차량 사이버보안 회의에서 살아남기 — 실무자가 자주 쓰는 약어 정리(Ver.26.2Q)

차량 사이버보안 용어집 · 분기 업데이트

Ver. 2026.2Q — 2026년 2분기 기준

차량 사이버보안 회의에 처음 들어가면 이런 느낌을 받습니다.

실제 회의에서 들리는 말

회의실

"TARA는 끝났고 CSMS Audit 대응하면서 SUMS랑 VTA Work Product도 정리해야 하고, SecOC Key Provisioning은 HSM 구조 기준으로 다시 검토해주세요. MISRA Mandatory는 몇 개 남았죠?"

단어 하나하나가 영어 약어인데 다들 너무 자연스럽게 사용합니다. 그리고 이 약어들은 단순 IT 보안 용어가 아니라 자동차 규제, ECU 개발, OTA, 암호학, 양산 프로세스, 공급망이 전부 섞여 있습니다.

이 글은 차량 사이버보안 실무에서 자주 등장하는 약어들을
실무 관점으로 정리한 용어집입니다.
분기별로 업데이트 예정입니다.

업데이트 이력

2026.2Q

최초 발행. 6개 카테고리, 40+ 용어 정리. SDV·신규 키워드 섹션 추가.

---

📋

1. 규제 · 인증 관련

6개 용어

약어	풀네임	실무 의미
R155	UNECE Cybersecurity Regulation 유럽 경제 위원회 사이버보안 규제	차량 사이버보안의 핵심 국제 규제. CSMS 인증과 차량 형식 승인(VTA)을 요구한다. 이 규제가 없으면 유럽·한국 등 일부 국가에서 신차 판매 불가.
R156	UNECE Software Update Regulation 소프트웨어 업데이트 규제	OTA 및 소프트웨어 업데이트 전반을 규율. SUMS 인증 요구. R155와 쌍으로 움직인다.
CSMS	Cybersecurity Management System 사이버보안 관리 시스템	OEM·공급망 전체의 보안 운영 체계. "조직 인증"에 해당. 한 번 받으면 끝이 아니라 지속 운영·감사가 필요하다.
SUMS	Software Update Management System 소프트웨어 업데이트 관리 시스템	R156이 요구하는 소프트웨어 업데이트 운영 체계. OTA 보안 절차 전반을 포함.
VTA	Vehicle Type Approval 차량 형식 승인	"차량 인증"에 해당. CSMS(조직)와 다르다. 특정 차종이 규제 요구사항을 충족하는지 승인받는 절차.
CoP	Conformity of Production 생산 적합성	양산 이후에도 인증 당시와 동일한 보안 수준을 유지하는지 확인하는 개념. 1회 인증으로 끝나지 않는다는 걸 보여주는 요소.

⚠️ 혼동 주의

CSMS vs VTA — CSMS는 "조직(OEM·공급사)이 보안을 제대로 운영하는가", VTA는 "이 차종이 규제 요구사항을 충족하는가"입니다. 둘은 완전히 다른 개념인데 현업에서 자주 혼용됩니다.

---

🔄

2. 개발 프로세스 · 엔지니어링

8개 용어

약어	풀네임	실무 의미
TARA	Threat Analysis and Risk Assessment 위협 분석 및 리스크 평가	보안 요구사항의 출발점. "어떤 위협이 있고, 얼마나 위험한가"를 분석한다. 설계 변경이 생기면 TARA도 업데이트돼야 한다.
CAL	Cybersecurity Assurance Level 사이버보안 보증 수준	1~4 등급. 높을수록 더 엄격한 보안 활동이 요구된다. ASIL과 비슷한 개념이지만 보안 전용.
CIA	① Confidentiality / Integrity / Availability 기밀성·무결성·가용성 ② Cybersecurity Interface Agreements 사이버보안 인터페이스 합의서	① 보안의 3대 속성. TARA에서 위협 영향도를 분류할 때 이 3가지 기준으로 평가한다. ② ISO/SAE 21434 용어. OEM과 협력사 간 보안 역할·책임·인터페이스를 명시한 합의 문서. 공급망 보안 요구사항 전달의 공식 수단으로 사용된다.
V&V	Verification & Validation 검증 및 유효성 확인	Verification = "제대로 만들었는가", Validation = "맞는 걸 만들었는가". 보안 요구사항 충족 여부를 증명하는 최종 단계.
WP	Work Product 작업 산출물	ISO/SAE 21434가 요구하는 보안 산출물 문서. TARA 보고서, 보안 요구사항, 테스트 결과 등이 모두 WP에 해당.
OEM	Original Equipment Manufacturer 완성차 제조사	현대차, BMW, Toyota 같은 완성차 메이커. 공급망 보안 요구사항을 협력사에 내려준다.
Tier-1	1차 협력사	OEM에 직접 납품하는 공급사. ECU, 모듈 단위로 납품. 보안 요구사항을 직접 받는다.
Tier-2	2차 협력사	Tier-1에 납품하는 공급사. 최근 OEM 보안 요구사항이 Tier-2까지 내려오는 추세.

💡 최근 실무에서는 "기능 개발"보다 "Traceability 관리"가 더 어렵다는 이야기가 많습니다. Concept → Requirement → Implementation → V&V까지 연결이 끊기면 Audit에서 바로 지적됩니다.

---

🔒

3. ECU · 차량 보안 기술

7개 용어

약어	풀네임	실무 의미
HSM	Hardware Security Module 하드웨어 보안 모듈	MCU 내부의 독립된 보안 영역. 암호키를 안전하게 보관하고 암호 연산을 처리한다. 없으면 Key가 일반 Flash에 노출되는 위험이 생긴다.
SHE	Secure Hardware Extension 보안 하드웨어 확장	HSM보다 경량화된 보안 기능. AES-128 중심. Classic AUTOSAR ECU에서 많이 사용.
TEE	Trusted Execution Environment 신뢰 실행 환경	AP(Linux SoC)의 격리된 보안 실행 환경. HSM이 없는 MCU의 보안을 AP TEE가 보완하는 구조로도 사용된다.
RoT	Root of Trust 신뢰의 출발점	보안 체계의 최초 신뢰 기반. Secure Boot, Key 보호, 인증 구조가 모두 여기서 시작된다.
Secure Boot	Secure Boot 보안 부팅	부팅 시 Firmware 무결성을 검증해 변조된 코드 실행을 막는다. RoT가 없으면 Secure Boot도 의미가 없다.
SecOC	Secure Onboard Communication 차량 내 보안 통신	AUTOSAR 표준 메시지 인증 프레임워크. CAN 메시지에 MAC을 붙여 위변조를 방지한다. Key 관리가 핵심.
Secure Flash	Secure Flash 보안 플래시	접근 제어가 적용된 Flash 영역. Key, 보안 설정값 등을 일반 코드에서 직접 읽거나 쓰지 못하게 한다.

✅ SDV 시대 보안 핵심 흐름

Key Protection → HSM / 외장 보안칩 → Secure Boot → OTA 인증 → PKI → Root of Trust

결국 "Key를 어떻게 보호하느냐"가 모든 보안 구조의 중심입니다.

---

🔑

4. 암호학 · 인증

9개 용어

약어	풀네임	실무 의미
PKI	Public Key Infrastructure 공개키 기반 구조	인증서를 기반으로 신뢰를 구축하는 체계. OTA 인증, Secure Debug, V2X에서 핵심 인프라.
CA	Certificate Authority 인증기관	인증서를 발급·관리하는 기관. OEM이 자체 CA를 운영하는 경우도 있다.
CSR	Certificate Signing Request 인증서 서명 요청	ECU나 장치가 CA에게 인증서 발급을 요청하는 데이터. Key Provisioning 과정에서 등장.
AES	Advanced Encryption Standard 대칭키 암호 알고리즘	SecOC MAC, TLS 세션키, Secure Flash 암호화에 사용. 빠르고 구현 부담이 낮다.
RSA	Rivest–Shamir–Adleman 비대칭키 알고리즘	Firmware 서명, 인증서 기반 인증에 사용. 연산 부담이 크다.
ECC	Elliptic Curve Cryptography 타원 곡선 암호	RSA보다 짧은 키 길이로 동등한 보안 강도. 차량 PKI에서 증가 추세. MCU 리소스 부담도 낮다.
MAC	Message Authentication Code 메시지 인증 코드	메시지 위변조를 탐지하는 값. SecOC의 핵심. Key 없이는 MAC 위조 불가.
TRNG	True Random Number Generator 진성 난수 생성기	예측 불가능한 진짜 난수를 생성. 암호 키 생성, Challenge-Response 인증의 기반.
KDF	Key Derivation Function 키 파생 함수	마스터 키에서 용도별 하위 키를 생성하는 함수. 하나의 키로 여러 보안 기능을 분리 운영할 때 사용.

---

📡

5. OTA · SDV · 클라우드

8개 용어

약어	풀네임	실무 의미
OTA	Over-The-Air 무선 업데이트	차량을 공장에 입고하지 않고 무선으로 소프트웨어를 업데이트하는 방식. 보안 없이는 악성 FW 주입 경로가 된다.
FOTA	Firmware OTA 펌웨어 무선 업데이트	ECU Firmware를 OTA로 업데이트. 서명 검증과 Rollback 방지가 필수.
SOTA	Software OTA 소프트웨어 무선 업데이트	Application, 설정값 등을 OTA로 업데이트. FOTA보다 빈번하게 발생.
SDV	Software Defined Vehicle 소프트웨어 중심 차량	하드웨어보다 소프트웨어가 차량 기능을 결정하는 구조. OTA·클라우드·AI가 핵심 요소. 보안 범위가 기존 ECU를 훨씬 넘어선다.
TCU	Telematics Control Unit 텔레매틱스 제어 장치	차량의 LTE/5G 통신을 담당하는 ECU. 외부 공격 진입점으로 자주 분석 대상이 된다.
SoC	System on Chip 시스템 온 칩	CPU·GPU·메모리가 하나에 통합된 고성능 칩셋. SDV AP에 사용. TEE를 내장하는 경우가 많다.
ExVe	Extended Vehicle 확장 차량	OEM 서버를 통해 차량 데이터에 접근하는 구조. 제3자의 직접 접근을 OEM이 통제한다.
SBOM	Software Bill of Materials 소프트웨어 구성 목록	차량 SW에 포함된 라이브러리·컴포넌트 목록. OSS 취약점 관리, 공급망 보안의 출발점. 2026 주목

---

🧪

6. 시큐어코딩 · V&V

7개 용어

약어	풀네임	실무 의미
MISRA	Motor Industry Software Reliability Association 자동차 소프트웨어 신뢰성 협회	차량 임베디드 C/C++ 코딩 표준. Mandatory·Required·Advisory 3등급. 위반 수천 건이 실제 프로젝트에서 흔하게 나온다.
CERT-C	CERT C Coding Standard CERT C 코딩 표준	보안 중심 C 코딩 표준. MISRA와 함께 적용되는 경우가 많다.
CWE	Common Weakness Enumeration 공통 취약점 분류	소프트웨어 취약점 유형을 번호로 분류한 목록. Static Analysis 결과와 매핑해서 사용.
SAST	Static Application Security Testing 정적 애플리케이션 보안 테스트	코드를 실행하지 않고 소스 분석으로 취약점을 찾는 방식. Coverity, Polyspace 등이 대표적.
DAST	Dynamic Application Security Testing 동적 애플리케이션 보안 테스트	실제 실행 중에 공격을 시뮬레이션해서 취약점을 찾는 방식. Fuzz Testing이 대표적.
Pentest	Penetration Test 침투 테스트	실제 공격자 관점에서 ECU·시스템을 공격해보는 테스트. V&V 단계 필수 항목.
CVE	Common Vulnerabilities and Exposures 공개 취약점 목록	공개된 보안 취약점 번호 체계. OSS 컴포넌트 취약점 관리, SBOM 연계에서 중요.

---

🆕

7. 2026년 — 새롭게 자주 등장하는 키워드

5개 용어

기존 ECU 보안 용어 외에도 SDV·AI 중심 용어들이 빠르게 늘어나고 있습니다.

약어	의미	왜 중요해졌나
IDS주목	Intrusion Detection System 침입 탐지 시스템	차량 내·외부 이상 트래픽을 실시간 탐지. R155 양산 이후 운영 체계에서 중요도가 급상승 중.
PQC주목	Post Quantum Cryptography 양자내성암호	양자 컴퓨터로도 깨지지 않는 암호 알고리즘. 차량 수명이 10~15년인 점을 감안하면 지금부터 고려가 필요하다는 논의가 시작됐다.
Hypervisor주목	Hypervisor 가상화 계층	SDV 중앙집중형 구조의 핵심. 하나의 SoC에서 여러 OS·도메인을 격리 운영. 보안 도메인 분리에 활용.
VSOC주목	Vehicle Security Operations Center 차량 보안 운영 센터	차량 사이버 위협을 실시간 모니터링·대응하는 조직·시스템. R155 양산 이후 운영 체계 요구사항과 직결.
SBOM주목	Software Bill of Materials 소프트웨어 구성 목록	차량 SW의 모든 컴포넌트 목록. CVE 취약점 관리, 공급망 투명성 요구가 강화되면서 OEM이 납품 요건으로 요구하기 시작했다.

💡 특히 중국 OEM과 SDV 플랫폼 업체들은 Hypervisor·Container·VSOC 구조를 빠르게 확대 중입니다. 글로벌 OEM도 VSOC 체계 구축이 화두입니다.

---

현업에서 특히 자주 나오는 말들

실무자 체감 TOP 5

"TARA 업데이트 됐나요?" — 기능·설계 변경이 생길 때마다 나오는 질문. TARA는 한 번 만들고 끝이 아니다.

"Traceability 연결해주세요" — Requirement ↔ 구현 ↔ Testcase 연결 요구. V&V 막바지에 가장 많이 나온다.

"CSMS Audit 대응 필요합니다" — OEM·인증기관 Audit 대응. 서류만 있고 연결이 없으면 바로 지적된다.

"HSM 없는 MCU인데 대응 가능할까요?" — 외장 보안칩, AP TEE 활용 등 현실적인 보안 구조 논의로 이어진다.

"Mandatory Rule 몇 개 남았죠?" — MISRA 시큐어코딩 대응 현실. 수천~수만 건이 나오는 게 흔하다.

---

마무리

차량 사이버보안 실무는
"보안 기술"만의 영역이 아닙니다.

규제, 개발 프로세스, ECU 아키텍처, OTA, 암호학,
공급망 전체가 연결된 분야입니다.

회의에서 등장하는 약어 하나에도
실제 프로젝트의 방향과 규제 요구사항이 담겨 있습니다.

다음 업데이트 예정 (Ver.2026.3Q)

추가 예정

V2X 보안 관련 용어, AUTOSAR Adaptive 보안 용어, AI 기반 보안 분석 관련 용어

이 글 한 줄 요약

1

규제 : R155·CSMS·VTA·SUMS·CoP — CSMS(조직)와 VTA(차량)는 다른 개념이다

2

프로세스 : TARA·CAL·CIA·V&V·WP — Traceability가 없으면 Audit에서 무너진다

3

ECU 기술 : HSM·TEE·RoT·SecOC·Secure Boot — 결국 Key Protection이 중심이다

4

암호 : PKI·AES·ECC·MAC·TRNG·KDF — 차량 PKI에서 ECC 비중이 빠르게 늘고 있다

5

2026 신규 주목 : IDS·PQC·Hypervisor·VSOC·SBOM — SDV 운영 체계와 공급망 투명성 키워드

차량사이버보안 자동차보안용어 CSMS R155 SDV OTA HSM TARA VTA SecOC PKI MISRA SBOM VSOC