제18조의3 (사이버보안)

자동차 사이버공격ㆍ위협과 관련된 자동차의 전기ㆍ전자장치는 법 제30조의9제1항에 따른 자동차 사이버보안 관리체계 인증을 받은 내용에 따라 다음 각 호의 기준에 적합해야 한다.

1. 자동차 사이버공격ㆍ위협과 관련된 자동차의 주요 구성요소가 식별되도록 할 것
2. 다음 각 목의 사항을 고려하여 해당 자동차의 형식에 대한 자동차 사이버공격ㆍ위협 관련 위험이 평가되도록 할 것
가. 자동차 사이버공격ㆍ위협과 관련된 자동차의 각 구성요소 및 그 구성요소 간의 상호작용
나. 자동차 사이버공격ㆍ위협과 관련된 자동차의 각 구성요소와 외부 시스템과의 상호작용
다. 국토교통부장관이 정하여 고시하는 자동차 사이버공격ㆍ위협을 포함하는 자동차 사이버공격ㆍ위협
3. 제2호에 따라 평가된 자동차 사이버공격ㆍ위협 관련 위험이 적절하게 관리되도록 할 것
4. 제2호에 따라 평가된 자동차 사이버공격ㆍ위협 관련 위험으로부터 자동차를 보호하기 위하여 국토교통부장관이 정하여 고시하는 보안 조치가 적용되도록 할 것. 다만, 국토교통부장관이 정하여 고시하는 보안 조치가 제2호에 따라 평가된 자동차 사이버공격ㆍ위협 관련 위험과 관련이 없거나 충분하지 않은 경우 별도의 적절한 보안 조치가 적용되어야 한다.
5. 자동차 판매 후 소프트웨어, 서비스, 응용 프로그램, 데이터의 저장 또는 실행 등을 목적으로 자동차에 인터페이스(차량 탑승자와 제작자등을 매개하는 소프트웨어를 말한다) 등 전용 환경을 제공하는 경우 자동차 사이버공격ㆍ위협으로부터 제공된 전용 환경을 보호하기 위한 보안 조치가 적용되도록 할 것
6. 제4호 및 제5호에 따른 보안 조치의 효과를 검증하기 위한 적절하고 충분한 시험을 실시할 것. 이 경우 국토교통부장관이 정하여 고시하는 사항에 대한 시험을 포함해야 한다.
7. 자동차 사이버공격ㆍ위협으로부터 자동차를 보호하기 위해 다음 각 목의 기능을 갖출 것
가. 자동차 사이버공격ㆍ위협 및 이와 관련된 자동차의 취약점을 탐지하고 방지하는 기능
나. 탐지된 자동차 사이버공격ㆍ위협 및 이와 관련된 자동차의 취약점을 제작자등이 모니터링할 수 있도록 지원하는 기능
다. 자동차 사이버공격ㆍ위협의 시도나 성공 여부 등에 대한 분석이 가능한 데이터 포렌식 기능
8. 해당 자동차의 형식에 대한 자동차 사이버공격ㆍ위협 관련 위험으로서 자동차의 부품 및 서비스 등을 공급하는 자와 관련된 위험이 식별되고 관리되도록 할 것