2015년식 지프 체로키를 해킹한 사례를 시작으로 자동차 소프트웨어의 사이버보안은 매우 중요한 주제중 하나이다. 자율주행 등 고성능의 연산을 요하는 기능과, 차량간의 연결성(conectivity) 증가가 중요한 이유이다.
자동차용 보안과 관련해서는 ISO/SAE 21434 "Road vehicles — Cybersecurity engineering" 표준이 기본일 것이다. 그 외에 기존 정보보안의 국제표준인 ISO/IEC27001과 UNECE R.155 CSMS나 유럽쪽의 TISAX 등이 있겠다.
기존의 자동차 도메인 전문가가 ISO27001같은 IT 정보보안 분야를 공부해서 확장시키는 방법과, 보안분야 전문가가 자동차 도메인을 익혀서 확장하는 방법 중에 어떤 것이 효과적일까?
오늘 세미나를 참석할 기회가 있어서 질문을 했다. 평소 내 생각처럼 전자의 경우가 더 효율적일 것이라는 답을 들었다. 이는 비단 사이버 보안 뿐 아니라, SOA 기반 제어기 SW개발도 마찬가지이다. 기존에 IT 분야에서 자동차 도메인을 접근했으나 대부분 잘 안됬다.
내가 옆에서 지켜보기로는 순수 IT엔지니어 입장에서는 자동차라는 도메인 자체가 폐쇄적이며 (프로세스, 기술, 아키텍처 등등 여러 면에서) 워낙 생소하다.
또한 엔지니어도 모든 것을 (전자, 기계 등 시스템 전반을 이해하려고 하지 않고) 순수 IT나 SW 관점에서만 해결하려는 경향이 강했다.
그래서 진입장벽이 높은 편이다. 하지만 이제는 여러 가지로 달라질 것 같다.
Field-oriented software engineering