규제 · 인증 — 자동차 밖의 보안 표준
IEC 62443을 처음 들을 때 자주 나오는 말
"IEC 62443이 ISO/SAE 21434랑 같은 건가요? 둘 다 자동차 보안 표준 아닌가요?"
"우리는 차량 보안 담당인데 공장 표준까지 알아야 하나요?"
"Zone이랑 Conduit, SDV에서 들어본 것 같은데 같은 개념인가요?"
"공장 보안이랑 차량 보안이랑 뭐가 그렇게 다른가요?"
ISO/SAE 21434는 차량을 보호한다. 그런데 그 차량을 만드는 공장은 무엇이 보호하는가.
답은 IEC 62443이다. 산업제어시스템(ICS/SCADA)을 위한 국제 사이버보안 표준이고, 자동차 공장의 PLC와 생산 라인도 이 표준의 적용 대상이다.
답은 IEC 62443이다. 산업제어시스템(ICS/SCADA)을 위한 국제 사이버보안 표준이고, 자동차 공장의 PLC와 생산 라인도 이 표준의 적용 대상이다.
IEC 62443이란 무엇인가
IEC 62443은 산업자동화제어시스템(IACS, Industrial Automation and Control Systems)을 위한 사이버보안 국제 표준 시리즈다. 원래는 ISA(국제자동화협회)가 ISA-99로 시작한 표준이 IEC(국제전기기술위원회)와 함께 발전시킨 것이다.
ℹ️ 확인된 사실 — IEC 62443의 위상
2021년 11월, ISA와 ISA Global Cybersecurity Alliance(ISAGCA)는 IEC가 이 표준을 "수평적(horizontal)" 표준으로 인정했다고 발표했다. 이는 산업제어 분야에 국한되지 않고 자동차를 포함한 다양한 산업에 기술 독립적으로 적용 가능한 기반 표준으로 격상됐다는 의미다.
2021년 11월, ISA와 ISA Global Cybersecurity Alliance(ISAGCA)는 IEC가 이 표준을 "수평적(horizontal)" 표준으로 인정했다고 발표했다. 이는 산업제어 분야에 국한되지 않고 자동차를 포함한 다양한 산업에 기술 독립적으로 적용 가능한 기반 표준으로 격상됐다는 의미다.
자동차 업계에 ISO/SAE 21434가 있다면, 산업제어 분야에는 IEC 62443이 있다. 자동차 OEM과 Tier 1 입장에서 이 표준이 중요한 이유는 단순하다 — 차량을 만드는 공장 자체가 IACS이기 때문이다.
왜 만들어졌는가 — 폐쇄망에서 연결된 공장으로
과거 공장은 외부 인터넷과 거의 연결되지 않는 폐쇄망 구조였다. PLC, 산업용 네트워크, HMI가 격리된 환경에서 동작했다. 이런 환경에서는 보안보다 가용성과 안전이 우선이었다 — 애초에 외부에서 접근할 경로가 없었기 때문이다.
Industry 4.0, Smart Factory, IIoT(Industrial IoT)가 확산되면서 상황이 바뀌었다. 공장이 MES, ERP, 클라우드, 인터넷과 연결되기 시작했다.
⚠️ 이 변화를 보여준 실제 사건들
Stuxnet(이란 핵시설 원심분리기 공격), Colonial Pipeline(미국 송유관 랜섬웨어로 인한 가동 중단), Triton(석유화학 안전계기시스템 공격), NotPetya(머스크를 비롯한 글로벌 제조·물류 기업 마비) — 산업 제어 시스템이 더 이상 "물리적으로 격리되어 있으니 안전하다"고 가정할 수 없다는 것을 보여준 사건들이다. 2017년 사우디아라비아 석유화학 공장 사건에서는 안전계기시스템(SIS)이 물리적으로 격리되어 있었음에도 원격 접근 경로를 통해 공격자가 침투한 사례도 있다.
Stuxnet(이란 핵시설 원심분리기 공격), Colonial Pipeline(미국 송유관 랜섬웨어로 인한 가동 중단), Triton(석유화학 안전계기시스템 공격), NotPetya(머스크를 비롯한 글로벌 제조·물류 기업 마비) — 산업 제어 시스템이 더 이상 "물리적으로 격리되어 있으니 안전하다"고 가정할 수 없다는 것을 보여준 사건들이다. 2017년 사우디아라비아 석유화학 공장 사건에서는 안전계기시스템(SIS)이 물리적으로 격리되어 있었음에도 원격 접근 경로를 통해 공격자가 침투한 사례도 있다.
이런 사건들 이후 IEC 62443은 사실상 산업 보안의 글로벌 기준이 됐다. 자동차, 전력, 석유화학, 의료 등 다양한 분야의 OT 환경에 적용되고 있다.
OT 보안은 IT 보안과 우선순위가 다르다
이 표준을 이해하는 핵심은 OT(Operational Technology)와 IT의 우선순위가 정반대라는 것이다.
일반 IT 환경
1
기밀성 (Confidentiality)
2
무결성 (Integrity)
3
가용성 (Availability)
OT 환경 (IEC 62443)
1
가용성 (Availability)
2
무결성 (Integrity)
3
기밀성 (Confidentiality)
💡 왜 순서가 뒤바뀌는가
은행 서버가 1시간 멈추면 불편함이 생긴다. 자동차 생산 라인의 PLC가 1시간 멈추면 막대한 손실이 발생하고, 발전소 제어 시스템이 멈추면 정전으로 이어질 수 있다. OT 보안에서 가장 중요한 것은 "해킹을 막는 것"이 아니라 "공장을 멈추지 않게 하는 것"이다. Rockwell Automation도 OT 환경에서는 암호화 처리로 인한 지연(latency)이 "Stop" 명령을 100밀리초 지연시켜 실제 안전사고로 이어질 수 있다고 설명한다 — IT에서는 영상통화가 느려지는 정도의 문제가 OT에서는 안전 문제가 된다.
은행 서버가 1시간 멈추면 불편함이 생긴다. 자동차 생산 라인의 PLC가 1시간 멈추면 막대한 손실이 발생하고, 발전소 제어 시스템이 멈추면 정전으로 이어질 수 있다. OT 보안에서 가장 중요한 것은 "해킹을 막는 것"이 아니라 "공장을 멈추지 않게 하는 것"이다. Rockwell Automation도 OT 환경에서는 암호화 처리로 인한 지연(latency)이 "Stop" 명령을 100밀리초 지연시켜 실제 안전사고로 이어질 수 있다고 설명한다 — IT에서는 영상통화가 느려지는 정도의 문제가 OT에서는 안전 문제가 된다.
IEC 62443의 구조 — 4개 그룹
IEC 62443은 단일 문서가 아니라 여러 파트로 구성된 표준 패밀리다. 크게 4개 그룹으로 나뉘며, 각 그룹은 서로 다른 대상(공급자, 시스템 통합자, 자산 운영자)을 위해 작성됐다.
그룹 1 — General (62443-1-x)
기본 개념
대상: 전체 표준 이용자
용어 정의, 보안 모델, Zone & Conduit 같은 전체 시리즈 공통 개념을 정의한다.
그룹 2 — Policies & Procedures (62443-2-x)
운영 조직의 보안 프로그램
대상: 자산 운영자(Asset Owner)
보안 정책, 패치 관리, 보안 관리체계(CSMS) 구축 요구사항. 자동차의 CSMS·ISMS와 개념적으로 가장 가까운 영역이다.
그룹 3 — System (62443-3-x)
시스템 설계 요구사항
대상: 시스템 통합자(System Integrator)
공장 시스템 설계, Zone & Conduit 기반 리스크 평가와 Security Level 할당. 표준에서 가장 많이 인용되는 부분이다.
그룹 4 — Component (62443-4-x)
제품 자체 요구사항
대상: 컴포넌트 제조사(Vendor)
PLC, Gateway, HMI, Controller 등 개별 제품의 보안 개발 생명주기(62443-4-1)와 기술 요구사항(62443-4-2).
Zone & Conduit — SDV Zonal Architecture와 닮은 개념
IEC 62443에서 가장 유명한 개념은 Zone과 Conduit이다.
ℹ️ Zone과 Conduit의 정의
Zone — 유사한 보안 요구사항을 공유하는 자산들의 논리적·물리적 집합. 기능적, 논리적, 물리적 관계를 기준으로 그룹화한다.
Conduit — Zone과 Zone 사이의 통신 경로. 서로 다른 보안 수준을 가진 Zone들이 공존할 수 있도록 보안 기능을 제공하며, 통과하는 트래픽을 엄격하게 통제한다.
Zone — 유사한 보안 요구사항을 공유하는 자산들의 논리적·물리적 집합. 기능적, 논리적, 물리적 관계를 기준으로 그룹화한다.
Conduit — Zone과 Zone 사이의 통신 경로. 서로 다른 보안 수준을 가진 Zone들이 공존할 수 있도록 보안 기능을 제공하며, 통과하는 트래픽을 엄격하게 통제한다.
Zone & Conduit 구조 예시
Office
Network
Network
→ Conduit (방화벽) →
Factory
Network
Network
→ Conduit →
PLC
Zone
Zone
일반 IT 네트워크에서는 공격자가 한 번 침투하면 내부에서 자유롭게 이동(lateral movement)할 수 있다. IEC 62443 기반 네트워크에서는 공격자가 한 Zone 안에 갇혀 핵심 안전 제어기까지 도달하지 못하도록 설계한다.
❌ Zone & Conduit은 산업제어 분야만의 독자적인 개념이다
✅ SDV의 Zonal Architecture가 사실 이 개념과 매우 유사한 구조다
이전 글("ECU 하나가 해킹되면 차량 전체가 위험할까")에서 다룬 Zone Controller 기반 차량 아키텍처를 떠올리면 된다. 보안 수준이 같은 영역을 Zone으로 묶고, Zone 간 통신을 Zone Controller(=Conduit 역할)가 통제해 침해 확산을 막는다는 발상이 본질적으로 같다. 산업제어 분야에서 수십 년간 검증된 네트워크 분리 철학이 차량 아키텍처에도 적용되고 있는 셈이다.
Security Level — ASIL과 비슷하지만 다른 개념
IEC 62443에는 ASIL과 유사하게 보이는 Security Level(SL) 개념이 있다. 4단계로 구성된다.
SL 1
우발적·비의도적 공격으로부터 보호
SL 2
단순한 수단을 가진 의도적 공격자로부터 보호
SL 3
정교한 수단과 보통 수준의 자원을 가진 공격자로부터 보호
SL 4
정교한 수단, 풍부한 자원, 높은 동기를 가진 공격자로부터 보호
⚠️ ASIL과 다른 점 — SL은 3가지로 세분화된다
ASIL은 보통 하나의 목표 등급으로 다뤄지지만, IEC 62443의 SL은 세 가지로 구분된다.
SL-T (Target) — 자산 운영자가 리스크 평가를 통해 정하는 목표 보안 수준
SL-C (Capability) — 시스템·컴포넌트가 추가 보완 조치 없이 자체적으로 갖춘 기술적 보안 역량
SL-A (Achieved) — 실제 운영 환경에서 측정된 달성 보안 수준
목표(SL-T)와 실제 제품이 가진 역량(SL-C)이 다를 수 있고, 부족한 부분은 보완 대책(Compensating Countermeasure)으로 채울 수 있다는 점이 특징이다. 레거시 장비처럼 기술적 요구사항을 직접 충족할 수 없는 경우를 위한 현실적인 장치다.
ASIL은 보통 하나의 목표 등급으로 다뤄지지만, IEC 62443의 SL은 세 가지로 구분된다.
SL-T (Target) — 자산 운영자가 리스크 평가를 통해 정하는 목표 보안 수준
SL-C (Capability) — 시스템·컴포넌트가 추가 보완 조치 없이 자체적으로 갖춘 기술적 보안 역량
SL-A (Achieved) — 실제 운영 환경에서 측정된 달성 보안 수준
목표(SL-T)와 실제 제품이 가진 역량(SL-C)이 다를 수 있고, 부족한 부분은 보완 대책(Compensating Countermeasure)으로 채울 수 있다는 점이 특징이다. 레거시 장비처럼 기술적 요구사항을 직접 충족할 수 없는 경우를 위한 현실적인 장치다.
자동차 업계와의 관계 — 직접 연결은 아니지만 같이 간다
ISO/SAE 21434와 IEC 62443은 적용 대상이 다르다. 21434는 차량(제품)을, 62443은 공장(생산 환경)을 다룬다. 법적으로 직접 연결되어 있지는 않다.
하지만 실제로 글로벌 Tier 1들은 두 표준을 모두 다룬다. 제품은 ISO/SAE 21434 기반으로 개발하고, 그 제품을 만드는 공장은 IEC 62443 기반으로 보호하는 구조다.
ℹ️ Bosch와 Canonical이 공개적으로 밝힌 연관성
Bosch는 자사 산업 사이버보안 대응에서 IEC 62443을 OT 시스템과 데이터를 보호하는 핵심 프레임워크로 명시하고 있다.
Ubuntu 개발사 Canonical은 ISO 26262·ISO/SAE 21434 같은 자동차 표준에서 쌓은 경험이 IEC 62443 준수 역량으로 전환 가능하다고 설명하며, 그 근거로 라이프사이클 관리, 리스크 평가, 안전과 보안의 통합이라는 공통 원칙을 들었다.
Bosch는 자사 산업 사이버보안 대응에서 IEC 62443을 OT 시스템과 데이터를 보호하는 핵심 프레임워크로 명시하고 있다.
Ubuntu 개발사 Canonical은 ISO 26262·ISO/SAE 21434 같은 자동차 표준에서 쌓은 경험이 IEC 62443 준수 역량으로 전환 가능하다고 설명하며, 그 근거로 라이프사이클 관리, 리스크 평가, 안전과 보안의 통합이라는 공통 원칙을 들었다.
| 구분 | ISO/SAE 21434 | IEC 62443 |
|---|---|---|
| 보호 대상 | 차량(제품) | 공장·산업 제어 시스템(생산 환경) |
| 핵심 산출물 | TARA, Cybersecurity Case | Zone & Conduit 설계, SL-T/SL-C/SL-A |
| 관리체계 명칭 | CSMS | CSMS (같은 용어, 다른 범위) |
| 우선순위 | 차량 기능 안전과 보안의 균형 | 가용성(생산 중단 방지) 최우선 |
| 공통 원칙 | 리스크 기반 접근, 생애주기 관리, 공급망 보안 요구사항 전달 | |
💡 한 문장으로 정리하면
21434는 차량을 보호하고, 62443은 그 차량을 만드는 공장을 보호한다.
21434는 차량을 보호하고, 62443은 그 차량을 만드는 공장을 보호한다.
SDV 시대 — 공장과 차량의 경계가 흐려지는 지점
SDV가 확산되면서 공장과 차량의 보안 경계가 점점 모호해지는 영역이 생기고 있다. 차량 생산 공장 안에서도 OTA 서버, PKI 인프라, Key Provisioning 시스템이 운영되기 때문이다.
공장 안에서 21434와 62443이 만나는 지점
1
Key Provisioning 시스템 — 생산 라인에서 ECU에 암호키를 주입하는 Secure Flash Tool은 IEC 62443 관점에서는 공장 네트워크 안의 OT 자산이고, 동시에 21434 관점에서는 차량 보안 신뢰 체계의 출발점이다.
2
RA(Registration Authority) 시스템 — 생산 라인에서 ECU의 신원을 검증하고 인증서 발급을 요청하는 시스템도 공장 네트워크에 위치한다. 이 시스템이 침해되면 위조된 인증서가 정상 ECU에 주입될 수 있다.
3
생산 라인 자체가 보안 자산이 된다 — Production Control Plan에 명시된 보안 요구사항(Secure Boot 활성화, 키 주입 절차 등)이 실제로 수행되는 물리적 공간이 공장이다. 이 공간의 가용성과 무결성이 흔들리면 차량 보안 신뢰 체계 전체가 영향을 받을 수 있다.
⚠️ 왜 이 경계가 중요한가
공장 네트워크가 랜섬웨어에 감염돼 생산이 멈추면, 단순히 매출 손실로 끝나지 않는다. Key Injection 프로세스가 중단되거나, 비정상 상태에서 강제로 재가동되는 과정에서 보안 절차가 생략될 위험이 있다. 21434 관점의 TARA가 "생산 단계 위협"을 다룰 때, 그 위협의 상당 부분은 실제로는 62443이 다루는 영역과 겹친다.
공장 네트워크가 랜섬웨어에 감염돼 생산이 멈추면, 단순히 매출 손실로 끝나지 않는다. Key Injection 프로세스가 중단되거나, 비정상 상태에서 강제로 재가동되는 과정에서 보안 절차가 생략될 위험이 있다. 21434 관점의 TARA가 "생산 단계 위협"을 다룰 때, 그 위협의 상당 부분은 실제로는 62443이 다루는 영역과 겹친다.
🔧 현업에서 느끼는 것들
차량 보안 엔지니어와 공장 보안 엔지니어가 서로 다른 언어를 쓴다 — 21434 엔지니어는 TARA, Cybersecurity Goal을 이야기하고, 62443 엔지니어는 Zone, Conduit, SL-T를 이야기한다. 같은 회사 안에서도 두 팀의 용어와 우선순위(보안 vs 가용성)가 달라서 Key Provisioning처럼 두 영역이 겹치는 지점에서 협업이 매끄럽지 않은 경우가 있다.
레거시 설비가 OT 보안의 현실적인 제약이다 — 자동차 생산 라인의 PLC와 제어 장비는 수명이 매우 길다. 보안 패치를 적용하기 어려운 구형 장비("Brown-field" 설비)가 여전히 운영되는 경우가 많고, IEC 62443의 보완 대책(Compensating Countermeasure) 개념이 이런 현실을 반영한 것이다.
62443 인증은 누구를 위한 것인지 명확히 구분해야 한다 — 부품 제조사(Vendor)는 62443-4-1 기반 인증을, 시스템 통합자는 62443-2-4 기반 인증을 받는다. 자동차 Tier 1이 PLC나 생산 설비를 직접 만드는 것이 아니라면 4-x 인증 대상이 아닐 수 있다 — 오히려 설비 공급사가 인증 대상이고, Tier 1은 운영자(Asset Owner)로서 2-x 영역의 보안 프로그램을 갖추는 것이 더 중요하다.
ISO/SAE 21434가 답하는 질문은 "이 차량을 신뢰할 수 있는가"다.
IEC 62443이 답하는 질문은 "이 차량을 만든 공장을 신뢰할 수 있는가"다.
SDV 시대에는 이 두 질문이 점점 같은 곳에서 만나고 있다 — 공장 안의 PKI, Key Provisioning, OTA 인프라가 그 접점이다.
핵심 요약
1
IEC 62443은 산업자동화제어시스템(IACS)을 위한 국제 사이버보안 표준이다 — 2021년 IEC가 "수평적 표준"으로 격상시켜 자동차를 포함한 다양한 산업에 적용 가능하다.
2
OT 보안은 가용성을 최우선으로 한다 — IT의 CIA(기밀성·무결성·가용성) 순서가 OT에서는 AIC(가용성·무결성·기밀성)로 뒤바뀐다. "해킹 방지"보다 "공장 멈추지 않기"가 핵심이다.
3
Zone & Conduit은 SDV Zonal Architecture와 발상이 닮았다 — 보안 수준이 같은 영역을 묶고 통신 경로를 통제해 침해 확산을 막는 철학이 동일하다.
4
Security Level은 ASIL과 달리 SL-T/SL-C/SL-A 3가지로 나뉜다 — 목표, 시스템 역량, 실제 달성 수준을 구분하고 보완 대책으로 격차를 메울 수 있는 현실적인 구조다.
5
21434와 62443은 공장 안에서 만난다 — Key Provisioning, RA 시스템처럼 차량 보안의 신뢰 출발점이 동시에 공장의 OT 자산이기도 하다. SDV 시대에 이 접점은 더 중요해진다.
반응형
'차량 사이버보안 > 산업 인사이트' 카테고리의 다른 글
| SDV 시대에는 Tier1이 무엇을 팔게 될까? — 하드웨어 공급사에서 소프트웨어 공급사로 (0) | 2026.06.19 |
|---|---|
| ExVe란 무엇일까? — 자동차 데이터 전쟁의 시작 (0) | 2026.06.16 |
| 티빙 해킹은 자동차 업계와 무슨 상관이 있을까? — 차량은 이제 ECU보다 계정이 더 중요해지고 있다 (1) | 2026.06.15 |
| 차량 사이버보안 인력은 어디서 키울까? — OEM·협력사가 겪는 현실 (0) | 2026.06.01 |
| HSM 없는 MCU ECU, 어떻게 보안할까?— 외장 보안칩을 활용한 현실적인 구조 (0) | 2026.05.28 |