(ISO/PAS 5112 1강) ISO/PAS 5112, 너 정체가 뭐니?

📘 1강. ISO/PAS 5112, 너 정체가 뭐니?

“자동차 사이버보안 평가를 한다는데... 갑자기 등장한 ISO/PAS 5112? 이건 또 뭘까요?”

그런 당신을 위해 준비한! 친절하고 실무감 200% 충전된 자동차 사이버보안 심사 입문 강의입니다. 🎉

---

🎯 이번 강의의 목표

• ISO/PAS 5112의 정체를 밝힌다!
• 왜 나왔는지, 무슨 역할을 하는지 이해한다!
• 이 문서가 ISO/SAE 21434, UN R155와 어떤 관계인지 파악한다!

---

🔍 ISO/PAS 5112, 이름부터 뜯어보자

구분	의미
ISO	국제표준화기구, 전 세계 공통으로 통용되는 표준을 만든다
PAS	_Publicly Available Specification_의 약자. 완전한 표준은 아니지만, 긴급하거나 빠르게 보급할 필요가 있는 경우에 사용! ⚡
5112	바로 우리 오늘의 주인공 번호! 자동차 사이버보안 평가 프레임워크에 관한 문서다 🚗🔐

즉, ISO/PAS 5112는 완전한 ‘국제표준’은 아니지만, 자동차 사이버보안 심사를 ‘어떻게 해야 하지?’라는 혼란을 정리해주는 가이드북 같은 존재예요.

---

🧩 ISO/PAS 5112의 역할은?

자, 여기서 중요한 질문 하나 던져볼게요.
"사이버보안 평가(Audit & Assessment), 어떻게 해야 할까요?"

사실 많은 OEM과 공급사들이 막막해하던 부분이에요.
바로 이런 고민을 해결하기 위해 나온 것이 ISO/PAS 5112입니다!

💡 한 줄 요약!

ISO/PAS 5112는 자동차 사이버보안에 대한 감사(Audit)와 평가(Assessment)를 수행할 때 따라야 할 절차, 방법, 기준을 제시해주는 실무용 지침서입니다.

---

🧩 ISO/PAS 5112의 구조 (Clause 구성)

ISO 문서답게 1번부터 차례차례 조항이 구성돼 있어요.
우리 같이 하나씩 뜯어볼까요? 🔍

---

🔹 1. Scope

이 문서가 다루는 범위를 정의해요.
즉, “나는 자동차 사이버보안 관련 심사에만 집중할 거야!”라는 선언문 같은 파트죠.

---

🔹 2. Normative References

문서가 의존하는 다른 국제표준들을 소개해요.
여기에는 ISO/SAE 21434 같은 필수 규격이 들어있겠죠?

---

🔹 3. Terms and Definitions

"Audit, Assessment, Evidence…"
혼돈의 단어들을 깔끔하게 정의!
심사자와 개발자가 같은 단어로 다르게 이해하지 않도록 정리해둔 곳이에요.

---

🔹 4. Principles of Auditing

감사는 단순히 체크리스트를 채우는 게 아닙니다!

• 독립성
• 객관성
• 사실 기반의 접근
  이런 심사의 철학과 태도를 설명해요.
  🚨 “형식적인 감사를 하지 마라!”라는 경고장이죠.

---

🔹 5. Managing an Audit Programme

"감사는 하루아침에 이루어지지 않는다!"
이 파트는 조직에서 감사 체계를 어떻게 운영할 것인가에 대한 내용을 담고 있어요.

• 감사 주기
• 감사 범위 설정
• 감사 팀 구성
  이런 실무적인 계획 수립 요소가 핵심입니다.

---

🔹 6. Conducting an Audit

드디어 실전!
실제 감사를 어떻게 수행하는가?를 단계별로 안내합니다.

1. 감사계획 수립
2. 인터뷰 수행
3. 증적 수집
4. 부적합 도출
5. 보고서 작성

👉 실무에서 가장 많이 참고하는 절이에요!

---

🔹 7. Competence and Evaluation of Auditors

심사는 ‘사람’이 합니다.
그래서 이 절은 심사자의 역량 요건과 평가 기준을 다뤄요.

• 보안 지식이 있어야 하고
• ISO 21434를 이해하고 있어야 하고
• 인터뷰 능력, 보고 능력까지 갖춰야 한다고요! 🎓

---

🔗 관련 문서들과의 연결고리

🧠 ISO/SAE 21434와의 관계?

ISO/SAE 21434는 무엇을 해야 하는지에 대한 요구사항 모음
ISO/PAS 5112는 그걸 잘 했는지 확인하는 절차서

둘은 찰떡궁합! 개발팀이 만든 산출물을 외부 평가기관이 검토할 때, 이 문서를 기반으로 합니다.

---

🛑 UN R155와의 연결?

UN R155는 사이버보안 관리체계(CSMS)를 갖추라고 법으로 정한 규제입니다.
ISO/PAS 5112는 이 규제 준수를 입증하기 위한 심사 방법론이에요.

---

🧠 정리하면 이렇게!

문서명	역할	특징
ISO/SAE 21434	해야 할 일 정의	개발자 중심, 기술적 요구사항
UN R155	법적 규제	CSMS 인증 필요, 유럽 등 강제
ISO/PAS 5112	감사/평가 프레임워크	21434와 R155 평가를 위한 실무용 매뉴얼

---

📌 실무 꿀팁 한 가지!

ISO/PAS 5112는 자체 내부감사에도 매우 유용해요!
외부 인증받기 전에 미리 한 번 점검해보면, 진짜 심사에서 멘붕 방지 가능! 🧠💥

---

🔜 다음 시간 예고

2강: UN R155와 사이버보안 관리체계(CSMS)의 요구사항 복습

• 도대체 왜 규제까지 만들었는지?
• 우리 회사는 인증을 꼭 받아야 하나?
• CSMS는 어떻게 구성되어야 할까?

이런 궁금증을 시원하게 풀어보겠습니다! 💡

---

📚 참고 링크

• ISO 공식 사이트 - ISO/PAS 5112 설명
• UNECE R155 개요