ISO/PAS 8800 — AI 차량 시대의 새로운 안전 표준 — 21434로 부족한 이유, 그 다음은 무엇인가

트렌드 — SDV·AI 시대의 자동차 보안

시리즈 전체 구성

1

이전 글

차량 보안과 AI는 어떻게 만날까?

AI Vehicle 시대, 사이버보안 패러다임의 변화

DONE

2

이전 글

AI가 차량에 들어가면 TARA는 어떻게 바뀔까?

위협 분석·리스크 평가 방법론의 진화

DONE

3

지금 읽는 글

ISO/PAS 8800 — AI 차량 시대의 새로운 안전 표준

21434로 부족한 이유, 그 다음은 무엇인가

NOW

4

다음 글

Safety와 Security는 어디서 만날까?

ISO 26262, 21434, ISO/PAS 8800의 교차점

NEXT

업계에서 자주 듣는 말

"AI도 결국 소프트웨어니까 ISO 26262 적용하면 되는 거 아닌가요?"

"21434로 AI 차량 보안도 커버된다고 보면 안 되나요?"

"ISO/PAS 8800은 아직 초안 수준이라 실무 적용은 먼 얘기 아닌가요?"

"8800이 26262를 대체하는 건가요, 추가되는 건가요?"

자동차 산업은 오랫동안 두 개의 축으로 안전을 관리해 왔다 — ISO 26262로 기능안전을, ISO/SAE 21434로 사이버보안을.

AI가 차량의 의사결정을 담당하기 시작하면서, 이 두 축이 설명하지 못하는 공백이 생겼다. ISO/PAS 8800은 그 공백을 채우기 위해 등장했다.

---

기존 표준이 설명하지 못하는 것

먼저 지금까지 잘 작동해 온 구조를 짚고 넘어가야 한다. ISO 26262는 차량 시스템의 기능 고장(Failure)에 의한 위험을 관리한다. 브레이크 ECU가 오작동하면 어떤 위험이 생기는지, 그 위험을 얼마나 낮춰야 하는지를 체계화한 표준이다. ISO/SAE 21434는 외부 공격자가 시스템에 침투하거나 데이터를 조작하는 위협을 다룬다.

두 표준은 공통적으로 하나의 전제를 공유한다.

💡 기존 두 표준의 공통 전제 — 시스템은 코드 기반으로 동작하고, 위험은 "고장" 또는 "공격"으로부터 발생한다. 입력과 출력 관계가 원칙적으로 추적 가능하다.

AI는 이 전제를 깬다. AI 모델은 수백만 개의 파라미터를 기반으로 확률적 판단을 내리며, 동일한 입력에도 다른 출력이 나올 수 있다. 고장도 없고, 공격도 없는데 잘못된 판단을 내리는 상황 — 기존 두 표준이 직접 다루지 않는 영역이다.

❌ AI도 소프트웨어니까 ISO 26262로 안전을 관리할 수 있다

✅ AI는 코드가 아닌 학습 기반이라 기존 소프트웨어 안전 프레임워크로는 한계가 있다

ISO 26262의 소프트웨어 안전 분석은 코드를 정적으로 검토하고 실행 경로를 추적하는 방식을 기반으로 한다. AI 모델은 완전한 코드 분석이 불가능하고, 학습 데이터와 환경에 따라 동작이 달라진다. 검증 방법론 자체가 달라야 한다.

---

세 표준이 보는 것은 각각 다르다

ISO/PAS 8800이 무엇인지 이해하는 가장 빠른 방법은 세 표준이 각각 어떤 질문에 답하려는지를 비교하는 것이다.

ISO 26262

핵심 질문

"시스템이 고장나면 어떤 위험이 생기는가?"

ECU·센서 고장 시나리오

ASIL 기반 안전 목표

하드웨어·SW 기능 검증

HARA (위험 분석)

ISO/SAE 21434

핵심 질문

"공격자가 시스템을 어떻게 위협할 수 있는가?"

위협 시나리오·공격 경로

TARA 기반 리스크 평가

사이버보안 요구사항

CSMS 운영 체계

ISO/PAS 8800

핵심 질문

"AI의 판단을 얼마나 신뢰할 수 있는가?"

데이터 품질·편향성 관리

모델 검증·재현성

추론 결과 신뢰도

운영 중 모니터링

세 표준은 경쟁 관계가 아니다. 각각 다른 층위의 위험을 담당한다. 26262가 하드웨어·소프트웨어 고장을 보고, 21434가 외부 공격을 보고, 8800은 AI 판단 자체의 신뢰성을 본다.

---

ISO/PAS 8800이 다루는 4가지 영역

ISO/PAS 8800의 핵심 관심사는 AI 시스템이 차량에 탑재되는 전체 생애주기에 걸쳐 있다.

ISO/PAS 8800 핵심 관심 영역

1

데이터 관리 — 학습 데이터의 수집 품질, 편향성 여부, 대표성 확보. 편향된 데이터로 학습한 AI는 특정 환경에서 구조적으로 잘못된 판단을 내린다.

2

모델 개발 및 검증 — 학습 방법론의 적절성, 검증 데이터셋 분리, 재현성 확보. 동일한 조건에서 동일한 결과가 나오는지 추적 가능해야 한다.

3

추론 단계 안전성 — 운행 중 AI가 내리는 판단의 신뢰도 평가. 불확실한 상황에서 AI가 어떻게 행동하는지, ODD(Operational Design Domain) 밖으로 나갔을 때 어떻게 처리되는지를 다룬다.

4

운영 중 모니터링 — 출시 이후 AI 성능 변화 추적, 모델 업데이트 이력 관리, 이상 징후 감지. AI는 환경이 바뀌면 성능이 저하될 수 있고, 이것은 배포 후에도 지속적으로 관리되어야 한다.

---

AI는 고장나지 않아도 위험할 수 있다 — 8800이 필요한 이유

ISO/PAS 8800이 왜 필요한지를 가장 명확하게 보여주는 시나리오가 있다.

기존 표준이 다루지 못하는 AI 위험 구조

정상 카메라
입력

→

정상 동작
AI 모델

→

잘못된
객체 인식

→

위험한
주행 판단

고장(26262 영역) 없음, 공격(21434 영역) 없음 — 그러나 위험 발생 → ISO/PAS 8800의 영역

이 구조에서 ECU는 정상이고, 네트워크도 정상이고, 공격자도 없다. 그러나 AI가 야간 환경이나 특이한 날씨 조건에서 훈련 데이터에 없던 패턴을 만나 잘못된 판단을 내렸다. 26262도, 21434도 이 위험을 직접 다루지 않는다.

⚠️ ODD(Operational Design Domain) 문제

AI는 학습된 환경의 범위 안에서만 신뢰할 수 있다. 야간 강우, 역광, 도로 위 예상치 못한 물체 등 ODD 밖의 상황에서 AI의 판단 신뢰도는 급격히 낮아진다. ISO/PAS 8800은 이 ODD 정의와 ODD 이탈 시 처리를 중요한 안전 요구사항으로 다룬다.

---

Safety와 Security가 만나는 지점

AI Vehicle 시대에 가장 중요한 변화 중 하나는 안전(Safety)과 보안(Security)의 경계가 흐려진다는 점이다.

Adversarial Attack — Safety와 Security가 동시에 관련된 시나리오

표지판
스티커 부착

→

AI
오인식

→

잘못된
주행 판단

→

사고
발생

21434: 물리적 조작이 공격 벡터 | 8800: AI 판단 신뢰성 실패 | 26262: 안전 기능 미작동 — 세 표준이 동시에 연관

Adversarial Attack처럼 보안 공격이 AI 오판단을 통해 안전 사고로 이어지는 경우, 이것은 보안 문제인 동시에 안전 문제다. 어느 한 표준으로만 다루면 분석에 공백이 생긴다.

시나리오	ISO 26262	ISO/SAE 21434	ISO/PAS 8800
ECU 하드웨어 고장	✅ 주관할	—	—
CAN 메시지 위조 공격	—	✅ 주관할	—
AI 모델 오인식 (정상 동작)	△ 간접 관련	—	✅ 주관할
Adversarial Attack → AI 오판단	△ 결과 관련	✅ 공격 경로	✅ 판단 신뢰성
Data Poisoning → 잘못된 학습	—	✅ 공급망 공격	✅ 데이터 품질
OTA 후 AI 성능 저하	△ 기능 변경	✅ OTA 보안	✅ 모델 모니터링

---

8800은 아직 PAS다 — 그래서 지금이 중요하다

ISO/PAS 8800은 현재 PAS(Publicly Available Specification) 상태다. 정식 국제 표준(IS)이 아니라는 의미이기도 하지만, 동시에 표준이 만들어지는 과정에 있다는 의미이기도 하다.

ℹ️ PAS와 IS의 차이

PAS(Publicly Available Specification)는 ISO가 발행하는 예비 표준으로, 정식 국제 표준 절차보다 빠르게 발행된다. 기술 변화 속도가 빠른 영역에서 먼저 방향을 잡기 위해 활용된다. ISO 26262도, ISO/SAE 21434도 초기에는 이런 과정을 거쳤다. PAS가 업계에서 실증되고 피드백이 쌓이면 정식 IS로 격상된다.

ISO 26262가 2011년 처음 발행될 당시를 떠올려 보면, 당시에도 "아직 초안 수준"이라는 이야기가 있었다. 하지만 2018년 개정판이 나오면서 자동차 산업의 사실상 필수 표준이 됐다. 21434 역시 마찬가지 경로를 밟았다.

💡 ISO/PAS 8800이 정식 표준이 되는 시점에 이미 준비가 되어 있는 조직과 그렇지 않은 조직 사이의 격차는 클 것이다. 지금은 방향을 이해하고 대비할 적기다.

---

🔧 현업에서 느끼는 변화들

OEM의 AI 관련 요구사항이 구체화되고 있다 — 예전에는 "AI 기능 포함 제어기"라고 해도 보안 요구사항은 기존 21434 기반으로 처리됐다. 최근에는 AI 모델의 성능 지표, 데이터 출처, 재현성 요구사항이 개발 스펙에 명시적으로 들어오기 시작했다.

Safety와 Security 팀이 같은 회의에 앉기 시작했다 — AI Vehicle 프로젝트에서는 기능안전 담당자와 사이버보안 담당자가 동일한 분석 대상을 놓고 의견을 나눠야 하는 상황이 생기고 있다. AI 오판단이 기능안전 문제인지 보안 문제인지 경계가 명확하지 않기 때문이다.

검증 방법론의 공백이 실무 부담으로 이어지고 있다 — AI 모델이 포함된 시스템의 Verification과 Validation을 어떤 기준으로 수행해야 하는지, 현재로서는 명확한 업계 표준이 없다. ISO/PAS 8800이 이 공백을 채울 것으로 기대되지만, 아직 실무 레벨의 가이드라인은 충분하지 않다.

ISO/PAS 8800은 단순히 또 하나의 규격이 아니다.

AI가 차량의 의사결정을 담당하기 시작한 시대에, 자동차 산업이 처음으로 "AI의 판단을 어떻게 믿을 것인가"라는 질문에 답하기 위해 만든 프레임워크다.

그렇다면 다음 질문이 남는다 — ISO 26262, 21434, ISO/PAS 8800, 이 세 표준은 실제 프로젝트에서 어떻게 함께 작동해야 할까?

핵심 요약

1

ISO 26262는 고장을, 21434는 공격을, 8800은 AI 판단을 본다 — 세 표준은 경쟁 관계가 아니라 각각 다른 층위의 위험을 담당한다.

2

AI는 고장도 공격도 없이 위험할 수 있다 — 이것이 8800이 필요한 근본적인 이유다.

3

8800의 핵심은 데이터·모델·추론·운영 전 주기 관리다 — AI 시스템을 한 번 검증하고 끝나는 것이 아니라, 지속적인 신뢰성 관리가 요구된다.

4

Safety와 Security의 경계가 흐려진다 — Adversarial Attack처럼 두 영역이 동시에 관련된 시나리오가 늘어나고, 세 표준을 함께 고려해야 하는 상황이 증가한다.

5

PAS 상태가 지금 준비해야 할 이유다 — 26262와 21434가 걸어온 경로를 보면, 8800이 실무 필수 표준이 되는 것은 시간문제다.

ISO/PAS8800 ISO26262 ISO/SAE21434 AIVehicle 기능안전 자동차사이버보안 SDV AISafety ODD ModelSecurity 자율주행표준