(ISO/PAS 5112 3강) ISO/SAE 21434 핵심 요구사항, 감사 관점에서 쏙쏙 정리하기!

🔍 ISO/SAE 21434 핵심 요구사항, 감사 관점에서 쏙쏙 정리하기!

안녕하세요!
오늘은 자동차 보안계의 바이블, ISO/SAE 21434의 핵심 요구사항을
‘감사(Audit)’ 관점에서 쉽고 재미있게 풀어보는 시간입니다. 🎉

---

🚦 ISO/SAE 21434, 왜 중요한가?

ISO/SAE 21434는 자동차 개발 전 과정에서 사이버보안을 지키기 위한 국제표준!
자동차가 개발되고 운영되는 라이프사이클 전 단계에서
위험을 분석하고 통제하며, 안전한 차량을 만들기 위한 규칙을 담고 있죠.

심사자 입장에서 이 표준을 제대로 이해하는 건
“내가 뭐를 평가해야 하고, 어디에 집중해야 하는지”를 아는 열쇠입니다.

---

🔑 감사자가 꼭 챙겨야 할 21434 핵심 요구사항

21434는 크게 Life Cycle 단계별로 요구사항이 쫙 펼쳐집니다.
각 단계별로 중요한 점을 살펴볼게요!

---

1. 개념 단계 (Concept Phase)

• 사이버보안 목표 수립 ✔
• 위협 및 위험 분석 실시 ✔
• 보안 요구사항 정의 ✔

🔍 감사 포인트:
"위협 모델링 문서 있나요? 보안 목표가 구체적이고 명확한가요?"
문서에 근거 없는 ‘그럴 것 같다’식 추정은 NO!

---

2. 제품 개발 (Product Development)

• 보안 요구사항을 설계에 반영 ✔
• 보안 기능 개발 및 검증 수행 ✔
• 공급망 보안 관리 ✔

🔍 감사 포인트:
“설계 산출물에 보안 요구사항이 제대로 반영됐나요?”
“테스트 케이스와 결과가 증빙되나요?”
공급업체 관리 문서도 빠뜨리면 안 됩니다!

---

3. 생산 및 운영 (Production and Operation)

• 양산 라인과 EOL 검사에서의 보안 적용 ✔
• 보안 패치 관리 및 업데이트 계획 ✔
• 운영 중 위협 대응 및 모니터링 ✔

🔍 감사 포인트:
“보안 업데이트 절차 문서화 되어있나요?”
“실제 모니터링 로그가 존재하나요?”
현장 운영팀과 인터뷰도 필수!

---

4. 폐기 (Decommissioning)

• 보안 관련 데이터 및 자산 안전하게 폐기 ✔
• 폐기 절차 준수 여부 확인 ✔

🔍 감사 포인트:
“민감 정보가 제대로 삭제됐나요?”
“폐기 절차가 명확히 문서화되어 있나요?”

---

💡 감사 관점에서 재조명한 핵심 포인트!

Life Cycle 단계	주요 감사 체크포인트
Concept	보안 목표와 위험 분석 문서 존재 여부
Development	설계 반영 및 검증 증거 자료 확인
Production & Operation	양산라인 보호조치, 보안 패치 관리와 실제 모니터링 증적 검증
Decommissioning	데이터 폐기 및 절차 준수 확인

---

🎯 오늘의 핵심 정리

• 21434는 ‘제품 전 라이프사이클’ 전반에 걸친 사이버보안 요구사항 표준
• 감사자는 각 단계별 문서와 증적(증거자료)을 중심으로 평가
• 실제 인터뷰, 운영 로그, 검증 결과 등 실무적 증거 확보가 중요!

---

🔜 다음 시간 예고!

4강: 심사 준비를 위한 조직 구조 및 책임 정리

• ‘누가 뭘 해야 하나요?’
• 조직 내 보안 책임 분담과 역할 정의
• 심사 통과를 위한 조직 체계 구성 꿀팁 대방출!

자동차 사이버보안 심사 마스터로 가는 길,
우리 함께 한 걸음씩 걸어가 봐요! 🚗💨

---

 

“감사는 문서만 보는 게 아니에요. 현장과 사람, 프로세스가 어우러진 진짜 보안 점검!” ✨