사이버보안 감사, 심사관이 진짜로 보는 건 이것입니다

 

– ISO/SAE 21434 인증심사 대응 전략 완전정복

 

1Ep. 공유 수석도 당황한 자동차 사이버보안 심사!?

2Ep. 자동차 사이버보안 인증, 처음이라면 반드시 알아야 할 21434 이야기

3Ep. TARA가 뭐야? 위협 분석은 무슨 일이고, 왜 이렇게 문서가 많아?!

4Ep. 사이버보안 계획서, 진짜 어떻게 써요?

5Ep. 사이버보안 감사, 심사관이 진짜로 보는 건 이것입니다

 

 

 

이제 본격적으로 외부 심사를 받는 단계에 진입합니다.
공유 수석, 전지현 선임, 권지용 사원도 드디어 감사(Audit)를 준비하며 긴장하는 순간입니다.

 

💬 회의실, 오후 4시

공유 수석:
“다음 주에 인증 심사 시작이래요. 뭘 준비해야 하죠?”
전지현 선임:
“심사관은 ‘문서 기반 증빙’을 봅니다. 시스템이 실제로 운영되고 있다는 근거가 핵심이에요.”

 

📌 사이버보안 감사란?

항목	설명
정의	사이버보안 관리 시스템(CSMS)이 ISO 21434에 맞게 운영되고 있는지 점검하는 활동
종류	사내 내부 감사, 외부 인증기관 심사 (예: TÜV, SGS, KAB 등)
시기	개발 초기~양산 전, 변경 시점 등
목적	인증 획득, 위험 사전 점검, 고객 대응 역량 증명 등

 

📋 심사 시 반드시 필요한 문서들

아래는 ISO/SAE 21434에서 심사관이 요청할 가능성이 높은 Work Products 목록입니다.

1. 정책 및 조직 문서 (WP-05)
   • 사이버보안 정책서
   • 역할 및 책임 정의 문서
   • 인식/교육 자료 및 이력
   • 보안 툴 관리 방침
2. 계획 및 절차 문서 (WP-06)
   • Cybersecurity Plan (계획서)
   • Cybersecurity Case (보안 주장 문서)
   • Assessment Report (자체 평가 보고서)
3. 분석 및 기술 문서 (WP-09, 10, 15)
   • TARA 결과
   • 보안 설계 명세서
   • 검증/시험 보고서 (Fuzz, Pen-test 포함)
   • 취약점 관리 이력
4. 운영 및 유지관리 문서 (WP-08, 13)
   • 사이버보안 이벤트 대응 계획
   • 사고 대응 및 리포트 예시
   • 변경관리 이력
5. 공급망 관련 문서 (WP-07)
   • Cybersecurity Interface Agreement (CSIA)
   • 공급업체와의 역할/책임 정의(RASI 매트릭스 등)

심사관이 자주 묻는 질문 유형

질문	대응팁
“보안 책임자는 누구인가요?”	조직도 및 역할정의 문서, 교육 이력으로 대응
“보안 사고 대응 체계는 있나요?”	사고 대응 프로세스 문서 + 모의훈련 증적
“이 보안 요구사항은 어떤 리스크 분석에서 도출된 건가요?”	TARA 문서와 연계된 요구사항 추적 테이블
“이 변경은 리스크 재평가 했나요?”	변경관리 기록 + TARA 업데이트 로그
“공급업체와 보안 역할은 어떻게 나뉘나요?”	CSIA 문서 및 RASI 매트릭스 제시

 

🛠 실무 꿀팁: 문서 대응 5대 원칙

문서 번호 & 버전 관리 필수

→ 심사관이 가장 먼저 보는 건 “버전 관리가 되는가?”입니다.

 

작성자와 승인자 명시

→ 책임성 확보. ‘사인 없는 문서’는 미승인 문서로 간주됨.

 

연계된 문서 링크 삽입 (Traceability)
→ 예: TARA 결과 → 보안 요구사항 → 설계 명세 → 테스트 리포트

 

정기 업데이트 기록 필수

→ 작성일자, 변경사유, 변경 이력 테이블은 기본

 

심사 Check-list 사전 점검 필수

→ 심사 전에 자체 사전감사로 리스크 제거

 

감사는 문서와 실무의 일치 여부를 보는 것입니다

공유 수석:
“문서만 잘 쓰면 되는 줄 알았는데, 실제 실행을 증명할 수 있어야 하네요.”
전지현 선임:
“네, 그래서 우리는 ‘지켜지고 있는 보안을 증명하는 문서’를 만들어야 해요”