UNECE WP.29 는 무엇인가?

UNECE WP.29는 차량 규정의 조화를 위한 유럽 UN 경제 위원회 세계 포럼입니다. 원래 이름은 “Working Party (WP) Experts on Technical Requirement of Vehicles” 였던 이 포럼은 세계에서 가장 큰 국제 차량 규제 시스템으로 차량, 장비 및 부품에 대한 형식 승인 기준을 정의합니다.

주요 책임은 국제 상거래 및 시장 접근을 지원하기 위해 차량 규정을 계속 업데이트하고 관련성을 유지하는 것입니다. 2020년 현재, UNECE 1958 합의에 대한 계약 당사국(CP)은 모든 EU 국가와 한국, 일본, 터키, 러시아, 호주 및 남아프리카 공화국과 같은 기타 OECD 국가(아래 그림 1 참조)를 포함한 54개국으로 늘어났습니다.

그림 1: 1958 협정 계약 당사국
2020년 6월 25일, UN은 차량 제조사들이 차량 형식 승인을 받기 위해 조직과 차량 내에 반드시 갖춰야 하는 새로운 사이버 보안 프로세스와 보안 수단/완화에 대한 개요를 설명하는 전례 없는 차량 사이버 보안 규정(ECE/TRANS/WP.29/2020/79)의 승인을 발표했습니다. ECE/TRANS/WP.29/2020/79는 승용차, 밴, 트럭, 버스, 트레일러에 적용되며 이미 EU, 일본 및 한국에서 실행 일정이 세워져 있습니다.

ECE/TRANS/WP.29/2020/79는 업계에 새로운 도전을 제시하며 차량 수명 주기와 밸류체인 전반적으로 새로운 사이버 보안 방법론, 모니터링, 탐지, 보고 및 대응 능력을 요구합니다.

UNECE WP.29: FAQs

신규 아키텍처로부터 출시되는 새로운 차량 모델에 언제, 어떻게 해당 규정이 적용됩니까?

2022년 7월 이후부터는, 신규 차량 형식 승인의 경우 전체 차량 형식 승인을 획득하기 위해 사이버 보안 시스템 승인을 받아야 합니다. 2022년 7월과 2024년 7월 사이에 승인된 신규 형식 승인의 경우, 해당 규정의 Annex 5에 기술된 기능에 대한 “적합한(appropriate)” 대안과 개발 및 위험 관리 중 사이버 보안의 “적절한 고려(adequate consideration)”가 승인 기관에 의해 허용됩니다. 2024년 7월 이후에는, 신규 사이버 보안 형식 승인과 모든 신규 차량 등록(시장에서 판매 재고로 남은 기존의 형식 승인된 차량)은 규정을 완전히 준수해야 합니다(아키텍처, 출시일 등과 상관없이).

사이버 보안 규정에 따라 본인의 차량에 대한 완화 조치를 시행해야 합니까?

– 제조사의 모니터링 및 포렌식 분석 역량 지원

“ECE-TRANS-WP29-2020-079-Revised”는 기술에 구애받지 않고 제조업체가 규정 요구 사항을 어떻게 충족할지 결정할 수있는 유연성을 제공합니다. 예를 들어, 해당 규정의 제 7.2.2.3.조에 따라 제조업체는 “합리적인 시간” 내에 위협과 취약성에 대응하도록 요구하고 있지만, 빠른 대응을 촉진할 수 있는 특정 기술의 포함을 강제하지는 않습니다. 규정에서 요구하는 목표를 달성하는 방법에 관해서는 차량 제조사가 자체적으로 결정하도록 두고 있습니다(예: 기술 또는 프로세스를 사용하거나, 두 가지 모두를 사용하거나 또는 모두 사용하지 않거나). 또한, “ECE-TRANS-WP29-2020-079-Revised” 의 Annex 5 에서는 개발 프로세스와 수명 주기 동안 차량 형식에 고려되고 적용되어야 하는 일반적 위협과 완화의 목록을 제공합니다.

사이버 보안에 대한 WP.29 규정은 어떻게 구성되어 있으며 주된 요건은 무엇입니까?

“ECE-TRANS-WP29-2020-079-Revised”는 사이버 보안 형식 승인과 관련하여 두 가지의 특정 요구사항이 있습니다. 1) 제조사의 사이버 보안 관리 시스템의 승인 기준 2) 사이버 보안에 관한 차량의 승인에 대한 기준. CSMS와 차량에 대한 일부 요구사항을 아래에 간략하게 요약했습니다.

제조사의 사이버 보안 관리 시스템 (CSMS)의 요구사항:
– 차량 사이버 위험의 식별과 관리
– CSMS 컴플라이언스 인증서 확보를 위한 지속적인 검토, 그리고 실행 및 시현 가능한 개선 프로세스
– “합리적인 시간” 내에 사건 대응

사이버 보안에 관련된 차량 승인 요구사항:
– 차량에 대한 사이버 공격의 탐지와 예방
– 식별된 위험으로부터 차량 보호

어떤 차량 카테고리가 새로운 WP.29 요구사항을 준수해야 합니까?

이 규정은 카테고리 M (승용차) 그리고 N (물품을 운반하는 차량, 즉, 트럭)에 해당하는 차량에 적용됩니다. 또한 이 규정은 적어도 하나의 전자제어장치(ECU)가 장착되는 경우 카테고리 O의 차량에도 적용됩니다. 또한, 이 규정은 3단계 이상의 자율주행기능(WP.29의 자율주행과 관련된 용어를 정의하는 참조문헌과 자율차량에 대한 UN 규정을 개발하는 일반원칙에 정의됨(ECE/TRANS/WP.29/1140))을 장착하는 경우 차량 카테고리 L6와 L7에 적용됩니다.

WP.29의 새로운 사이버 보안 규정은 언제 도입됩니까?

EU, 일본 및 한국은 “ECE-TRANS-WP29-2020-079-Revised”를 시행하는 계획을 공식적으로 발표했습니다. 예비 국가 법제를 토대로, 일본은 해당 규정을 2020년 11월 초부터 적용할 계획입니다. 대한민국은 2020년 상반기에 국가 가이드라인에 따라 사이버 보안에 대한 규정 조항을 도입하고, 2단계로 해당 규정의 시행을 진행하는 등, 단계적인 접근 방법을 도입하였습니다. EU에서는 일반안전규정(Regulation (EU) 2019/2144)에 따라 사이버 보안에 대한 모든 UN 규정이 통과되는 즉시 가능한 빠른 시일 내에 시행해야 합니다. 이러한 지침 때문에, EU는 2022년 7월부터는 새로운 모든 차량 형식에 대해 그리고 2024년 7월 이후에는 “첫 번째로 등록”되는 모든 차량에 대해 사이버 보안용 시스템 형식 승인이 의무가 되도록 하는 규정을 도입한다는 계획을 발표했습니다.

UN은 어떠한 나라에서도 규정을 강제하지 않습니다. 그러면 이 규정은 어떻게 작동하고 어느 나라가 영향을 받습니까?

UNECE 차량 규정은 국제적으로 인정되는 차량 규정 개발에 대한 책임을 맡고 있는 UN의 실무 기구인 차량 규정의 국제조화를 위한 세계포럼(World Forum for the Harmonization of Vehicle Regulations, WP.29)으로부터 승인을 받기 위해 국제적 차원에서 개발되고 있습니다. WP.29는 모든 UN 회원국이 서명하도록 개방된 1958 UNECE 합의에 따라 수립되었습니다. 1958 합의에 대한 서명국(또는 “계약 당사국”)은 WP.29가 개발한 모든 새로운 규정을 자국의 차량 법제에 통합하기로 약정했습니다. 2020년 7월 현재, 유럽연합, 일본과 한국은 WP.29의 사이버 보안 규정(“ECE-TRANS-WP29-2020-079-Revised”)을 시행하는 공식 계획을 발표했습니다.

WP.29에 따른 사이버 보안 규정의 현재 상태는 어떠합니까?

2020년 6월 제 181차 WP.29 회의에서, 세 가지의 새로운 UN 규정이 승인되었습니다(언론 보도 참조):
1. 사이버 보안 및 사이버 보안 관리 시스템 (CSMS)에 관련된 차량 승인에 관한 UN 단일 규정 – “ECE-TRANS-WP29-2020-079-Revised.”
2. 소프트웨어 업데이트 및 소프트웨어 업데이트 관리 시스템 (SUMS)에 관련된 차량 승인에 관한 UN 단일 규정 – “ECE-TRANS-WP29-2020-079/ 80.”
3. 자동 차선 유지 시스템(ALKS)에 관련된 차량 승인에 관한 UN 단일 규정 – ECE-TRANS-WP29-2020-079/ 81.”

자동차 업계에 사이버 보안 규정이 필요한 이유는 무엇입니까?

차량이 인터넷, 외부 장치, 다른 차량, 인프라 등에 연결되는 일이 늘어남에 따라, 점점 사이버 공격에 취약해집니다. Auto ISAC, NHTSA, ISO, ENISA 등과 같은 기구에서 수립한 자동차 사이버 보안 가이드라인, 최상의 실무와 표준이 많지만, 자동차 제조사들은 아직 차량을 인증하는 데 필요한 차량의 사이버 보안 방향(예: 형식 승인, 자가 인증)을 제시하도록 요구 받고 있지 않습니다. 자동차 섹터에서의 사이버 공격의 잠재적 영향에 대한 우려가 늘어난다는 맥락에서 볼 때, 공공 안전, 국가 보안, 불확실한 법적 책임성과 새롭고 연결된 서비스 이용을 보상하는 사업 환경에 대한 추가 우려는 모두 차량의 사이버 보안이라는 주제에 대해 더 많은 산업 규정과 표준화를 불러올 촉매제가 됩니다.

승인 “확대”는 전체 차량 형식 승인(WVTA)과 어떻게 다릅니까?

승인 “확대”는 이미 형식 승인을 받은 자동차 라인에 대한 변경, 추가 또는 업그레이드를 의미합니다(예: 새로운 인포테인먼트 장치가 설치되어 차량의 사이버 공격 표면이 변경될 때). 그러한 변경의 경우, 제조사들은 WVTA에 관련된 전체 차량 시스템을 재승인 받을 필요는 없습니다. 그보다는 그 변경으로 영향을 받는 시스템에 대해서만 승인을 받아야 합니다(예: 사이버 보안 시스템 승인). 만약 모든 것이 새로운 또는 업그레이드된 시스템에 대한 요구사항 기준에 맞게 결정된다면, WVTA의 “확대”가 승인되어 차량 제조사가 WVTA에 연계된 모든 활동을 수행하지 않고도 당국에 따른 차량의 지정이 변경됩니다.

차량 형식과 아키텍처, 자동차 라인 및 모델은 어떻게 다릅니까?

다수의 자동차 라인이 단일 차량 아키텍처에서 출시될 수도 있습니다. 그러나, 자동차 라인마다 다른 차량 “형식”인 것은 아닙니다. 형식 승인은 보통 차량의 필수 요소가 일부 결정적으로 또는 상당히 다른 경우에 요구됩니다. ”자동차 모델”은 보통 대상 자동차 라인의 모델 연식을 말합니다.

새로운 자동차 제품군이 2021년 1월 이후 (UN의 예상 효력 발생일), 2022년 7월 이전에 출시되는 경우 영향을 받습니까?

2021년 1월초부터, 사이버 보안에 대한 UN 규정(WP. 29)의 “효력이 발생”될 때, 계약 당사국(차량 규정의 1958 UNECE 합의에 대한 서명국가)은 최종 규제 언어와 문서를 자국의 법제에 통합하기 시작할 것입니다. 따라서, 이 규정이 UN에서 효력이 발생되는 시점과, 해당 국가의 법에서 실행되는 시점은 같을 수 없습니다. 예를 들어, 만약 러시아가 2021년 7월에 사이버 보안 규정을 실행하는 한편, 독일은 2022년 7월에 해당 규정을 실행한다면, 2021년 7월 이후에 러시아 시장에서 판매되는 차량은 “ECE-TRANS-WP29-2020-079-Revised”의 요건을 충족해야 하는 반면, 독일에서 판매되는 차량은 2022년 7월까지 이러한 요구 사항을 충족하지 않아도 됩니다.

새로운 시스템 형식 승인 프로세스는 어떻게 영향을 미칩니까?

만약 새로운 시스템(예: 페이스리프트에서 차량에 추가)이 전체적으로 승인을 받은 차량 형식의 보안 아키텍처 또는 위험 평가에 영향을 미치는 경우, 해당 차량의 제조사는 사이버 보안에 대한 시스템 승인을 포함시키도록 해당 전체 차량 형식 승인의 확대를 받아야 할 수도 있습니다.

기존 차량의 “페이스리프트”에 새로운 CS와 SU 승인이 필요합니까? 7/2022 및 7/2024 이전과 이후는?

만약 차량의 “페이스리프트”에 차량의 사이버보안에 영향을 미칠 가능성이 있는 시스템(예: 인포테인먼트, 텔레매틱스)의 변경 또는 교체가 포함되는 경우, 해당 차량의 제조사는 새로운 전체 차량 형식 승인(WVTA) 및/또는 해당 차량에 대한 현재 WVTA의 “확대”를 받아야 할 수 있습니다.

해당 규정은 기존 아키텍처로부터 출시되는 새로운 자동차 제품에 대해 언제 어떻게 영향을 미칩니까?

2022년 7월 이후, 기존 전자 아키텍처로부터 출시되는 새로운 자동차 제품(즉, 차량 형식)은 전체 차량 형식 승인(Whole Vehicle Type Approval, WVTA) 프로세스의 일부로 사이버 보안 시스템 형식 승인을 받아야 합니다.

이미 도로에서 주행 중인 차량에 대해서는 UN 사이버 보안 규정이 어떻게 영향을 미칩니까?

사이버 보안에 대한 UN 규정은 대상 국가에서 규정의 효력이 발생하기 전에 이루어진 차량 승인에 영향을 미치지 않습니다 (즉, UN 규정으로 효력이 발생하지 않음). 또한 이미 도로에 주행 중인 차량에도 영향을 미치지 않습니다. 2024년 7월 이후, 차량 제조사들은 “ECE-TRANS-WP29-2020-079-Revised를 적용하는 국가의 관할당국에 고객이 차량을 등록할 수 있도록 사이버 보안 시스템 형식 승인을 받아야 합니다. 이러한 요건을 충족하기 위해, 기존 차량 프로그램에 대한 변경 요청을 실행하여 제조사가 여전히 생산 중인 차량을 계속 판매할 수 있도록 해야 합니다.

추가 참고자료

Other Regulations