자동차 사이버보안 표준과 법규 총정리

기본 지식 — 표준·법규 완전 정리

회의실에서 자주 듣는 말

"R155 대응은 21434 따르면 되는 거죠? 같은 거 아닌가요?"

"CRA도 해야 한다고 하는데 R155랑 뭐가 다른 건가요?"

"26262는 Safety고 21434는 Security인데 따로 관리하면 되는 거 아닌가요?"

"ISO/PAS 8800은 8475, 8477이랑 어떻게 다른 건지 모르겠어요."

자동차 사이버보안을 처음 접하면 숫자와 알파벳이 가득한 표준·법규 이름에 먼저 막힌다.

R155, 21434, 26262, CRA, 8800, 8475, 8477 — 어떤 것이 법이고, 어떤 것이 표준이고, 서로 어떤 관계인가. 이 글 하나로 전체 지도를 그려보자.

---

가장 먼저 — 법규와 표준은 다르다

모든 혼란의 출발점은 법규(Regulation)와 표준(Standard)을 구분하지 않는 데서 생긴다. 두 개념은 역할이 완전히 다르다.

법규 vs 표준 — 가장 먼저 이해해야 할 차이

법규 (Regulation)

"무엇을 해야 하는가?"

정부·국제기구가 제정

강제 준수 의무

미준수 시 형식승인 불가

예: UN R155, CRA

VS

표준 (Standard)

"어떻게 할 것인가?"

표준화 기관이 제정

원칙적으로 임의 적용

법규 요구사항 달성 방법론

예: ISO/SAE 21434, ISO 26262

💡 실무에서는 표준이 사실상 필수가 되는 경우가 많다. OEM이 "21434를 준수해야 납품 가능하다"고 계약에 명시하거나, 법규가 특정 표준을 참조하도록 하면 그 표준은 법규와 동일한 구속력을 갖게 된다.

---

전체 지도 — 한 번에 보기

개별 설명에 들어가기 전에 전체 구조를 먼저 보는 것이 빠르다.

자동차 사이버보안 표준·법규 전체 지도

법규 — 반드시 따라야 한다

UN R155

UNECE · 2021

차량 사이버보안 관리 체계(CSMS) 운영 및 형식승인 요구

차량 전용

UN R156

UNECE · 2021

소프트웨어 업데이트 관리 체계(SUMS) 및 OTA 보안 요구

차량 전용

CRA

EU · 2024

디지털 제품 전반의 사이버 복원력 요구. SBOM, 취약점 공개, 보안 업데이트 의무

제품 전반

개발 프로세스 표준 — 어떻게 개발할 것인가

ISO/SAE 21434

ISO·SAE · 2021

차량 사이버보안 개발 전 주기. TARA, 보안 요구사항, 검증, Cybersecurity Case

핵심 표준

ISO 26262

ISO · 2018

자동차 기능안전. 시스템 고장으로 인한 위험 관리. HARA, ASIL, 안전 목표

기능안전

AUTOSAR

AUTOSAR 컨소시엄

차량 SW 아키텍처 표준. SecOC, Crypto Stack 등 보안 모듈 포함

아키텍처

평가·시험 표준 — 어떻게 검증할 것인가

ISO/SAE 8475

ISO·SAE · 2023

21434의 TARA에서 CAL(Cybersecurity Assurance Level) 결정 방법 구체화

TARA 심화

ISO/SAE 8477

ISO·SAE · 2023

차량 사이버보안 시험·평가 방법론. 침투 테스트, 취약점 분석 기준 구체화

시험 방법

ISO/SAE 5112

ISO·SAE · 2022

CSMS 감사 방법론. 21434 준수 여부를 어떻게 감사할지 정의. ENX VCS의 기반 표준

감사 방법론

AI 시대 — 새롭게 등장한 프레임워크

ISO/PAS 8800

ISO · 2024

AI 기반 차량 시스템 안전성. 데이터 품질, 모델 검증, AI 판단 신뢰성

AI 안전

EU AI Act

EU · 2024

고위험 AI 시스템 규제. 자율주행 포함. 투명성·설명가능성·지속모니터링 요구

법규

NIST AI RMF

NIST · 2023

AI 리스크 관리 프레임워크. Govern / Map / Measure / Manage 4단계 구조

프레임워크

---

UN R155 — 자동차 사이버보안의 출발점

UN R155는 현재 자동차 사이버보안 체계 전체의 시작점이다. UNECE(유엔 유럽경제위원회)가 제정했으며, 유럽을 중심으로 한국, 일본 등 대부분의 자동차 선진국에 적용되고 있다.

ℹ️ R155의 핵심 요구사항

OEM은 차량 사이버보안을 체계적으로 관리하는 CSMS(Cybersecurity Management System)를 구축하고 인증기관의 승인을 받아야 한다. CSMS 없이는 신차 형식승인이 불가능하다. 단순히 보안 기능을 탑재하는 것이 아니라 관리 체계 전체를 요구한다는 점이 핵심이다.

R155가 요구하는 것을 한 문장으로 표현하면 이렇다. "사이버보안을 일회성 이벤트가 아니라 지속적인 프로세스로 운영하라." 개발 단계뿐 아니라 양산 이후 운행 중인 차량에 대한 취약점 모니터링과 사고 대응까지 포함한다.

---

ISO/SAE 21434 — R155를 달성하는 방법

R155가 "무엇을 해야 하는가"를 정의한다면, ISO/SAE 21434는 "어떻게 할 것인가"의 방법론을 제공한다.

R155와 21434의 관계

UN R155
법규
"무엇을"

→

ISO/SAE 21434
표준
"어떻게"

→

TARA
보안요구사항
Cyber.Case

→

형식승인
CSMS 인증

21434를 따른다고 R155가 자동으로 충족되지는 않는다. 하지만 21434를 제대로 수행하면 R155 요구사항의 대부분을 커버할 수 있다.

21434가 다루는 핵심 개념들은 자동차 사이버보안 프로젝트 어디서나 등장한다. TARA(위협 분석 및 리스크 평가), Cybersecurity Goal, 보안 요구사항, 검증(Verification), 확인(Validation), Cybersecurity Case — 이 모든 것이 21434 안에 정의되어 있다.

---

UN R156 — OTA 보안의 법규

R155와 항상 함께 등장하는 것이 UN R156이다. R155가 사이버보안 관리 체계를 다룬다면, R156은 소프트웨어 업데이트 관리 체계(SUMS)를 다룬다.

❌ OTA 보안은 21434 안에서 다루면 충분하다

✅ OTA는 별도의 법규인 R156과 관리 체계(SUMS)가 요구된다

21434가 보안 개발 프로세스를 다룬다면, R156은 소프트웨어 업데이트 자체의 안전성과 관리 체계를 별도로 요구한다. 차량에 탑재된 소프트웨어를 무선으로 업데이트하는 OTA 기능이 있다면 R155와 R156을 모두 대응해야 한다.

---

ISO 26262 vs ISO/SAE 21434 — 혼동하면 안 되는 이유

실무에서 가장 자주 혼동되는 조합이다. 두 표준은 모두 자동차 ECU를 다루고, 모두 위험 분석이 포함되어 있다. 하지만 보는 관점이 근본적으로 다르다.

구분	ISO 26262 (기능안전)	ISO/SAE 21434 (사이버보안)
핵심 질문	시스템이 고장나면 어떤 위험이 생기는가?	공격자가 시스템을 어떻게 위협할 수 있는가?
위험의 원인	우연한 고장 (Random Failure)	의도적 공격 (Intentional Attack)
분석 방법	HARA (위험 분석·리스크 평가)	TARA (위협 분석·리스크 평가)
등급 체계	ASIL A ~ D	CAL 1 ~ 4
주요 산출물	Safety Goal, Safety Case	Cybersecurity Goal, Cybersecurity Case
AI Vehicle에서	AI 고장·오작동 안전 영향	AI 시스템 공격·오남용 위협

💡 AI Vehicle 시대에는 두 표준이 다루는 영역의 경계가 흐려지고 있다. Adversarial Attack처럼 보안 공격이 AI 오판단을 통해 안전 사고로 이어지는 시나리오에서는 26262와 21434가 동시에 관련된다. 이 교차점을 다루기 위해 ISO/PAS 8800이 등장했다.

---

CRA — 자동차 밖에서 오는 규제

CRA(Cyber Resilience Act)는 유럽연합이 제정한 디지털 제품 사이버 복원력 법이다. 자동차 전용이 아니다. IoT 기기, 네트워크 장비, 소프트웨어 제품, AI 시스템 — 디지털 요소가 포함된 거의 모든 제품이 대상이다.

UN R155 vs CRA — 강조점의 차이

UN R155

차량 중심, 형식승인 연동

CSMS 구축·인증 요구

TARA 기반 위험 관리

공급망 보안 관리

형식승인과 직접 연동

OEM 중심

VS

CRA

제품 전반, 출시 후 관리 강조

SBOM 제공 의무

취약점 공개(VDP) 체계

보안 업데이트 5년 의무

PSIRT 운영

제조사·공급사 모두 적용

자동차 부품 공급사 입장에서 CRA가 중요한 이유는 차량용 ECU, 모듈, SW 컴포넌트를 EU 시장에 공급하는 경우 CRA 요구사항을 만족해야 하기 때문이다. R155는 OEM의 의무였지만 CRA는 공급망 전체에 적용된다.

---

8475, 8477 — 21434를 구체화하는 후속 표준들

21434는 프레임워크를 제공하지만 일부 영역은 실무 적용 수준의 구체성이 부족하다는 피드백이 있었다. 이 공백을 채우기 위한 후속 표준들이 나오고 있다.

ℹ️ 21434 후속 표준 계열

ISO/SAE 8475 — TARA에서 CAL(Cybersecurity Assurance Level)을 어떤 기준으로 결정하는지 구체화. 21434의 리스크 평가 방법을 더 명확하게 정의한다.

ISO/SAE 8477 — 차량 사이버보안 V&V 가이드. 어떤 시험 방법을 어떤 상황에 적용할지, OEM과 협력사 간 V&V 역할 분배를 어떻게 할지를 다룬다. 현재 Draft(CD) 단계다.

---

ISO/PAS 5112 — 21434를 어떻게 감사할 것인가

21434가 "어떻게 개발할 것인가"를 정의한다면, ISO/PAS 5112는 "그 개발이 제대로 됐는지 어떻게 감사할 것인가"를 정의한다. 같은 21434 기반이지만 역할이 다르다.

ℹ️ ISO/PAS 5112 핵심 내용

공식 제목: Road vehicles — Guidelines for auditing cybersecurity engineering (ISO/SAE 21434)

목적: 조직의 사이버보안 관리 체계(CSMS)가 ISO/SAE 21434를 제대로 따르고 있는지 감사(Audit)하는 방법론을 제공한다.

대상: OEM이 협력사 CSMS를 심사할 때, 또는 제3자 인증기관이 조직의 21434 준수 여부를 검증할 때 사용한다.

ENX VCS와의 관계: ENX VCS가 5112를 기반으로 구현된 공급망 통합 인증 체계다. 5112가 감사 방법론을 정의하면, ENX VCS는 그것을 자동차 공급망 전체에서 표준화된 방식으로 운영하는 구조다.

💡 21434와 5112의 관계를 한 줄로

21434 → "이렇게 개발해라" / 5112 → "제대로 개발했는지 이렇게 감사해라" / ENX VCS → "그 감사 결과를 공급망에서 공유하는 체계"

실무에서 5112가 중요한 이유는 OEM 심사 기준으로 직접 활용되기 때문이다. OEM이 협력사 CSMS 심사를 할 때 5112의 감사 항목을 기준으로 질문지를 구성하는 경우가 많다. 21434만 알고 5112를 모르면 실제 심사 준비에서 어느 항목을 어떻게 준비해야 하는지 방향을 잡기 어렵다.

---

ISO/PAS 8800 — AI 시대의 새로운 레이어

기존 표준 체계는 Rule-Based 시스템을 전제로 만들어졌다. AI Vehicle 시대에는 이 전제가 흔들린다. ISO/PAS 8800은 그 공백을 채우기 위해 등장했다.

AI Vehicle 시대 — 세 표준의 역할 분담

ISO 26262
시스템
고장 위험

+

ISO/SAE 21434
외부
공격 위협

+

ISO/PAS 8800
AI 판단
신뢰성

→

AI Vehicle
종합 안전

세 표준은 경쟁 관계가 아니다. 각각 다른 층위의 위험을 담당하며 AI Vehicle에서는 세 가지를 동시에 고려해야 한다.

---

표준 간 관계 — 한 번에 정리

표준·법규	성격	핵심 질문	주요 산출물	적용 시점
UN R155	법규 (강제)	보안 관리 체계가 있는가?	CSMS 인증서	형식승인 전
UN R156	법규 (강제)	OTA 업데이트를 안전하게 관리하는가?	SUMS 인증서	형식승인 전
ISO/SAE 21434	표준 (사실상 필수)	보안 개발 프로세스를 따랐는가?	TARA, Cybersecurity Case	개발 전 주기
ISO 26262	표준 (사실상 필수)	기능 고장으로 인한 위험을 관리했는가?	Safety Case, FMEA	개발 전 주기
CRA	법규 (강제, EU)	출시 후에도 보안을 유지·관리하는가?	SBOM, VDP, PSIRT	출시 전·후 전체
ISO/SAE 8475	표준	CAL을 어떻게 결정했는가?	CAL 결정 근거	TARA 수행 시
ISO/SAE 8477	표준 (Draft)	보안 V&V를 어떻게 계획·수행했는가?	V&V 계획·결과	검증·확인 단계
ISO/PAS 5112	표준	CSMS가 21434를 제대로 따르고 있는가?	감사 결과 보고서	CSMS 심사 시
ISO/PAS 8800	표준 (PAS)	AI 판단을 신뢰할 수 있는가?	AI 모델 검증 문서	AI 시스템 개발 시

---

🔧 현업에서 느끼는 혼란들

R155와 21434를 동일시하는 경우가 많다 — "21434 다 했으니 R155 대응 끝"이라고 생각하는 경우가 있다. 하지만 21434는 개발 방법론이고 R155는 관리 체계 인증이다. 21434를 수행하는 것이 R155의 상당 부분을 커버하지만, CSMS 인증은 별도의 절차다.

26262와 21434의 분리 운영에서 공백이 생긴다 — 기능안전팀과 사이버보안팀이 분리되어 각자의 표준만 담당하면 Safety와 Security가 교차하는 영역에서 누락이 생길 수 있다. 특히 AI 기능이 포함된 제어기에서 이 문제가 두드러진다.

CRA는 "유럽 법이니까 우리는 나중에"라는 인식이 있다 — EU에 수출하는 부품이나 소프트웨어가 있다면 이미 CRA 적용 대상이다. OEM이 아닌 Tier1, Tier2 공급사에도 적용되기 때문에 "우리는 차 만드는 게 아니라 부품만 납품하니까 상관없다"는 생각은 위험하다.

표준 번호가 아무리 많아도 방향은 하나로 수렴한다.

R155는 왜 해야 하는지를, 21434는 어떻게 개발해야 하는지를, 26262는 고장으로부터 안전해야 함을, CRA는 출시 후에도 책임져야 함을, 8800은 AI 판단까지 신뢰할 수 있어야 함을 말한다.

자동차가 소프트웨어 중심으로 진화할수록 이 표준들의 무게는 앞으로 더 커질 것이다.

핵심 요약 — 한 문장 정리

1

법규는 "무엇을", 표준은 "어떻게"다 — UN R155·CRA는 법규, ISO/SAE 21434·ISO 26262는 방법론 표준이다. 역할이 다르다.

2

R155와 21434는 상하 관계다 — R155가 요구하는 것을 21434 방법론으로 달성한다. 같은 것이 아니다.

3

26262는 Safety, 21434는 Security다 — 고장(Failure)과 공격(Attack)을 각각 다룬다. AI Vehicle에서는 둘의 경계가 흐려지고 있다.

4

CRA는 차량 밖에서 온다 — 자동차 전용 법규가 아니다. 부품 공급사도 EU 수출 시 적용 대상이다.

5

5112는 21434를 어떻게 감사하는지를 정의한다 — 개발 방법론(21434)과 감사 방법론(5112)은 다르다. ENX VCS는 5112를 기반으로 운영되는 공급망 통합 인증 체계다.

6

8800은 AI Vehicle을 위한 새 레이어다 — 26262와 21434가 다루지 못하는 AI 판단 신뢰성 문제를 다룬다. 대체가 아니라 추가다.

UNR155 ISO/SAE21434 ISO/PAS5112 ISO26262 CRA ISO/PAS8800 UNR156 ISO/SAE8475 ISO/SAE8477 자동차사이버보안 차량보안표준 CSMS TARA SDV