자동차 및 자동차부품의 성능과 기준에 관한 규칙
제30조
제1조(목적) 이 규칙은 「자동차관리법」 제29조제3항ㆍ제4항, 제29조의3제1항ㆍ제4항, 제30조제1항, 제32조제1항, 제50조제2항 및 같은 법 시행령 제8조 및 제8조의2에 따라 자동차 및 이륜자동차의 구조 및 장치에 적용할 안전기준, 자동차자기인증기준과 자동차 및 자동차의 부품 또는 장치의 안전 및 성능에 관한 시험에 적용할 기준 및 방법을 정함을 목적으로 한다. <개정 1997.1.17, 2003.2.25, 2005.8.10, 2009.1.23, 2014.2.21, 2017.1.9, 2019.12.31, 2020.12.24>
제18조의4(사이버보안) 자동차 사이버공격ㆍ위협과 관련된 자동차의 전기ㆍ전자장치는 법 제30조의9제1항에 따른 자동차 사이버보안 관리체계 인증을 받은 내용에 따라 다음 각 호의 기준에 적합해야 한다.
1. 자동차 사이버공격ㆍ위협과 관련된 자동차의 주요 구성요소가 식별되도록 할 것
2. 다음 각 목의 사항을 고려하여 해당 자동차의 형식에 대한 자동차 사이버공격ㆍ위협 관련 위험이 평가되도록 할 것
가. 자동차 사이버공격ㆍ위협과 관련된 자동차의 각 구성요소 및 그 구성요소 간의 상호작용
나. 자동차 사이버공격ㆍ위협과 관련된 자동차의 각 구성요소와 외부 시스템과의 상호작용
다. 국토교통부장관이 정하여 고시하는 자동차 사이버공격ㆍ위협을 포함하는 자동차 사이버공격ㆍ위협
3. 제2호에 따라 평가된 자동차 사이버공격ㆍ위협 관련 위험이 적절하게 관리되도록 할 것
4. 제2호에 따라 평가된 자동차 사이버공격ㆍ위협 관련 위험으로부터 자동차를 보호하기 위하여 국토교통부장관이 정하여 고시하는 보안 조치가 적용되도록 할 것. 다만, 국토교통부장관이 정하여 고시하는 보안 조치가 제2호에 따라 평가된 자동차 사이버공격ㆍ위협 관련 위험과 관련이 없거나 충분하지 않은 경우 별도의 적절한 보안 조치가 적용되어야 한다.
5. 자동차 판매 후 소프트웨어, 서비스, 응용 프로그램, 데이터의 저장 또는 실행 등을 목적으로 자동차에 인터페이스(차량 탑승자와 제작자등을 매개하는 소프트웨어를 말한다) 등 전용 환경을 제공하는 경우 자동차 사이버공격ㆍ위협으로부터 제공된 전용 환경을 보호하기 위한 보안 조치가 적용되도록 할 것
6. 제4호 및 제5호에 따른 보안 조치의 효과를 검증하기 위한 적절하고 충분한 시험을 실시할 것. 이 경우 국토교통부장관이 정하여 고시하는 사항에 대한 시험을 포함해야 한다.
7. 자동차 사이버공격ㆍ위협으로부터 자동차를 보호하기 위해 다음 각 목의 기능을 갖출 것
가. 자동차 사이버공격ㆍ위협 및 이와 관련된 자동차의 취약점을 탐지하고 방지하는 기능
나. 탐지된 자동차 사이버공격ㆍ위협 및 이와 관련된 자동차의 취약점을 제작자등이 모니터링할 수 있도록 지원하는 기능
다. 자동차 사이버공격ㆍ위협의 시도나 성공 여부 등에 대한 분석이 가능한 데이터 포렌식 기능
8. 해당 자동차의 형식에 대한 자동차 사이버공격ㆍ위협 관련 위험으로서 자동차의 부품 및 서비스 등을 공급하는 자와 관련된 위험이 식별되고 관리되도록 할 것