UN ECE WP.29 Regulation No. 155 (UN R155) — UNECE(유엔유럽경제위원회) 산하 WP.29가 제정한 자동차 사이버보안 법규. 2020년 6월 24일 WP29 181차 총회에서 채택되어 2021년 1월 22일 발효. 제조사가 조직 차원에서 사이버보안 관리 시스템(CSMS)을 구축하고 인증받도록 요구한다.
배경
- 차량의 자동화·커넥티비티·공유 모빌리티 확산으로 차내 시스템의 디지털화·소프트웨어화가 가속.
- 차량 전자시스템에 대한 불법 해킹 시도 및 Volkswagen 배기가스 불법 개조 사례 등으로 SW 보안·위변조 방지에 대한 법규 필요성 대두.
- UNECE WP.29 주도로 사이버보안 법규와 SW 업데이트 법규가 함께 정립됨.
CSMS (Cybersecurity Management System)
UN R155는 조직 단위의 CSMS 인증을 요구한다.
| 항목 | 내용 |
|---|---|
| 취득 단위 | 조직(Organization) 단위 |
| 유효 기간 | 3년 |
| 위험 분석 범위 | 차량 자체 + 관련 서버·공장·서비스 등 |
CSMS 인증만으로는 부족하며, 차종별 Type Approval을 추가로 받아야 양산 차량에 적용 가능.
Type Approval (형식 승인)
- 차종(vehicle type)별 취득.
- 해당 차종에 Type Requirement를 어떻게 구현했는지, 대응 조치와 평가 결과 확인.
- 차량 테스트를 통한 대응 효과성 검증 수반.
EVITA·HSM
OTA 업데이트의 Security Key는 EVITA (E-safety Vehicle Intrusion proTected Applications) 프로젝트가 정의하는 HSM (Hardware Security Module) Full Level에 의해 해킹으로부터 보호된다. CSMS의 구체적 구현 메커니즘 중 하나.
관련 표준 체계
자동차 사이버보안은 법규(Homologation)와 표준이 상호 참조:
- Functional Safety: IEC 61508 → ISO 26262, ISO 21448
- Cybersecurity:
- Product development: ISO/SAE 21434, SAE J3061
- Enterprise IT Security: ISO 27001, TISAX
- Homologation:
- R.155 CSMS
- R.156 SUMS
ISO/SAE 21434를 이행하면 R155 CSMS 요구사항을 충족할 수 있다 — 상세는 자동차 사이버보안 참조.
다른 UN Regulation과의 관계
| 규정 | 대상 |
|---|---|
| UN Reg. No. 155 | Cybersecurity for vehicle |
| UN R156 | Software update |
| 그 외 | 능동/수동 안전 및 일반 규제 등 |