UNECE R155 쉽게 이해하기 — 도대체 뭘 요구하는 규정인가

자동차 사이버보안 규제 이야기 02

이전 편 | 자동차는 언제부터 '보안'을 고민하게 됐을까?

지난 글에서 자동차 업계가 왜 사이버보안 규제를 피할 수 없게 됐는지를 이야기했습니다.

그렇다면 실제 규제는 도대체 뭘 요구하는 걸까요?

"UNECE R155"라는 이름을 처음 들으면 복잡하게 느껴집니다.
하지만 핵심만 보면 생각보다 단순합니다.

"차량 사이버보안을 체계적으로 관리하고, 그걸 증명하라."

이게 전부입니다. 오늘은 그 안을 들여다봅니다.

UN R155는 어디서 나온 규정인가

R155는 유엔 유럽 경제 위원회(UNECE) 산하 자동차 기준 국제 조화 포럼인 WP.29(Working Party 29)에서 만든 규정입니다. "UNECE"나 "WP.29"라는 이름이 낯설더라도, 사실 이 기구는 오래전부터 자동차 안전 기준을 국제적으로 조율해온 곳입니다. 안전벨트 기준, 충돌 테스트 기준도 이곳에서 만들어졌습니다.

2020년, WP.29가 처음으로 사이버보안을 자동차 규정으로 채택했습니다. 그것이 R155입니다. 같은 시기에 소프트웨어 업데이트를 다루는 R156도 함께 채택됐습니다.

WP.29 협약국에는 유럽연합 전체, 한국, 일본, 호주 등이 포함됩니다. 미국은 협약에 가입하지 않았지만, 주요 자동차 제조사들이 글로벌 시장을 겨냥하는 이상 R155를 무시하기 어렵습니다. 사실상 글로벌 표준이 됐습니다.

R155가 요구하는 것 — 딱 두 가지

R155의 요구사항은 복잡해 보이지만 본질은 두 가지로 압축됩니다.

요구 ① CSMS 수립 및 인증

사이버보안 관리 체계(CSMS, Cybersecurity Management System)를 만들고, 인증기관의 심사를 받아 승인을 받아야 합니다. CSMS 인증 없이는 차량 형식 승인을 받을 수 없습니다. OEM이 가장 먼저 부딪히는 관문입니다.

요구 ② 차량 형식별 사이버보안 준수

CSMS를 갖췄다고 끝이 아닙니다. 실제 양산되는 각 차량 모델(Type)에 대해서도 사이버보안 요건이 충족됐음을 별도로 입증해야 합니다. TARA 수행 결과와 그에 따른 보안 대책이 문서로 남아야 합니다.

비유하자면 이렇습니다. 음식점이 영업하려면 두 가지가 필요합니다. 하나는 위생 관리 체계(주방 청결 규정, 식재료 관리 절차 등)를 갖추는 것이고, 다른 하나는 실제로 그 음식점의 음식이 기준을 충족한다는 것을 보건소에 입증하는 것입니다. CSMS 인증이 전자, 차량 형식별 준수가 후자입니다.

CSMS — "체계"라는 게 대체 무슨 뜻인가

CSMS(사이버보안 관리 체계)를 처음 접하는 분들이 가장 많이 하는 질문이 있습니다.

"CSMS가 특정 소프트웨어나 제품인가요?"

아닙니다. CSMS는 도구가 아니라 조직이 사이버보안을 다루는 방식 전체입니다. 누가 책임지는지, 어떤 프로세스로 위협을 분석하는지, 문제가 생기면 어떻게 대응하는지 — 이 모든 것이 포함됩니다.

쉽게 말하면, ISO 9001(품질경영시스템)이 제품 품질을 관리하는 체계라면, CSMS는 차량 사이버보안을 관리하는 체계입니다.

이 변화가 의미하는 바는 생각보다 큽니다. 차량을 개발하고 파는 것으로 끝났던 시대가 지나고, 이제 자동차 회사는 차를 만드는 회사인 동시에 소프트웨어 보안을 지속적으로 운영하는 회사가 되어야 하는 시대가 됐습니다. 제품을 출시한 이후에도 보안 책임이 따라오는 구조로 산업 자체가 바뀐 것입니다.

개념·설계

위협 식별과 위험 평가 — TARA

어떤 자산이 있고, 어떤 공격이 가능하며, 그 위험도가 얼마나 되는지를 체계적으로 분석합니다. 이 결과가 이후 모든 보안 설계의 근거가 됩니다. R155에서 가장 중요한 프로세스입니다.

개발

보안 설계 및 구현

TARA에서 식별된 위험에 맞는 보안 대책을 설계하고 구현합니다. Secure Boot, 게이트웨이 필터링, SecOC 등 앞서 다뤘던 기술들이 이 단계에서 결정됩니다.

검증

사이버보안 테스트 및 검증

설계한 보안 기능이 실제로 동작하는지 검증합니다. 침투 테스트(Penetration Test), Fuzzing, 취약점 스캐닝 등을 수행하고 그 결과를 문서화합니다.

양산·운영

출시 후 모니터링과 대응

차량이 출시된 이후에도 새로운 취약점이 발견되면 추적하고 대응해야 합니다. OTA로 패치를 배포하거나 리콜을 결정하는 절차가 CSMS 안에 포함됩니다. R155가 이전 규제들과 가장 크게 다른 점입니다.

폐기

차량 데이터 보호 및 접근 권한 회수

폐차 시 차량에 저장된 개인정보와 보안 키를 안전하게 처리하고, 원격 접근 권한을 회수하는 절차도 CSMS의 일부입니다.

기존 자동차 개발의 관점은 "출시하면 끝"이었습니다. R155는 이 관점을 근본적으로 바꿉니다. 차량이 도로를 달리는 동안 — 길게는 10년 이상 — OEM의 사이버보안 책임은 계속됩니다.

R155와 ISO 21434 — 둘의 차이가 헷갈린다면

R155를 공부하다 보면 반드시 ISO/SAE 21434가 함께 등장합니다. 둘 다 자동차 사이버보안 이야기인데 무엇이 다를까요?

구분	UN R155	ISO/SAE 21434
성격	법적 규정 (강제)	기술 표준 (권고)
만든 곳	UNECE WP.29 (유엔)	ISO + SAE (국제 표준 기구)
질문	"무엇을 해야 하는가"	"어떻게 해야 하는가"
핵심 내용	CSMS 수립·인증, 차량별 준수 의무	TARA 방법론, 단계별 프로세스, 용어 정의
관계	목표를 제시	목표를 달성하는 방법론을 제시

실무에서는 이 둘을 세트로 씁니다. R155의 요건을 충족하려면 구체적인 방법론이 필요하고, 그 방법론으로 ISO 21434를 사용하는 것이 사실상 업계 표준이 됐습니다. R155 심사를 받을 때 "우리는 ISO 21434 프로세스를 따랐습니다"라고 하면 인증기관도 이해합니다.

누가 R155의 적용을 받는가

R155는 OEM(완성차 제조사)에게만 적용되는 규정처럼 보이지만, 실제로는 공급망 전체에 영향을 미칩니다.

R155 책임의 흐름

OEM
완성차 제조사

→

CSMS 수립·인증
형식 승인 획득
최종 책임 보유

↓

Tier-1
ECU 공급사

→

OEM 사이버보안 요구사항 수령
자체 TARA 수행
보안 기능 구현·검증

↓

Tier-2
SW·부품 공급사

→

Tier-1 요구사항 수령
납품 소프트웨어 보안성 입증

OEM이 형식 승인을 받으려면 공급사들로부터 보안 근거 자료를 받아야 합니다. 자연스럽게 OEM이 Tier-1에, Tier-1이 Tier-2에 사이버보안 요구사항을 전달하는 구조가 됩니다. 규정의 수범자는 OEM이지만, 실질적 영향은 공급망 전체에 미칩니다.

R155에 대한 흔한 오해들

• ❌ 오해

  R155는 특정 보안 기술(Secure Boot 등)을 의무화한다

  ✓ 실제

  R155는 기술을 강제하지 않습니다. "위협을 분석하고 적절히 대응하라"는 원칙을 요구합니다. 어떤 기술을 쓸지는 TARA 결과에 따라 OEM이 결정합니다.
• ❌ 오해

  R155는 "해킹을 완벽하게 막아라"는 규정이다

  ✓ 실제

  현실적으로 모든 공격을 완전히 차단하는 것은 불가능합니다. R155가 요구하는 건 완벽한 보안이 아니라, 공격을 얼마나 체계적으로 관리하고 대응할 수 있는가입니다. 이 차이가 이 규정의 본질입니다.
• ❌ 오해

  CSMS 인증을 받으면 그 차량은 안전하다

  ✓ 실제

  CSMS 인증은 "프로세스가 갖춰져 있다"는 의미입니다. 실제 보안 수준은 그 프로세스를 얼마나 엄격하게 운영하느냐에 달려 있습니다.
• ❌ 오해

  R155는 유럽에만 적용된다

  ✓ 실제

  한국, 일본, 호주 등 WP.29 협약국 전체에 적용됩니다. 한국은 2023년부터 신규 차종 의무화를 시작했습니다. 글로벌 시장을 겨냥하는 제조사라면 사실상 피할 수 없습니다.
• ❌ 오해

  OEM만 준비하면 된다

  ✓ 실제

  ECU를 납품하는 Tier-1, Tier-1에 SW를 공급하는 Tier-2도 OEM의 요구사항을 받아 대응해야 합니다. 공급망 전체의 문제입니다.

현업에서는 실제로 이렇게 대응한다

OEM 사이버보안 요구사항(CSMS 요건) 수령 — OEM은 자사 CSMS에 기반해 공급사에 사이버보안 요구사항을 전달합니다. 어떤 TARA를 수행해야 하는지, 어떤 보안 기능을 구현해야 하는지, 어떤 문서를 제출해야 하는지가 담겨 있습니다. OEM마다 요구 수준과 형식이 달라 Tier-1 입장에서는 대응 부담이 큽니다.

TARA 수행 — ISO 21434 방법론에 따라 자산 식별 → 위협 시나리오 도출 → 공격 가능성·피해 심각도 평가 → 위험도 산정 → 대응 방향 결정의 흐름으로 진행합니다. 이 문서가 이후 모든 보안 설계 결정의 근거가 됩니다.

보안 기능 구현 및 V&V — TARA 결과를 바탕으로 Secure Boot, SecOC, Secure Flash 등 필요한 보안 기능을 구현하고 검증합니다. 검증 결과는 OEM에게 증거로 제출됩니다.

취약점 모니터링 체계 구축 — 양산 이후에도 CVE(공통 취약점 등재 목록)를 추적하고, 사용 중인 오픈소스·라이브러리에 새로운 취약점이 발견되면 OEM에 보고하고 패치를 준비하는 체계가 필요합니다. 이 부분이 많은 공급사에 아직 낯선 영역입니다.

마무리

R155는 특정 기술을 강제하는 규정이 아닙니다. "사이버보안을 체계적으로 관리하고, 그 증거를 남겨라"는 요구입니다. 그리고 그 관리는 차량을 개발하는 순간부터 도로에서 사라지는 순간까지 계속됩니다.

단순해 보이지만, 이것이 자동차 업계에 요구하는 변화는 결코 작지 않습니다. 개발 프로세스, 조직 구조, 공급망 관계, 출시 후 운영 방식까지 전부 영향을 받습니다.

핵심 요약

• R155는 UNECE WP.29가 만든 차량 사이버보안 법적 규정이다 — 미충족 시 형식 승인 불가
• 핵심 요구는 두 가지 — CSMS 수립·인증, 차량 형식별 사이버보안 준수
• CSMS는 제품이나 도구가 아니라 조직의 사이버보안 관리 체계 전체다
• 차량 생애주기 전반(개발→양산→운영→폐기)을 커버한다
• R155는 "무엇을", ISO 21434는 "어떻게"를 담당한다 — 실무에서는 세트로 쓰인다
• 직접 적용 대상은 OEM이지만, 공급망 전체(Tier-1, Tier-2)로 영향이 확산된다
• R155 통과는 최소 기준 — 프로세스 존재 여부를 심사하며 실제 보안 수준은 별개다

이 시리즈 다음 글

1

자동차는 언제부터 '보안'을 고민하게 됐을까?

2

UNECE R155 쉽게 이해하기 — 도대체 뭘 요구하는 규정인가  ← 현재 글

3

CSMS는 실제로 무엇을 관리할까 — 현업 관점에서 본 사이버보안 관리 체계

UNECE_R155 차량사이버보안규제 CSMS ISO21434 TARA WP29 자동차보안 형식승인 공급망보안 SDV