백서: 자동차 산업의 사이버 보안 문제 해결

7월 15, 2025

1. 소개
2. 자동차 산업의 진화
3. 도전에 맞서고 기회를 포착하세요
4. 자동차 사이버 보안 및 글로벌 법률
5. FIDO 얼라이언스 및 FIDO 표준
6. 자동차 사이버 보안 규정 준수를 위한 FIDO
7. FIDO 표준이 적용될 수 있는 새로운 사용 사례 개요
8. FIDO 얼라이언스 기술 개요
9. FIDO 얼라이언스 기술 심층 분석
10. FIDO 기술 사용 사례 심층 분석
11. 표준을 사용하는 것이 도움이 되는 이유
12. 자동차 산업을 위한 FIDO 인증 프로그램
13. 결론 및 다음 단계
14. 부록 A – 자동차 사이버 보안에 적용되는 글로벌 법률
문서 기록
15. 기여자
16. 참고문헌

추상적인

자동차 산업이 소프트웨어 정의 차량, 자율 주행 기술, 커넥티드 서비스로 전환함에 따라 사이버 보안이 중요한 관심사가 되었습니다. FIDO 얼라이언스의 이 백서에서는 차세대 차량 보안을 위한 주요 과제와 새로운 솔루션을 간략하게 설명합니다. UN R155, UN R156, ISO/SAE 21434 와 같은 글로벌 규제 프레임워크를 검토하고 비밀번호 없는 인증, 보안 디바이스 온보딩 및 생체 인식 인증에 대한 FIDO 얼라이언스의 표준을 제시합니다.

관객

이 백서에서는 자동차 산업을 다룹니다. 청중에는 자동차 시스템 엔지니어, 자동차 IVI 제품 및 개발 관리자, 자동차 네트워킹 및 차량 내 사이버 보안 엔지니어, 구매와 같은 애플리케이션을 위한 차량 내 서비스 제품 관리자, IT 시스템 사이버 보안 관리자, UN R155/R156 및 ISO/SAE 21434와 같은 글로벌 규제 프레임워크를 지원하려는 엔지니어, 제조 시스템 엔지니어 및 자동차-클라우드 연결 엔지니어가 포함됩니다.

백서 다운로드

1. 소개

자동차 산업은 소프트웨어 정의 및 자율주행차로의 전환, 첨단 IT와 유사한 아키텍처, 무선(OTA) 업데이트, 차량 내 상거래의 증가 등 혁신적인 변화를 겪고 있습니다. 이러한 변화는 새로운 수익 기회를 제공하는 동시에 심각한 사이버 보안 위협도 가져옵니다.

UN 규정 155, UN 규정 156 및 ISO/SAE 21434와 같은 글로벌 사이버 보안 법률은 새로운 위협으로부터 차량을 보호하는 것을 목표로 합니다. FIDO 얼라이언스는 보안 인증, 디바이스 온보딩 및 생체 인식 인증을 위한 표준을 제공함으로써 중요한 역할을 합니다.

표준을 활용하면 자동차 회사는 일관된 보안을 보장하고, 집단적 전문 지식을 활용하며, 새로운 시장과 수익을 방해할 가능성이 있는 독점 솔루션을 피할 수 있습니다. FIDO 표준은 소비자 서비스, 차량 내 솔루션, 인력 인증, 제조 등 다양한 자동차 애플리케이션에 적용되어 업계 전반에 걸쳐 강력한 사이버 보안을 보장합니다.

이 백서는 자동차 생태계 내 기업들에게 FIDO 얼라이언스가 제공하는 표준 및 서비스에 대한 인사이트와 현재 및 미래의 사용 사례에 대한 검토를 제공합니다.

FIDO 얼라이언스는 FIDO의 프로그램이 목적에 적합한지 확인하고 기업이 사이버 보안 요구 사항을 충족하고 운전자 경험을 개선하며 새로운 기회를 활용할 수 있도록 성공적으로 지원하기 위해 업계 전문가와의 피드백 및 파트너십을 모색하고 있습니다.

2. 자동차 산업의 진화

자동차 산업은 140년의 역사를 가지고 있으며 현재 업계의 모든 측면에 영향을 미치는 변화를 겪고 있습니다.

전기화 및 지속 가능성
소프트웨어 정의 차량 및 연결성
자율 주행 및 보조 운전
비즈니스 모델 변화: MaaS(Mobility-as-a-Service) 및 직접 판매
공급망 중단 및 지정학적 위험
새로운 수익원: 데이터 수익화 및 서비스
EV 충전 인프라 출시와 에너지 그리드에 미치는 영향
변화하는 소비자 기대치와 디지털 경험

이러한 변화는 새로운 수익 기회와 개선된 차량 측면에서 제조업체에 잠재적인 이점을 제공하지만 상당한 사이버 위협도 도입합니다.

차량은 고립된 기계 시스템에서 복잡한 소프트웨어, 하드웨어 및 통신 네트워크를 통합하는 상호 연결된 사이버 물리적 플랫폼(종종 다양한 주체에 의해 생성됨)으로 발전했습니다. 제조업체는 최종 사용자에게 더 나은 차량과 향상된 운전 경험을 제공하기 위해 이러한 시스템을 구현하지만 새로운 “공격 표면”과 관련된 사이버 위협의 위험도 증가시킵니다. 이러한 잠재적 위협은 악의적인 해커부터 국가 자금 지원 행위자에 이르기까지 다양한 형태로 나타납니다. 이러한 위협을 최소화하기 위해 이제 제조업체, 공급업체, 규제 기관 및 기타 업계 이해관계자가 사이버 보안에 집중하는 것이 근본적인 우선 순위입니다.

3. 도전에 맞서고 기회를 포착하세요

자동차 사이버 보안 전문가들은 엄청난 도전 과제를 안고 있습니다. 한편으로는 위협의 증가에 대응하고 소비자를 보호하기 위해 개발된 관련 법률을 설명해야 합니다. 다른 한편으로는 차량 내 상거래, 구독 서비스와 같은 부가가치 차량 기능, 공장 및 사무실을 위한 추가 사이버 보안과 같은 새로운 비즈니스 모델을 지원하는 데 개방적이어야 합니다. 이러한 모든 요구 사항을 충족할 수 있는 간단한 솔루션은 없지만 FIDO 얼라이언스와 같은 조직의 표준 및 인증 프로그램을 활용하면 큰 도움이 될 수 있습니다.

4. 자동차 사이버 보안 및 글로벌 법률

각국 정부와 국제기구는 설계, 운영, 심지어 수명 종료까지 포함한 자동차 수명 주기 전반에 걸쳐 엄격한 사이버 보안 조치를 요구하는 규정을 제정했습니다. 이러한 프레임워크는 새로운 위협으로부터 차량을 보호하고 자동차 생태계 전반에 걸쳐 안전과 신뢰의 기준을 설정하는 것을 목표로 합니다. 전 세계의 주요 예는 다음과 같습니다.

유엔 규정 155 및 유엔 규정 156: 차량에 사이버 보안 관리 시스템(CSMS) 및 소프트웨어 업데이트 관리 시스템(SUMS)을 통합하도록 의무화합니다.
ISO/SAE 21434: 글로벌 자동차 사이버 보안 엔지니어링의 기반을 제공하여 전체 차량 수명 주기에 걸쳐 사이버 위험을 관리하기 위한 프로세스를 간략하게 설명합니다.
중국의 GB 44495-2024 및 GB 44496-2024: 사이버 보안 관리 시스템(CSMS)을 규제하고 세분화된 방식으로 보안 소프트웨어 업데이트를 관리합니다.
인도의 AIS 189 및 AIS 190: UN R155 및 R156에 연합하여 커넥티드 차량의 사이버 보안을 규제합니다.
미국: 안전한 차량 개발 프로세스, 사고 대응 계획 및 지속적인 위험 모니터링을 강조하는 NHTSA(National Highway Traffic Safety Administration)의 사이버 보안 모범 사례 발표

이러한 표준에 대해 자세히 알아보려면 부록 A 를 참조하십시오.

5. FIDO 얼라이언스 및 FIDO 표준

FIDO 얼라이언스는 비밀번호에 대한 전 세계의 의존도를 줄이는 데 중점을 둔 사명을 가진 개방형 산업 협회입니다. 이를 위해 FIDO 얼라이언스는 사용자 인증 및 디바이스 온보딩에 대한 표준의 개발, 사용 및 준수를 촉진합니다.

FIDO 얼라이언스:

사용자와 장치 모두의 인증을 위해 암호에 대한 의존도를 줄이기 위해 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 집합을 정의하는 기술 사양을 개발합니다.
글로벌 규정의 진화를 추적하고 자체 표준을 발전시켜 업계가 조화로운 방식으로 이러한 규정을 충족하고 규정 준수 부담을 줄일 수 있도록 지원합니다.
이러한 사양의 성공적인 글로벌 채택을 보장하기 위해 산업 인증 프로그램을 운영합니다.
FIDO의 글로벌 사용을 촉진하기 위한 교육 및 시장 채택 프로그램을 제공합니다.
공식적인 표준화를 위해 공인된 표준 개발 기관에 성숙한 기술 사양을 제출합니다.

FIDO 얼라이언스는 IT, 실리콘, 결제 및 소비자 서비스 분야의 리더들이 대표하는 전 세계 300개 이상의 회원을 보유하고 있으며 Apple, Visa, Infineon, Microsoft, Dell, Amazon 및 Google의 대표로 구성된 이사회를 구성하고 있습니다. 얼라이언스에는 같은 생각을 가진 회원들이 기술 작업 영역을 개발 및 발전시키고 시장별 요구 사항을 조정할 수 있는 다양한 활성 실무 그룹도 있습니다.

FIDO 얼라이언스는 이 분야의 리더들이 기술, 비즈니스 및 시장 요구 사항을 파악하고 협력할 수 있는 자동차 워킹 그룹을 출범할 계획입니다. 자세한 내용은 연락처 양식을 사용하십시오. https://fidoalliance.org/contact/ 또는 이메일 info@fidoalliance.org .

6. 자동차 사이버 보안 규정 준수를 위한 FIDO

주요 자동차 사이버 보안 표준인 ISO/SAE 21434 와 그에 따른 가장 유명한 규정인 UN R155의 요구 사항을 충족하는 것은 강력한 ID 관리와 안전한 장치 온보딩에 달려 있습니다. 이러한 표준은 FIDO 프로토콜 자체를 규정하지는 않지만, FIDO가 실질적인 이점을 제공하는 주요 원칙을 간략하게 설명합니다.

ISO 21434, 특히 위험 평가 및 위협 완화에 관한 8항과 9항은 무단 액세스를 방지하기 위한 전략을 요구합니다. FIDO의 비밀번호 없는 인증은 취약한 자격 증명을 제거하고 커넥티드 차량 시스템에 대한 일반적인 위협인 피싱 및 크리덴셜 스터핑의 위험을 줄임으로써 이 문제를 직접적으로 해결합니다. 또한 안전한 소프트웨어 배포에 대한 10항의 초점은 FIDO 디바이스 온보드(FDO)와 일치하여 인증된 디바이스만 생태계에 참여하도록 보장하고 공급망 공격과 무단 소프트웨어 주입을 완화합니다. FIDO의 기능을 특정 조항에 직접 매핑하는 것은 규정 준수를 달성하는 데 있어 FIDO의 가치를 보여줍니다.

이러한 기본 표준 외에도 FIDO의 접근 방식은 새로운 규정에 폭넓게 적용할 수 있어 OEM에 글로벌 규정 준수 요구 사항을 충족하고 커넥티드 카 생태계 전반에 걸쳐 사이버 보안 탄력성을 강화할 수 있는 경로를 제공합니다. 몇 가지 예로는 중국의 GB 44495-2024 및 인도의 AIS 189가 있는데, 이는 지역 자동차 사이버 보안 표준을 요구하고 소프트웨어 정의 차량(SDV) 시대의 보안 인증과 같은 기능의 필요성을 강화합니다. UN R155와 유사한 중국의 GB 규정은 원격 업데이트의 신뢰성과 무결성을 강조하며, FIDO의 패스키 기반 인증은 액세스 확인에 대한 규정을 준수하는 접근 방식을 제공합니다. 현재 초안 상태인 인도의 규정은 UN R155와 일치하여 차량-클라우드 통신 및 ID 관리 보안의 중요성을 강조합니다.

7. FIDO 표준이 적용될 수 있는 새로운 사용 사례 개요

FIDO 표준은 다양한 시나리오에 적용할 수 있습니다. 이는 고객 대면, 차량 내 내장 또는 제조업체 IT 인프라의 일부일 수 있습니다.

이러한 시나리오 중 일부에 대한 개략적인 개요에는 다음이 포함되지만 이에 국한되지는 않습니다.

차량 내 상거래: 여기에는 편리한 주유, EV 충전, 주차 예약, 세차 또는 자동차 제조업체가 관리하는 차량 내 마켓플레이스를 가능하게 하기 위해 차량에 저장 및 관리되는 자격 증명을 사용한 결제가 포함됩니다. 연결된 자동차 사용자를 인증하기 위한 패스키 구현 및 생체 인식 구성 요소 인증은 이러한 사용 사례와 가장 관련이 있습니다.
개인화된 서비스에 대한 인증: 이러한 애플리케이션에는 맞춤형 자동차 설정(예: 머리 받침 및 좌석 조정)과 정보 및 엔터테인먼트 콘텐츠에 대한 쉬운 액세스가 포함됩니다.
차량 내 솔루션: 이 부문에는 차량-클라우드 연결, 차량 내 ECU 및 구역 컨트롤러 온보딩과 같은 애플리케이션이 포함됩니다. FIDO 디바이스 온보드(FDO)의 구현은 이러한 애플리케이션에 가장 적합합니다.
인력 인증: 이러한 애플리케이션에는 개발 사무실, 제조 현장 또는 대리점에서 IT 시스템에 대한 인력 액세스를 제어하는 것이 포함됩니다. 패스키 및 FIDO USB 인증 키의 구현은 이러한 애플리케이션에 가장 적합합니다.
제조: 현대 제조 시설은 소프트웨어 정의 제어, AI 및 로봇 시스템으로 이동하고 있습니다. 이러한 솔루션을 안전하게 배포하는 데는 시간과 비용이 많이 드는 경우가 많습니다. FIDO 디바이스 온보드(FDO)를 구현하면 배포를 가속화하고 보안을 강화할 수 있습니다.

8. FIDO 얼라이언스 기술 개요

이더넷이 IT 네트워킹 솔루션으로 시작된 것과 마찬가지로 FIDO 표준은 자동차 애플리케이션을 위해 특별히 만들어지지 않았습니다. 그러나 강력한 사이버 보안이 단순히 바람직한 기능이 아닌 중요하고 기본적인 요소인 현대 차량에서는 매우 관련성이 높습니다. 패스키와 같은 FIDO 표준은 오늘날 자동차 세계에서 그대로 사용되고 있습니다.

자동차 애플리케이션을 위한 FIDO 얼라이언스 기술 포트폴리오는 크게 세 가지 주요 영역으로 분류할 수 있습니다.

패스키: FIDO 얼라이언스는 패스키를 사용한 피싱 방지 로그인을 위한 개방형 표준을 통해 인증을 혁신하고 있습니다. 패스키는 비밀번호 및 SMS OTP보다 더 안전하고, 소비자와 직원이 더 쉽게 사용할 수 있으며, 서비스 제공업체가 배포 및 관리하기가 더 간단합니다. 자동차 제조업체는 다양한 사용 사례에 패스키를 활용합니다.

장치 온보딩: FIDO 얼라이언스는 산업 및 기업과 같은 부문에서 연결된 장치의 안전과 효율성을 보장하기 위해 보안 장치 온보딩(FDO)에 대한 표준을 수립합니다. 자동차 부문에서 제조업체는 전자 제어 장치(ECU)와 구역 컨트롤러 간의 연결 또는 차량 자체와 무선 소프트웨어 업데이트를 용이하게 하는 클라우드 서비스 간의 연결에 이 표준을 적용할 수 있습니다. 이 표준은 Microsoft, Dell, ExxonMobil, Red Hat 등에서 채택되었습니다.

생체 인식 인증: FIDO 얼라이언스는 독립적인 테스트 연구소를 사용하여 생체 인식 센서(예: 홍채 또는 지문 센서)의 성능을 측정하는 특정 애플리케이션에 맞는 인증 프로그램을 제공합니다. 생체 인식 센서는 차량의 점점 더 중요한 구성 요소가 되고 있습니다. 일반적인 사용 사례는 운전석 위치를 자동으로 구성하거나 결제 시스템의 일부로 구성하는 것일 수 있습니다. 이 두 가지 예에서 “우수한 기술 성능”의 정의는 크게 다를 수 있습니다. 삼성, ELAN 마이크로일렉트로닉스, 탈레스, 퀄컴, 미텍, 아이프로브 등은 FIDO 얼라이언스의 생체 인식 부품 인증을 받았습니다.

9. FIDO 얼라이언스 기술 심층 분석

자동차 제조업체와 FIDO 얼라이언스가 협력할 수 있는 방법을 더 잘 이해하기 위해 이 섹션에서는 현재 FIDO 기술과 이러한 기술이 자동차 애플리케이션과 통합될 수 있는 방법에 대해 설명합니다.

9.1 패스키 및 사용자 인증

패스키는 FIDO 표준을 기반으로 하는 FIDO 인증 자격 증명으로, 사용자가 기기 잠금을 해제하는 데 사용하는 것과 동일한 단계(생체 인식, PIN 또는 패턴)로 앱과 웹사이트에 로그인할 수 있도록 합니다. 패스키를 사용하면 사용자는 더 이상 사용자 이름과 비밀번호 또는 추가 요소를 입력할 필요가 없습니다.

패스키는 FIDO 인증 표준의 서명 구현으로, 다양한 서비스에 대한 안전하면서도 간소화된 로그인을 제공합니다. 패스키는 모든 주요 장치 운영 체제 및 브라우저에서 지원되며 Apple, Google, Microsoft, Samsung, Amazon, Walmart, PayPal 및 Visa를 포함한 많은 업계 리더에서 활용되었습니다.

다음 다이어그램에서는 운전자가 클라우드 서비스에 로그인할 때와 같은 차량 내 애플리케이션에 패스키를 사용하는 방법을 보여 줍니다.

그림 1: 자동차의 샘플 패스키 사용

패스키는 공개 키 암호화(PKC)라는 기술에 의존하며, 이 기술에서는 가상 키 쌍(하나는 개인이고 다른 하나는 공개)이 생성됩니다. 각 개인 키(사용자 장치에 저장됨)에는 개인 키로 생성된 서명을 확인하는 데 사용되는 일치하는 공개 키(서버에 저장됨)가 있습니다.

다이어그램에서 사용자(이 경우 드라이버)는 먼저 결제 서비스와 같은 클라우드 서비스에 등록합니다. 등록 과정에서 FIDO 인증자가 개인 및 공개 암호화 키를 생성합니다. 개인 키는 차량의 인포테인먼트 시스템에 안전하게 저장되며 해당 운전자와 연결됩니다. 공개 키는 서비스 공급자의 클라우드에 저장됩니다.

운전자가 서비스에 로그인하려고 하면 차량에서 클라우드 서비스로 요청이 전송됩니다. 그런 다음 서비스는 차량에 인증 요청을 보냅니다. 이 챌린지는 일치하는 개인 키를 보유한 사용자만 성공적으로 승인할 수 있습니다. 요청이 진짜인지 확인하기 위해 운전자는 로그인할 것인지 확인하라는 메시지가 표시됩니다. 이는 일반적으로 지문이나 얼굴과 같은 생체 인식 센서를 통해 달성됩니다. 이 확인이 완료되면 사용자는 서비스에 액세스할 수 있습니다. 이 프로세스에는 여러 FIDO 하드웨어 및 소프트웨어 구성 요소가 사용됩니다.

9.2 패스키 구성 요소

이 예에서는 세 가지 FIDO 인증 구성 요소가 사용됩니다.

FIDO 인증자

FIDO 인증자는 소유권을 확인 및/또는 사용자 신원을 확인하기 위해 FIDO 인증을 수행할 수 있는 소프트웨어 구성 요소 또는 하드웨어입니다. 이 예에서 FIDO 인증자는 자동차 인포테인먼트 시스템에 상주할 가능성이 높습니다.

FIDO 서버

서버는 강력한 인증을 수행하기 위해 FIDO 인증 클라이언트와 함께 활용할 수 있는 프로그래밍 인터페이스를 애플리케이션에 제공합니다. 서버는 클라우드 애플리케이션 내부에 있습니다.

생체 인식 구성 요소

생체 인식 구성 요소는 개인을 식별할 수 있으며 종종 FIDO 인증자를 보완하는 데 사용됩니다. 이러한 센서는 지문, 홍채 및 얼굴을 포함한 다양한 형태를 취할 수 있습니다. FIDO 얼라이언스는 엔드투엔드 성능, 인구통계학적 그룹의 차등 평가, 프레젠테이션 공격 탐지(PAD)를 포함한 생체 인식 하위 시스템의 효율성을 인증합니다.

이 예는 차량 내 사용 사례이지만 공장, 개발 센터 또는 대리점 내부에 동일한 패스키 기술을 적용하여 시스템이 피싱 공격 또는 기타 일반적인 암호 공격 벡터에 대한 복원력을 확보할 수 있습니다.

9.3 차량 내 생체 인식

차량에 생체 인식 부품을 설치하는 것은 시간이 지남에 따라 급격히 증가할 것으로 예상됩니다. 이러한 구성 요소의 성능 요구 사항은 센서 유형 및 대상 응용 분야에 따라 다릅니다. 현재 FIDO 얼라이언스는 지문 및 홍채 센서와 같은 생체 인식 구성 요소에 대한 포괄적인 독립 인증 프로그램을 제공합니다. 견적 요청서(RFQ)에 제품이 FIDO 인증을 받아야 한다고 명시함으로써 자동차 제조업체는 센서 선택을 간소화할 수 있습니다. FIDO 인증에 대한 자세한 내용은 https://fidoalliance.org/certification/ 를 참조하세요.

9.4 FIDO 장치 온보드(FDO)

컴퓨터 장치(예: ECU)가 관리 플랫폼(영역 컨트롤러)에 처음 연결되면 온보딩하고 프로비저닝해야 합니다. 병렬 예는 차량과 클라우드 간의 연결일 수 있습니다. FIDO 디바이스 온보드(FDO)는 이러한 온보딩 경험의 자동화 및 높은 보안 요구 사항을 충족하기 위해 FIDO 얼라이언스 회원이 개발했습니다.

FDO를 사용하면 장치가 먼저 (유선 또는 무선) 네트워크에 연결된 다음 전원이 켜집니다. 그런 다음 디바이스가 관리 플랫폼에 자동으로 안전하게 온보딩됩니다. FDO는 제로 트러스트 아키텍처를 기반으로 하므로 디바이스와 관리 플랫폼 모두 서로에게 암호화 방식으로 인증해야 하므로 높은 수준의 보안을 제공합니다. FDO는 또한 공급망 공격에 대한 복원력을 제공합니다.

Dell, Microsoft, Red Hat, Intel 및 ASRock을 포함한 많은 주요 기술 제공업체가 FDO 솔루션의 구현을 시연했습니다.

10. FIDO 기술 사용 사례 심층 분석

FIDO 얼라이언스는 자동차 산업을 지원하기 위해 FIDO 기술을 적용할 수 있는 몇 가지 사용 사례를 확인했습니다. 이 섹션에서는 추가 대화를 촉진하기 위해 가능한 사용 사례에 대해 설명합니다.

10.1 소비자 사용 사례

역사적으로 많은 사이버 보안 애플리케이션은 “배후”에 있었습니다. 현대 차량에서는 운전자와 승객의 차량 내 경험에 직접적인 영향을 미치고 제조업체에 새로운 수익 기회를 열어주는 새로운 애플리케이션이 점점 더 많아지고 있습니다. 그러한 영역 중 하나는 차량 내 상거래의 출현입니다.

차량 내 상거래를 주도하는 몇 가지 요인이 있습니다.

기술 발전
- 소프트웨어 정의 차량(SDV)을 사용하면 하드웨어 수정 없이 지속적인 업데이트와 새로운 기능을 사용할 수 있습니다.
- 자율 주행은 생산성 또는 레저 공간으로서 차량에 대한 새로운 사용 사례를 도입합니다.
변화하는 소비자 기대
- 소비자는 스마트폰 및 기타 디지털 장치가 제공하는 것과 유사한 차량 경험을 요구합니다.
수익 기회
- 차량은 디지털 서비스를 위한 플랫폼 역할을 함으로써 자동차 제조업체와 서비스 제공업체에 새로운 수익원을 열어줍니다.

10.2 신원 확인, 인증 및 권한 부여

현대 차량과 관련된 연결성 및 서비스가 증가함에 따라 신원 확인, 인증 및 권한 부여에 대한 새로운 요구 사항이 제기됩니다.

신원 확인: 개인의 신원을 확인하는 과정입니다. 여기에는 개인이 제공한 정보를 데이터베이스의 기록이나 운전 면허증과 같은 개인의 물리적 문서와 비교하는 것이 포함될 수 있습니다.
인증: 시스템이 시스템, 서비스 및 리소스에 로그인하려고 할 때 자신이 말한 사람인지 확인합니다.
권한 부여: 데이터 액세스 또는 작업 수행 측면에서 사용자 액세스를 결정하는 인증 후 단계입니다.

스마트폰 및 웨어러블과 같은 다른 컴퓨팅 장치와 달리 차량에는 가족, 친구, 동료 또는 임차인을 포함한 여러 사용자가 있는 경우가 많습니다. 각 사용자는 서비스에 액세스하거나 고유한 ID 및 자격 증명과 연결된 트랜잭션을 수행해야 할 수 있습니다. 따라서 차량 컴퓨팅 리소스는 사이버 보안이 되어야 하며 타사 서비스 제공업체를 포함한 다양한 사용자 기반에 대한 보안 액세스 및 인증을 관리할 수 있어야 합니다.

10.3 차량 내 상거래 및 인증

차량의 상거래 서비스는 결제와 밀접하게 연결되어 있으므로 강력하고 사용자 친화적인 인증이 필수적입니다. 운전자는 거래가 안전하다는 것을 신뢰해야 하고, 제조업체는 무단 결제에 대한 책임을 최소화하는 것을 목표로 하며, 금융 기관은 강력하고 표준을 준수하는 인증 메커니즘을 요구합니다. 또한 유럽의 결제 서비스 지침 2 (PSD2)와 같은 규제 프레임워크는 카드 소지자가 시작한 거래에 대해 강력한 고객 인증(SCA)을 의무화합니다.

SCA는 세 가지 요소 중 두 가지 이상의 조합이 필요합니다.

소유 (예: 사용자가 가지고 있는 것, 예: 열쇠, 전화 또는 차량)
고유성 (예: 지문 또는 얼굴 인식과 같은 생체 인식과 같은 사용자)
지식 (사용자가 알고 있는 것, 예: PIN 또는 암호)

패스키 인증자가 기본적으로 차량에 통합되지 않은 경우 대체 다단계 구성을 사용하여 인증을 구현해야 합니다. 이는 PIN(지식)을 소유 요소로 차량과 결합하는 것과 같은 소프트웨어 기반 접근 방식이나 지문 센서 또는 얼굴 인식을 통한 생체 인증(고유)과 같은 하드웨어 기반 방법을 통해 달성할 수 있습니다.

차량 내 상거래는 크게 세 가지 주요 영역으로 분류할 수 있습니다.

주문형 기능

주문형 기능을 통해 이제 차량에서 사용자는 필요에 따라 특정 기능을 활성화할 수 있습니다. 여기에는 고급 운전자 지원 시스템, 열선 시트와 같은 편의 기능, 성능 업그레이드가 포함됩니다.
주문형 기능은 유연한 구독 모델이나 종량제 시스템을 통해 제공될 수 있습니다. 이러한 기능은 고객 만족도를 높이고 제조업체에 추가 수익원을 창출합니다.

차량 관련 서비스

차량 관련 서비스는 주유, 전기차 충전, 주차 예약 및 결제, 세차, 통행료 납부 등 원활하게 통합된 서비스입니다.
사용자 편의성을 극대화하기 위해 차량은 스마트폰에 의존하지 않고 결제 허브 역할을 합니다.

편의 기능

쇼핑, 엔터테인먼트, 교육, 원격 근무 기능 등 편의 기능을 구현함으로써 차량은 사용자 디지털 생태계의 확장이 됩니다.
예를 들면 이동 중에 커피나 식료품을 주문하거나, 영화를 스트리밍하거나, 출퇴근 중에 가상 회의에 참석하는 것이 있습니다.
이러한 범주는 차량이 더 이상 단순한 교통 수단이 아니라 다양한 서비스 제공업체가 운전자 및 승객과 소통할 수 있도록 하는 플랫폼임을 보여줍니다.

10.4 차량 출입 통제를 위한 운전자 신원 확인

차량 접근에는 높은 수준의 인증이 필요하며 생체 인식 센서에 매우 적합합니다.

열쇠 없는 출입 및 점화: 지문 및 얼굴 인식과 같은 생체 인식 시스템은 기존 키를 대체하여 차량 접근 및 점화를 위한 안전한 생체 인식 기반 인증을 제공할 수 있습니다.
도난 방지 조치: 차량은 생체 인증을 활용하여 차량 탈취를 포함한 무단 사용이나 도난을 방지할 수 있습니다.
차량 및 OEM 서비스: 차량은 차량 서비스에 액세스할 수 있는 방법을 결정할 때 운전자의 권리와 특권을 평가하는 첫 번째 단계로 생체 인식 인증을 사용할 수 있습니다.

10.5 개인화, 차량 관리 및 자율주행차

차량은 공유되는 경우가 많으며 특정 운전자에게 자동으로 적응하는 기능은 중요한 기능입니다. 식별 및 인증에 대한 기준과 임계값은 특정 애플리케이션에 따라 크게 다릅니다. 예를 들어, 자율주행차에 대한 운전석 조정과 승객 승인을 조정합니다.

10.5.1 개인화

적응형 차량 내 설정: 생체 인식은 저장된 프로필에 따라 좌석 위치, 실내 온도 조절 장치, 인포테인먼트 기본 설정 및 내비게이션 경로를 조정하기 위해 운전자 또는 승객을 식별할 수 있습니다.
적응형 사용량 기반 서비스: 운전자를 원활하게 인증함으로써 자동차 제조업체는 개인 및 상업 시나리오에 대한 사용 기반 보험 또는 임대 및 금융 옵션을 제공할 수 있습니다.
차량 관리
공유 차량 및 차량: 생체 인식 지원 프로세스는 자동차 공유 또는 차량 시스템에서 사용자 간의 원활한 전환을 보장하여 확인된 각 운전자에 대한 개인 설정을 로드합니다.
규정 준수 추적: 디지털 지갑은 규정 준수 문서(예: 면허증 및 차량 검사 보고서)를 보관하여 승인된 사용자에게 규정 준수 속성을 주장하여 서류 작업을 줄이고 감사 준비 상태를 강화할 수 있습니다.

10.5.2 자율주행차

승객 인증 및 신원 확인: 자율주행차에서 생체 인식 시스템은 승객을 인증하여 승인된 사용과 개인화된 경험을 보장합니다.

키 소유가 충분한 인증이 아닌 이유

물리적 키가 사용자 인증의 충분한 형태가 아닌 데에는 몇 가지 이유가 있습니다.

물리적 키는 차량에 대한 접근을 확인하지만 이를 사용하는 개인의 신원은 확인하지 않습니다. 차량 공유, 차량 관리 또는 다중 사용자 차량과 같은 시나리오에서는 키 소유에만 의존하면 승인된 사용자와 승인되지 않은 사용자를 구별할 수 없습니다.
앞서 논의한 바와 같이 결제 사용 사례의 경우 일부 시장에서는 SCA 규정을 준수해야 합니다. 키는 소유 요소만 충족하므로 보안 결제에 대한 SCA 요구 사항을 충족하지 않습니다.
차량 키를 분실, 도난 또는 복제하여 승인되지 않은 개인이 접근할 수 있습니다. 추가 인증 계층이 없으면 차량에서 이루어진 거래가 사기일 수 있습니다.
다자간 및 플랫폼 복잡성: 차량 내 상거래에는 OEM(Original Equipment Manufacturer), 서비스 제공업체 및 사용자와 같은 여러 이해관계자가 참여합니다. 인증은 사용자가 모든 플랫폼과 서비스에서 거래할 수 있는 권한이 있는지 확인해야 하며, 단순한 소유를 넘어 신원 확인이 필요합니다.

10.6 전자 시스템 및 제조 사용 사례

10.6.1 차량 내 ECU, 구역 컨트롤러 및 컴퓨팅 온보딩

차량 내 컴퓨팅 수준이 높아짐에 따라 효율적이고 빠른 통신의 필요성이 점점 더 중요해지고 있습니다. 이러한 요구에 부응하여 자동차는 점점 더 IT 중심 아키텍처로 이동하고 있으며, 이더넷은 차량 내부의 구역 컨트롤러와 ECU를 연결하는 데 선택되는 네트워킹 기술이 되고 있습니다.

고속 및 보안 통신 외에도 장치(ECU)와 관리 플랫폼(Zone 컨트롤러)이 서로 암호화되어 인증되도록 해야 합니다. 처음에는 IoT 및 IT 시스템용으로 개발되었지만 FIDO 얼라이언스 팀은 FIDO 디바이스 온보딩(FDO)이 온보딩 프로세스를 자동화하는 빠르고 안전한 방법이 될 수 있다고 믿습니다. FDO는 개방형 표준이므로 자동차 제조업체는 독점 솔루션의 개발 및 유지 관리 비용을 지불하는 대신 규모의 경제 절감 효과를 누릴 수 있습니다.

속도와 보안 외에도 FDO는 공급망 공격 및 회색 시장 위조품에 대한 복원력도 제공합니다.

10.6.2 자동차에서 클라우드로의 온보딩

자동차 기능의 복잡성이 증가하고 자율 주행 기술이 증가함에 따라 현대 자동차는 본질적으로 모든 기능이 작동하기 위해 방대한 양의 소프트웨어가 필요한 바퀴 달린 컴퓨터입니다.

대부분의 소식통은 일반적인 현대 자동차가 약 1억 줄의 코드로 생성된 소프트웨어로 관리된다는 데 동의합니다. 이러한 복잡성의 본질은 차량 제품 출시 시 차량 소프트웨어가 동결될 수 있는 시대가 더 이상 현실적이지 않다는 것을 확인시켜 줍니다.

소프트웨어 업데이트는 이제 현대 자동차의 필수 기능이며 차량을 제조업체의 클라우드에 연결하는 안전하고 효율적인 방법이 필수적입니다.

FDO는 차량이 관리 플랫폼에 온보딩할 수 있는 안전하고 빠른 방법을 제공하여 OTA(Over the Air) 소프트웨어 업데이트를 가능하게 합니다.

그림 2: 차량 내 시스템에 적합한 FIDO

또한 FDO 표준에 대한 새로운 업데이트를 통해 소프트웨어를 베어 ECU 또는 구역 컨트롤러에 안전하게 배포할 수 있어 대리점 수리 및 업그레이드가 크게 단순화될 것으로 예상됩니다.

10.7 인력 인증(패스키/FIDO 키)

수년 동안 IT 업계는 승인된 직원만 시스템에 액세스할 수 있도록 FIDO 인증기를 사용해 왔습니다. 이 분야의 공격과 관련된 위험은 최근 일부 자동차 딜러가 직면한 문제로 인해 강조되었습니다.

그림 3: FIDO 적합성 인력 인증

2024년 6월에 자동차 대리점을 위한 소프트웨어 제공업체에 대한 사이버 공격이 발생하여 북미 지역 수천 개의 대리점 운영이 중단되었습니다. 이 공격으로 인해 자동차 구매자의 지연과 대리점의 총 손실 약 10억 달러 등 큰 혼란이 발생했습니다.

10.8 제조 사용 사례

공장에서는 훨씬 더 유연하고 지능적인 소프트웨어 정의 제어 및 AI 기반 비전 시스템을 사용하는 방향으로 이동함에 따라 모션 제어 및 PLC와 같은 고전적인 고정 기능 제조 기능을 덜 사용하고 있습니다. 이러한 전환으로 인해 많은 수의 범용 컴퓨터가 공장 현장에 도입됩니다.

설치 시 각 서버 또는 산업용 PC를 해당 관리 플랫폼(온프레미스 또는 클라우드)에 온보딩해야 합니다. 이 온보딩 프로세스에서는 일반적으로 숙련된 기술자가 장치에서 자격 증명 또는 암호를 수동으로 구성해야 하며, 이 프로세스는 느리고 안전하지 않으며 비용이 많이 듭니다.

FIDO 디바이스 온보드(FDO)를 사용하면 기술자가 산업용 PC를 연결하고 관리 서버 플랫폼에 자동으로 안전하게 온보딩할 수 있습니다.

다음 다이어그램은 FDO를 사용하여 산업용 PC를 로컬 서버에 온보딩하는 방법을 보여 주며, 로컬 서버는 제조 클라우드에 온보딩됩니다.

그림 4: 자동차 제조에 적합한 FIDO

11. 표준을 사용하는 것이 도움이 되는 이유

FIDO 얼라이언스와 같은 사이버 보안 표준은 단일 기업이 달성하기 어려운 방식으로 가치를 제공합니다. 이러한 합의 기반 표준은 성숙도를 나타내며 신뢰할 수 있는 인증 및 권한 부여에 중요한 업계에 일관성을 제공합니다. FIDO 사이버 보안 표준은 다양한 전문 지식을 기반으로 하며, 변화하는 사이버 보안 환경에 대한 명확성을 제공하며, 인증 기관과 규제 기관이 새로운 법률을 개발할 때 필수적인 지침을 제공합니다.

자동차 산업은 거의 처음부터 표준을 활용해 왔지만 여전히 기업이 자체 독점 솔루션을 개발하려고 시도한 영역이 있습니다. 이러한 솔루션은 제조업체에 가치를 더하는 경우가 거의 없으며 엔지니어링 인재를 개발하고 유지 관리하는 데 시간이 필요합니다.

자동차 컴퓨팅 플랫폼은 시스템의 시스템이기 때문에 자동차 산업은 관련 산업에서 배운 교훈을 활용할 수 있습니다. 인증 프로그램에서 지원하는 개방형 표준은 제품 및 서비스 개발을 간소화하는 데 도움이 됩니다.

FIDO의 표준은 본질적으로 사이버 보안에 중요하지만 경쟁 차별화를 위한 자연스러운 영역이 아닌 인증 요소를 상품화하고 있습니다. 표준을 활용함으로써 공급업체와 제조업체는 이제 더 높은 가치의 서비스에 리소스와 개발 노력을 집중할 수 있습니다.

11.1 FIDO 얼라이언스와의 파트너십 이점

다양한 전문성: FIDO 얼라이언스는 클라우드 플레이어, 신용카드 회사, 제조업체 등 다양한 기업의 숙련된 전문가들을 한자리에 모았습니다.

생태계 응집력: 표준은 생태계 내에서 품질, 보안 및 상호 운용성을 보장하며, 이는 결제와 같은 애플리케이션에 매우 중요합니다.

새로운 위협에 적응: 위협 환경은 항상 진화하고 있습니다. 예를 들어, 양자 컴퓨팅은 일반적으로 사용되는 암호화 기술에 심각한 위협이 됩니다. 양자 컴퓨팅은 비교적 초기 성숙 단계에 있지만, FIDO 얼라이언스와 같은 표준 그룹은 이미 양자 탄력성 솔루션을 만드는 방법을 정의하고 있습니다.

12. 자동차 산업을 위한 FIDO 인증 프로그램

FIDO 얼라이언스의 세계적 수준의 인증 프로그램은 제품이 FIDO 사양을 준수하고 효과적으로 상호 운용되는지 검증하며 보안 특성과 생체 인식 성능을 평가합니다. 전 세계 수백 개 공급업체의 1,200개 이상의 FIDO 인증 제품을 통해 이 프로그램은 공급업체와 구매자를 위한 FIDO의 개방형 표준의 가치를 실현합니다. 제조업체는 RFQ에 FIDO 인증을 지정함으로써 공급업체가 성능이 뛰어나고 안전하며 상호 운용 가능한 제품을 제공할 것임을 확신할 수 있습니다.

자동차 OEM은 이미 인증된 구성 요소(예: 인증기 또는 생체 인식 구성 요소)를 찾아 활용할 수 있으며, FIDO 얼라이언스의 인증 팀은 보다 정확한 생체 인식 테스트를 위해 차량 내 환경을 복제하는 자동차 프로필도 실험실 파트너와 함께 개발하고 있습니다. 얼라이언스는 다음과 같은 공동체를 위해 자동차 부문의 피드백을 구합니다.

현재 인증 사양의 격차 해결
필요에 따라 사양 업데이트
부문별 정책 발행
새로운 테스트 절차 구현

FIDO 인증에 대한 자세한 내용은 https://fidoalliance.org/certification/ 를 참조하세요.

13. 결론 및 다음 단계

자동차 산업과 사이버 보안은 빠르게 발전하고 있습니다. FIDO 얼라이언스의 입증되고 확립된 표준 및 인증 프로그램은 광범위한 자동차 산업 애플리케이션에 도움이 될 수 있습니다. 애플리케이션에는 차량 내 서비스 및 결제 인증, 구역 컨트롤러 온보딩, 차량-클라우드 연결, OTA 업데이트, 더 나은 운전자 경험을 위한 생체 인식 활용 등이 포함됩니다.

FIDO 얼라이언스는 자동차 제조업체와 공급업체가 개발 프로세스를 간소화하고, 보안 수준을 높이고, 고객 경험을 개선하고, 비용을 절감하고, 새로운 수익 기회를 창출할 수 있는 경로를 제공합니다.

이 백서에서 다루는 주제에 대한 피드백을 환영하며, FIDO 얼라이언스는 관심 있는 당사자들이 얼라이언스 및 회원들과 소통할 것을 권장합니다. FIDO 얼라이언스 회원은 FIDO 표준에 대해 자세히 알아보고 이러한 표준이 어떻게 발전하는지에 영향을 미칠 수 있는 기회를 가질 수 있습니다. 또한 회원들은 더 넓은 생태계 내에서 선도 기업의 광범위한 사고 리더와 교류할 수 있는 이점을 얻습니다.

참여하려면 https://fidoalliance.org/members/become-a-member/ 를 방문하거나 https://fidoalliance.org/contact/ 의 연락처 양식을 사용하십시오.

14. 부록 A – 자동차 사이버 보안에 적용되는 글로벌 법률

각국 정부와 국제기구는 설계부터 작동, 심지어 수명 종료까지 자동차 수명 주기 전반에 걸쳐 엄격한 사이버 보안 조치를 요구하는 규정을 제정했습니다. 이러한 프레임워크는 새로운 위협으로부터 차량을 보호하고 자동차 생태계 전반에 걸쳐 안전과 신뢰의 기준을 설정하는 것을 목표로 합니다.

유엔 규정 155 및 156: 이는 가장 눈에 띄고 명확하게 정의된 자동차 사이버 보안 규정입니다. 2021년 WP.29 프레임워크에 따라 채택된 UN R155 및 R156 은 전 세계적으로 인정받고 있으며 차량에 사이버 보안 관리 시스템(CSMS) 및 소프트웨어 업데이트 관리 시스템(SUMS)을 통합하도록 의무화합니다. 이러한 규정은 대부분의 EU 국가, 일본, 한국, 호주를 포함한 50개 이상의 국가에서 형식 승인을 위한 전제 조건입니다(UNECE, 2021).

ISO/SAE 21434: 이 표준은 글로벌 자동차 사이버 보안 엔지니어링의 기반을 제공하며 전체 차량 수명 주기 동안 사이버 위험을 관리하기 위한 프로세스를 간략하게 설명합니다. 이는 기존 규정을 보완하고 제조업체가 UN R155 (ISO, 2021)와 같은 필수 규정을 준수하도록 지원합니다.

중국의 GB 44495-2024 및 GB 44496-2024: 2024년 여름에 도입된 이 규정은 UN R155 및 R156 을 반영하지만 구체적으로 더 자세히 설명되어 있습니다. GB 44495 는 커넥티드 차량에 대한 사이버 보안 요구 사항을 설명하고 GB 44496 은 보안 소프트웨어 업데이트를 관리합니다. 지능형 커넥티드 차량에 대한 중국의 초점은 자율 주행 및 커넥티드 기술을 선도하려는 야망을 강조합니다(Shadlich, 2024).

인도의 AIS 189 및 AIS 190: 인도는 커넥티드 차량의 사이버 보안을 규제하기 위해 UN R189 및 R190에 부합하는 표준인 AIS 155 및 AIS 156을 도입했습니다. 이러한 프레임워크는 UN R155/R156(Vernekar, 2024)과 유사하게 위험 관리, 모니터링, 보안 통신 프로토콜 및 보안 소프트웨어 업데이트를 강조합니다.

미국: 자동차 사이버 보안에 대한 의무적인 연방 규정은 없지만 미국 고속도로 교통 안전국(NHTSA)은 사이버 보안 모범 사례를 발표했습니다. 이 지침은 안전한 차량 개발 프로세스, 사고 대응 계획 및 지속적인 위험 모니터링을 강조합니다. 이는 ISO/SAE 21434 에 부합하며 커넥티드 차량의 취약성을 완화하기 위한 사전 예방적 접근 방식을 제공합니다(NHTSA, 2022).

문서 기록

잔돈	묘사	날짜
최초 출판	백서가 처음 발행되었습니다.	7-2025

15. 기여자

코너 화이트, Daon, Inc
리처드 커스레이크, FIDO 얼라이언스
앤드류 시키아르, FIDO 얼라이언스
니메시 슈리바스타바, 퀄컴 Inc.
드류 반 듀렌, 퀄컴 Inc.
Jens Kohnen, Starfish GmbH &; Co. KG
Tin T. Nguyen, VinCSS JSC
헤나 카푸르, 비자