CSMS 인증을 받으면 VTA(차량 형식승인)도 끝난 걸까?

차량 사이버보안 트렌드

"우리 회사 CSMS 인증 받았어요. 그럼 이제 형식승인도 통과한 거 아닌가요?"

현장에서 실제로 듣는 질문입니다.
CSMS 인증을 받기 위해 많은 노력을 쏟았으니 그렇게 생각할 만합니다.

하지만 결론부터 말하면, 아닙니다.

CSMS 인증과 차량 형식승인(VTA)은 별개의 절차입니다.
둘 다 R155가 요구하는 것이지만, 심사 대상도, 기준도, 주체도 다릅니다.

이 차이를 모르면 CSMS 인증을 받고도
정작 차량을 팔지 못하는 상황이 생길 수 있습니다.

R155가 요구하는 두 가지 — CSMS와 VTA

UN R155는 차량 사이버보안과 관련해 OEM에게 크게 두 가지를 요구합니다. 이 두 가지는 각각 독립적인 절차이고, 둘 다 충족해야 차량을 판매할 수 있습니다.

첫 번째 요구사항

CSMS 인증 (CoC)
Certificate of Compliance

심사 대상: OEM 조직의 프로세스와 체계

질문: "사이버보안을 관리할 수 있는 체계를 갖췄는가?"

한 번 인증받으면 모든 차종에 적용

유효기간 3년, 정기 재심사 필요

회사 단위 인증

두 번째 요구사항

차량 형식승인
(Vehicle Type Approval, VTA)

심사 대상: 특정 차종의 실제 구현 내용

질문: "이 차량이 실제로 사이버보안 요건을 충족하는가?"

차종마다 별도로 받아야 함

CSMS 인증이 전제조건

차종 단위 승인

비유하면 이렇습니다. 음식점이 영업하려면 두 가지가 필요합니다. 하나는 주방 위생 관리 체계(HACCP 인증)를 갖추는 것이고, 다른 하나는 실제 영업하는 매장이 위생 기준을 충족한다는 것을 확인받는 것입니다. CSMS 인증이 전자라면, VTA는 후자입니다. HACCP을 받았다고 모든 매장이 자동으로 영업 허가를 받는 게 아닌 것처럼, CSMS 인증이 차량 형식승인을 대체하지 않습니다.

CSMS 인증은 무엇을 보는가

CSMS 인증 심사는 OEM의 조직과 프로세스를 봅니다. 특정 차량의 기술적 구현 내용이 아니라, 사이버보안을 관리할 수 있는 체계가 갖춰져 있는지를 확인합니다.

1

CSMS 심사 항목

위협 분석 프로세스 (TARA)

조직이 체계적인 위협 분석을 수행할 수 있는 프로세스를 보유하고 있는지 확인합니다. TARA 방법론, 절차 문서, 수행 이력이 대상입니다.

2

CSMS 심사 항목

보안 요구사항 관리

TARA 결과를 보안 요구사항으로 연결하고, 개발 전 과정에서 추적 관리하는 프로세스가 있는지 확인합니다.

3

CSMS 심사 항목

공급망 보안 관리

Tier-1·Tier-2 공급사에 보안 요구사항을 전달하고 이행을 확인하는 체계가 있는지 봅니다.

4

CSMS 심사 항목

취약점·인시던트 대응 체계

차량 출시 후 취약점 모니터링, 심각도 평가, 패치 배포 절차가 정의되어 있는지 확인합니다.

5

CSMS 심사 항목

사이버보안 조직·역량

담당 조직, 역할 정의, 교육 훈련, 경영진 보고 체계 등 조직 운영 측면을 검토합니다.

CSMS 심사에서 심사관이 보는 것은 "이 프로세스가 실제로 운영되고 있다는 증거"입니다. 문서만 있고 실제로 수행된 이력이 없으면 심사를 통과하기 어렵습니다. 프로세스와 실제 운영이 일치해야 합니다.

차량 형식승인(VTA)은 무엇을 보는가

VTA는 CSMS와 달리 특정 차종의 실제 구현 내용을 봅니다. 이 차량에서 TARA가 어떻게 수행됐는지, 식별된 위협에 대해 어떤 대책을 적용했는지, 그 대책이 실제로 동작하는지를 증거 자료를 통해 확인합니다.

1

VTA 심사 항목

차종별 TARA 결과

이 차량 시스템에 대해 수행된 TARA 문서를 제출합니다. 어떤 자산을 식별했고, 어떤 위협을 분석했으며, 위험도 평가 근거가 무엇인지를 심사관이 검토합니다.

2

VTA 심사 항목

보안 목표 및 요구사항

TARA에서 도출된 위협에 대한 보안 목표와 구체적인 보안 요구사항이 정의되어 있는지, TARA와 논리적으로 연결되는지 확인합니다.

3

VTA 심사 항목

보안 대책 구현 증거

Secure Boot, SecOC, SGW 등 적용된 보안 기술의 구현 내용과 V&V(검증) 결과를 제출합니다. 요구사항이 실제로 구현됐음을 증명해야 합니다.

4

VTA 심사 항목

Penetration Test 결과

차량 시스템에 대한 침투 테스트 결과와 발견된 취약점 처리 이력을 제출합니다. 미해결 취약점이 있다면 허용 근거가 필요합니다.

5

VTA 심사 항목

공급사 보안 증거

차량에 탑재된 ECU와 소프트웨어를 공급한 Tier-1의 보안 증거 자료(TARA, V&V 결과 등)를 포함해야 합니다. 공급망 전체의 보안 수준을 OEM이 책임집니다.

VTA에서 자주 막히는 지점이 여기입니다. "TARA는 했는데 TARA 결과와 구현 사이의 연결(추적성)이 없다", "Pentest는 했는데 발견된 취약점의 처리 이력이 없다", "공급사 증거 자료를 받지 못했다" — 이런 이유로 VTA 심사가 지연되는 경우가 많습니다.

CSMS vs VTA — 한눈에 비교

구분	CSMS 인증	차량 형식승인 (VTA)
심사 대상	OEM의 조직·프로세스·체계	특정 차종의 기술적 구현 내용
핵심 질문	"사이버보안을 관리할 체계가 있는가?"	"이 차량이 실제로 안전한가?"
적용 범위	회사 전체 (차종 무관)	승인 신청한 특정 차종
유효 기간	3년 (정기 재심사)	해당 차종 생산 기간 동안
선후 관계	VTA의 전제조건	CSMS 인증 후 신청 가능
주요 제출 자료	프로세스 문서, 운영 이력, 조직도	TARA, 보안 요구사항, V&V 결과, Pentest 결과
심사 주기	3년마다 재심사	차종 변경·신규 출시 시마다

CSMS 인증은 VTA의 전제조건입니다. CSMS 없이는 VTA를 신청할 수 없습니다. 하지만 CSMS를 받았다고 VTA가 자동으로 주어지지 않습니다. VTA는 별도의 독립된 심사입니다.

현장에서 자주 보이는 오해들

❌ 오해

CSMS 인증을 받으면 형식승인도 자동으로 된다

✓ 실제

CSMS는 프로세스 인증이고, VTA는 차종별 기술 심사입니다. 완전히 다른 절차입니다. CSMS는 VTA의 필수 전제조건일 뿐입니다.

❌ 오해

CSMS 인증 한 번 받으면 영구적으로 유효하다

✓ 실제

CSMS 인증은 유효기간이 3년입니다. 이후 재심사를 통해 갱신해야 합니다. 그리고 인증 기간 중에도 CSMS가 실제로 운영되고 있다는 증거를 지속적으로 축적해야 합니다.

❌ 오해

VTA는 OEM만 신경 쓰면 된다

✓ 실제

VTA 심사에는 Tier-1·Tier-2 공급사의 보안 증거 자료도 포함됩니다. 공급사가 TARA 결과, V&V 증거를 제출하지 않으면 OEM의 VTA가 지연됩니다. 공급망 전체의 문제입니다.

❌ 오해

어느 한 차종 VTA를 받으면 비슷한 다른 차종은 자동 통과다

✓ 실제

차종마다 시스템 구성과 ECU가 다르기 때문에 별도의 VTA가 필요합니다. 다만 이전 차종과 공유되는 시스템이 많다면 일부 증거 자료를 재활용하는 것은 가능합니다.

Tier-1 입장에서 이 두 가지는 어떻게 보이는가

OEM

CSMS 수립·인증 획득 (회사 전체)

차종별 VTA 신청·획득

공급사 보안 요구사항 정의·전달

공급사 증거 자료 수령·검토

VTA 심사에서 최종 책임

Tier-1

OEM 보안 요구사항 수령

ECU 단위 TARA 수행

보안 기능 구현·V&V

OEM에 증거 자료 제출

자체 CSMS 구축 요구 증가

Tier-2

Tier-1 보안 요구사항 수령

납품 SW 보안성 입증

SBOM 제공

취약점 발견 시 통보 의무

Tier-1 통해 OEM 심사에 간접 기여

Tier-1 입장에서 보면 CSMS 인증과 VTA는 서로 다른 방식으로 영향을 미칩니다. CSMS는 최근 OEM들이 계약 요건으로 자체 CSMS를 요구하는 방향으로 확산되고 있고, VTA는 OEM의 형식승인 심사에 기여하는 기술 증거 자료 제출 의무로 경험됩니다.

현업에서는 실제로 이렇게 경험한다

CSMS 인증 직후 VTA 준비가 예상보다 훨씬 무겁다 — CSMS를 받고 나서 바로 VTA에 들어가려 하면 막히는 경우가 많습니다. CSMS는 "프로세스가 있다"는 것을 증명했지만, VTA는 "이 차종에 실제로 그 프로세스를 적용한 결과"를 요구합니다. 특히 TARA 결과와 구현 사이의 추적성, Pentest 계획과 결과 문서가 갖춰져 있어야 합니다.

공급사 증거 자료 수집이 VTA 일정의 최대 변수다 — OEM이 직접 개발한 부분은 내부에서 증거를 만들 수 있지만, Tier-1에서 납품받은 ECU의 TARA·V&V 결과는 공급사에서 받아야 합니다. 공급사가 준비가 안 되어 있거나 협조가 늦어지면 OEM의 VTA 일정 전체가 밀립니다. 계약 단계부터 보안 증거 제출 의무와 일정을 명확히 해야 합니다.

CSMS 운영 이력이 VTA에서도 확인된다 — VTA 심사에서 "CSMS 인증은 받았지만 실제로 이 차종 개발에 CSMS 프로세스를 어떻게 적용했는가"를 묻기도 합니다. 서류상 CSMS가 아니라 실제로 운영한 이력이 있어야 합니다. CSMS 인증과 VTA 준비를 처음부터 병행하는 게 효율적입니다.

인증기관마다 요구하는 증거 수준이 다르다 — R155는 국제 규정이지만, 실제 심사는 각국 인증기관(TA, Technical Service)이 수행합니다. 인증기관마다 심사 깊이와 요구하는 증거 형식이 다소 다릅니다. 어느 국가 시장을 타깃으로 하는지에 따라 준비 전략이 달라질 수 있습니다.

규제 흐름은 어디로 가고 있는가 — WP.29 CS/OTA TF

최근 WP.29 CS/OTA TF(Task Force) 논의 흐름을 보면 한 가지 방향이 뚜렷합니다. CSMS와 VTA를 더욱 명확히 분리하고, 동시에 둘 모두를 "한 번 받고 끝"이 아닌 지속적 운영으로 강화하는 방향입니다.

구체적으로는 세 가지 흐름이 주목됩니다. 첫째, 생산 이후(Post-Production) 사이버보안 관리 요건이 강화되고 있습니다. 차량이 출시된 이후에도 취약점 모니터링·패치·인시던트 대응이 CSMS 운영의 핵심으로 자리 잡고 있습니다. 둘째, 공급망 추적성(Traceability) 요건이 높아지고 있습니다. OEM이 Tier-1·Tier-2의 보안 활동을 단순 수령하는 게 아니라, 그 추적성까지 책임지는 방향입니다. 셋째, 차량 타입 변경(Major/Minor Change) 시 재심사 범위에 대한 논의가 계속되고 있습니다.

결국 최근 규제 흐름이 가리키는 방향은 같습니다. "문서 인증"보다 "지속적으로 보안을 운영할 수 있는가"를 더 중요하게 보기 시작했습니다. CSMS CoC를 받았다고, VTA를 받았다고 끝이 아닙니다. 차량 생애주기 전체에서 보안을 실제로 관리하는 것이 R155의 본질적인 요구입니다.

마무리

CSMS 인증은 차량 사이버보안 여정의 입장권입니다.
형식승인은 그 여정을 마쳤다는 증명서입니다.
입장권을 받았다고 여정이 끝난 게 아닙니다.

CSMS 인증을 받은 것은 분명히 중요한 성과입니다. 하지만 그것은 시작입니다. 각 차종에 대해 TARA를 수행하고, 보안 기능을 구현하고, 검증하고, 공급사 증거를 모으고, Pentest를 수행하는 과정이 VTA를 향해 쌓여가야 합니다.

그리고 VTA를 받은 이후에도 끝이 아닙니다. 차량이 도로를 달리는 동안 취약점 모니터링, OTA 패치, 인시던트 대응이 계속됩니다. R155는 차량의 생애주기 전체를 커버하는 규정입니다.

핵심 요약

• R155는 CSMS 인증과 차량 형식승인(VTA), 두 가지를 모두 요구한다
• CSMS는 OEM 조직의 프로세스 인증 — "관리 체계가 있는가?"
• VTA는 특정 차종의 기술 심사 — "이 차량이 실제로 안전한가?"
• CSMS는 VTA의 전제조건이지, VTA를 대체하지 않는다
• VTA는 차종마다 별도로 받아야 하며 TARA·V&V·Pentest 결과를 모두 포함한다
• 공급사(Tier-1·Tier-2) 증거 자료도 OEM의 VTA 심사에 포함된다
• CSMS 유효기간은 3년 — 인증 후에도 실제 운영 이력을 지속 축적해야 한다
• VTA 이후에도 취약점 모니터링·패치·인시던트 대응이 계속된다
• WP.29 최신 흐름 — "문서 인증"보다 "지속적 보안 운영"을 더 중요하게 보는 방향으로 강화 중

CSMS인증 차량형식승인 VTA UNECE_R155 ISO21434 차량사이버보안 자기인증 TARA 공급망보안 자동차규제 보안인증