 / 요구사항 수용

Distributed Cybersecurity Activities

Supplier Capability — 후보 공급사의 ISO 21434 개발·post-development 수행 역량 평가. Record of Cybersecurity Capability(best practices 증거, 지속 활동·incident response 증거, 이전 assessment report 요약) 제공 권장
Request for Quotation (RFQ) — 고객→공급사 RFQ에 포함: ISO 21434 준수 공식 요청 / 사이버보안 책임 승계 기대 / 관련 cybersecurity goals·requirements. A-SPICE 평가 관점에서는 ACQ.2가 같은 활동을 다룸
Alignment of Responsibilities — 고객·공급사 contact point, 활동 분담, 공동 tailoring, 공유 정보·산출물, 마일스톤, end of cybersecurity support 정의. Annex C에 RASIC 매트릭스 템플릿 제공 (R/A/S/I/C + confidentiality level 4단계)

Continual Cybersecurity Activities

Cybersecurity Monitoring — 정보 수집 소스 선정(state-of-the-art 공격 기법 등), triage trigger 정의·유지
Cybersecurity Event Evaluation — event를 평가하여 item/component의 weakness 식별 (Triage → Cybersecurity event → Analysis)
Vulnerability Analysis — weakness를 분석하여 vulnerability 식별. Attack path 존재하지 않거나 feasibility 매우 낮으면 vulnerability로 취급하지 않음
Vulnerability Management — 각 vulnerability마다 리스크 처리(Risk Treatment) 또는 TARA와 무관한 remediation으로 제거 (오픈소스 패치 등)

Development of Cybersecurity

3 Phase 구조:

Concept Phase

Item Definition — Item boundary, functions, preliminary architecture, 운용 환경 기술
Cybersecurity Goals — TARA 수행 (asset identification → threat scenario → impact rating → attack path → feasibility rating → risk value). Risk treatment option 결정 후:
- Reduce → cybersecurity goal 지정
- Share / Retain → cybersecurity claim 지정
Verification — TARA 결과의 정확성·완전성, risk treatment 일관성, goal·claim의 일관성 확인
Cybersecurity Concept — goal에 대한 item·운용환경 요구사항 정의 → item 및 component에 할당(allocate)
- 예: Vehicle Speed integrity goal → VS ECU가 정확한 VS 정보를 무결성 있게 전송 / AC ECU가 무결성 검증 후 actuator에 전원 공급 / actuator는 AC ECU 전원 시만 활성화

Product Development Phase

Design — 상위 아키텍처·selected controls·기존 설계 기반으로 cybersecurity specification 정의 후 component에 할당. 별도 마이크로컨트롤러 + HSM(trust anchor) 기반 secure key store 격리 등이 예시
- A-SPICE 프로세스 활용: SYS.1~5 (System Engineering) + SWE.1~6 (Software Engineering) + SEC.1~4 (Cybersecurity Engineering) + MAN.7. SEC.1 Requirements Elicitation → SEC.2 Implementation → SEC.3 Risk Treatment Verification → SEC.4 Risk Treatment Validation(Penetration Testing 포함)
- 설계·모델링·프로그래밍 노테이션 선정 기준: 명확한 syntax·semantics / 모듈화·추상화·캡슐화 지원 / 구조화된 구문 / secure design·implementation 기법 지원 / 기존 컴포넌트 통합 가능성
- 참조: NIST SP 800-160 Appendix F.1 “Taxonomy of Security Design Principles”
- 코딩 표준: MISRA C:2012 또는 CERT C 적용
- Architectural design의 weakness 분석 → vulnerability 식별·관리
- Verification 방법: Review / Analysis / Simulation / Prototyping
Integration and Verification — 구현·통합이 cybersecurity specification을 충족함을 검증. Test coverage 메트릭 사용. Testing 미수행 시 rationale 제공 필수
Validation — 차량 레벨에서 confirm:
- Adequacy — threat scenario·리스크 대비 cybersecurity goal의 적절성
- Achievement — item의 cybersecurity goal 달성
- Validity — cybersecurity claim의 타당성
- Validity — 운용 환경 요구사항의 타당성

Post-Development Phase

Production — Production Control Plan 작성. 포함: 단계 순서, 도구·장비, 무단 변경 방지 controls(물리·논리), 충족 확인 방법
Cybersecurity Incident Response — 각 incident에 대한 response plan: remedial actions / communication plan / 책임 할당 / 신규 정보 기록 절차 / 진행도 측정 방법(remediated 비율) / 종결 기준
Update — 차량 내 업데이트·업데이트 관련 역량은 ISO 21434 준수. 상세는 ISO 24089(ISO/CD 24089) — 조직/프로젝트/인프라/차량·컴포넌트/업데이트 패키지/캠페인 운영 9 clause
End of cybersecurity support — 고객 대상 communication 절차 마련. 공급사-고객 계약, 차량 소유자 대상 공지
Decommissioning — post-development 요구사항을 decommissioning 관점에서 가용하게 유지 (instruction, user manual 등)

Automotive Cybersecurity Purpose

ISO 21434가 달성하고자 하는 목적:

차량 제어 시스템 및 민감·중요 정보에 대한 위험 식별 및 보호.
위험 기반 우선 순위화 (Risk-based prioritized).
공격의 성공 가능성 감소 + 발생 시 영향 완화.
Field에서의 차량 사이버 보안 사건에 대하여 적시 탐지(Detection)와 신속 대응(Response) 제공.
사이버보안 사건 발생 시 신속한 복구(Recovery)를 돕기 위한 설계 방법·대책 제공.
Supply chain 내에서 정보 공유 및 협력체계 구축.
효과적인 Information Sharing을 통해 학습된 사례를 업계 전반에서 공유.

Supply Chain 책임 분배

ISO 21434의 각 조항(Clause 5 ~ Clause 15)은 Supply Chain 참여자의 역할에 따라 책임이 분배된다.

레벨	역할
OEM	차량 형식 승인 대상자. 전체 사이버보안 Management, TARA, 제품 수명주기 전반 책임
Tier 1	시스템 공급자. OEM과 분산 개발 계약 하에 Concept·Development 단계 활동 수행
Tier 2, 3	컴포넌트·서브컴포넌트 공급자. 주로 Development 단계 요구사항 적용

Clause별 적용 범위는 OEM·Tier 1(전체) → Tier 2, 3 (부분)으로 축소되는 구조.

Reference Documents

ISO 21434 개발 시 참조된 주요 문서:

문서	분야
SAE J3061	Cybersecurity Guidebook for Cyber-Physical Vehicle Systems (ISO 21434의 전신)
ISO 26262	Functional Safety
ISO/IEC/IEEE 15288	Systems and software engineering
Automotive ISAC	Automotive Cybersecurity Best Practices (정보 공유 커뮤니티)
EVITA	E-safety Vehicle Intrusion proTected Applications (HSM 정의)
IATF 16949	ISO 900x Quality management systems (자동차)
ISO 31xxx	Risk Management 시리즈

SAE J3061과의 관계

SAE J3061은 Product Lifecycle Process Framework을 제공하며, ISO 26262 functional safety lifecycle과 유사한 흐름.
Feature Definition → TARA 수행 및 Cybersecurity Goals 식별 → Cybersecurity Concept·Requirement 개발 → Vulnerability Analysis → Vulnerability/Penetration Testing → Verification and Validation.
ISO 26262의 HARA·Fault Tree Analysis에 대응하는 TARA·Attack Tree Analysis 개념 도입.
ISO 21434는 SAE J3061을 흡수·확장한 후속 표준.

심사 — ISO/PAS 5112

ISO 21434 준수 여부를 심사하기 위한 가이드라인이 ISO/PAS 5112 (Guidelines for auditing cybersecurity engineering).

심사 영역: 사이버보안 관리(조직·프로젝트), 지속적 사이버보안 활동, 분산개발 사이버보안 활동, 위험 평가 방법론, 엔지니어링 프로세스(개념·개발·생산·운영 및 유지보수·폐기).
운영 절차: Managing Audit Program, Conducting Audit, Competence and Evaluation of auditors, General Considerations, Audit Questionnaire.

UN R155 CSMS 형식 승인에서 Technical Service가 ISO/PAS 5112를 기반으로 제조사를 심사한다.

AE Wiki

탐색기