Journal Search Engine

View PDF Download PDF Export Citation Korean Bibliography PMC Previewer
The Journal of The Korea Institute of Intelligent Transport Systems Vol.25 No.3 pp.83-96
DOI : https://doi.org/10.12815/kits.2026.25.3.83

A Quantitative Evaluation Framework for Cybersecurity to Enhance Privacy in Cooperative Automated Driving Environments

Joon-yong Park*, Kim Dong Geun**
*Dept. of SmartCity, Univ. of Seoul
**Dept. of Urban Engineering, Univ. of Seoul
Corresponding author : Joon-yong Park, jypark226@uos.ac.kr
9 May 2026 │ 2 June 2026 │ 13 June 2026

Abstract


Cooperative automated driving enhances safety through V2X communication but increases privacy risks due to the continuous processing of location and behavioral data. This study addressed the challenge of achieving both safety and privacy by analyzing the V2X data lifecycle—collection, usage, storage, sharing, and disposal—and identifying associated risks and protection requirements. Key issues, including pseudonym certificate management, certificate revocation, misbehavior detection, and NR V2X vulnerabilities, were identified using ETSI, IEEE, 3GPP standards, and the Korea SCMS framework. Based on this analysis, a cybersecurity evaluation framework is proposed that operationalizes standard requirements into measurable quantitative metrics, pass/fail criteria, and evidence-based validation structures. The framework incorporates p95-based latency control, coverage thresholds, and detection performance metrics, enabling reproducible evaluation in real-world environments and providing a practical basis for assessing the cybersecurity and privacy compliance of cooperative automated driving systems.



자율협력주행 환경에서 프라이버시 강화를 위한 사이버보안 정량 평가 프레임워크

박준용*, 김동근**
*서울시립대학교 스마트시티학과 박사과정 학생
**서울시립대학교 도시공학과 겸임교수

초록


자율협력주행은 V2X 통신을 통해 안전성을 향상시키는 반면, 위치 및 행동 데이터의 연속 적 처리로 개인정보 유·노출 위험을 증가시킨다. 본 연구는 V2X 데이터 흐름을 수집–이용– 저장–공유–폐기로 구분하고, ETSI, IEEE, 3GPP 및 국내 SCMS 분석을 통해 가명인증서 운영, 인증서 폐기, 오행위 검출, NR V2X 취약성 등 핵심 이슈를 도출한다. 이를 기반으로 표준 요구 사항을 정량 지표, 합격선, 증적 기반으로 운영화한 사이버보안 평가 프레임워크를 제안한다. 제안된 프레임워크는 p95 기반 지연 통제, 적용률 기준, 탐지 성능 지표를 포함하며, 실제 환경 에서 재현 가능한 평가를 지원한다.



    Ⅰ. 서 론

    1. 개요

    자율협력주행(Connected Autonomous Driving)은 차량·인프라·보행자 간 V2X1) 통신을 통해 상황인지를 확장하여 안전성을 향상시키지만, 연속적인 위치·시간·행동 데이터 처리로 인해 심각한 개인정보 위험을 수반한다. 이렇게 처리된 개인정보는 차량간 의사를 전달하는 ‘자율협력주행’으로 발전하고 있으나 드러나는 문제점은 “자동차의 연결성 확대는 자동차에 대한 해킹 등의 사이버공격 리스크를 발생시키며, 이로 인해 운전자와 보행자의 생명과 안전을 위협할 수 있다”라고 보안 문제를 지적하였다(UNECE, 2021).

    본 연구는 자율협력주행에서 “안전성 확보”와 “개인정보 보호”의 균형을 달성하기 위한 기술·제도적 방안을 통합적으로 모색한다. 먼저, 자율주행 간 V2X 데이터 흐름을 수집–이용–저장–공유–폐기 단계로 세분화하고, 라이프사이클 각 단계별 개인정보 항목(직접·간접식별자, 궤적·컨텍스트 데이터)을 도출한다. 이어서 ETSI(European Telecommunications Standards Institute) TS2) 102 940/102 941, TS 103 097 및 IEEE 1609.2, 3GPP TS 33.533 등 국제 표준과 국내 C-ITS3) 보안인증 체계를 정의하고, 가명인증서 운영, 대량 폐기(Revocation) 확장성, 오용·오행위(Misbehavior) 검출, NR V2X4) 사이드링크 보안취약점 등 핵심 이슈를 비교·분석한다. 그 결과를 바탕으로 (1) Privacy-by-Design SCMS(Security Credential Management System): 가명주기 최적화·동기화, 지역성 기반 CRL5) 증명 갱신, 분산형 해지 신속화, (2) 프라이버시 강화형 MBD6): 링크성·재식별 위험을 낮추는 검출 로직과 에지 처리, (3) 데이터 최소화·목적 제한: 애플리케이션별 최소 데이터셋·보존기간 프로파일, (4) 법제 정합성 프레임워크: PIPA7) 가명정보 규정과 GDPR8) 원칙의 정합성을 체크리스트를 통해 점검할 수 있고 실무운영자가 즉시 적용할 수 있는 최소 안전 보장 가이드라인을 정량적 평가 프레임워크로 구성하였다.

    2. 연구의 목표

    자율협력주행이 대규모 상용화·실증 단계로 진입하면서 “CRL 폭증”, “NR V2X 사이드링크 취약점”, “에지 기반 MBD의 프라이버시 한계”, “PIPA·GDPR 정합성” 같은 과제가 동시에 이슈화되고 있음에도 불구하고 현재 표준은 보안 메커니즘을 정의할 뿐, 실제 도로 운영에서 안전성과 프라이버시 사이의 Trade-off를 해결할 구체적인 ‘합격 기준(Pass Criteria)’을 제시하지 못하고 있다. 이에 본 연구는 자율주행 자동차와 V2X 인프라 간의 안전한 데이터 흐름을 위해 수집·이용·저장·공유·폐기로 세분화하여 개인정보의 위험을 알아보고 국제 표준(ETSI/IEEE/3GPP)과 국내 SCMS를 매핑한 후, 안전·프라이버시 요구를 정립하여 가명인증서 운영, 대량 해지 확장성, 오용·오행위 검출, NR V2X 사이드링크 취약점 등 핵심 이슈를 계량 지표로 비교·분석한 다음, MBD·데이터 최소화·법제 등을 점검할 수 있는 체크리스트로 구성된 핵심 기준을 제시하는 것을 목표로 한다. 따라서 연구 절차는 자율협력주행 안전성 확보 맥락에서 개인정보 보호의 동시 달성을 위한 국제 표준 컴플라이언스 및 국내 C-ITS 보안인증 체계를 중심으로 관련 기준들을 조사하고 비교·분석하여 라이프사이클 단계별 안전성 확보를 위한 개인정보 보호 이슈를 완화할 수 있는 프레임워크를 제시한다.

    Ⅱ. 본 론

    1. 개인정보 라이프사이클 각 단계별 주요 이슈

    자율협력주행에서 개인정보 보호 이슈는 라이프사이클 단계별로 나타나고 있으며, 대부분 차량과 차량사이, 차량과 V2X 인프라에서 연속적 위치·행동 데이터 처리로 개인정보 위험이 증대되고 있다. 본 연구는 자율협력주행 환경에서 발생하는 개인정보 및 보안 위협을 실질적으로 제어하기 위해, <Table 1>에서 식별된 데이터 라이프사이클별 이슈를 기반으로 기술적 메커니즘을 정의하는 국제 표준들이 실제 도로 운영 환경에서 안전성과 프라이버시를 동시에 담보할 수 있는 기준인 ‘8개 핵심 합격선(Must-pass Criteria)’을 도출하고, 이를 중심으로 다음과 같은 단계별 대응 체계를 제안한다. <Table A1>은 국제 표준에서 정의하는 보안·프라이버시 요구사항과 본 연구에서 제안한 운영 지표 간의 연계성을 검증하기 위해 작성되었다. 각 점검 항목은 ETSI, IEEE, 3GPP 및 국내 SCMS 문서에서 반복적으로 제시되는 요구사항을 분석하여 도출하였으며, 운영 환경에서 측정 가능하도록 재구성하였다. 이를 통해 표준 요구사항이 실제 평가 지표로 어떻게 전환되는지를 추적 가능하도록 하였다.

    <Table 1>

    comparison table of key issues

    Issue Core Issues (The Problem) Residual Risks & Research Necessity
    Pseudonym certificate operations Trade-off in Change Frequency : Frequent changes increase communication latency, while infrequent changes allow for trajectory tracking. Risks of shrinking ‘Anonymity Sets’ due to weakened synchronization in specific patterns.
    Large-scale revocation (CRL) Limits in Scalability & Real-time Performance : Increasing CRL size slows down distribution and verification, leading to security gaps where revoked vehicles continue broadcasting. Potential collapse of the trust framework during offline scenarios or time-sync errors.
    Misbehavior detection (MBD) Conflict between Accuracy and Privacy : Centralized detection poses high privacy risks, while edge-based detection suffers from unbalanced data quality. Absence of an optimal threshold (Balance) between signal integrity and data subject protection.
    NR V2X sidelink (PC5) risks Security Vulnerabilities in Connectionless Zones : Susceptibility to resource and feedback manipulation attacks when out of coverage. Communication disruptions and ‘Information Exposure Windows’ caused by rekeying latency.
    <Table A1>

    Checklist for Responding to Key Issues

    No. Issue Core Question Grade Pass Criteria Evidence
    1 Pseudonym Is the pseudonym policy (τ_max, d*, τ_mix) documented and deployed to all OBUs? Should Latest policy, deployed fleet-wide Policy doc, deployment logs
    2 Pseudonym Does rotation strictly follow τ_p = min{τ_max, d*/v, τ_mix}? MUST Violation rate = 0% OBU rotation logs / simulation
    3 Pseudonym Is short post-switch radio silence applied (s ∈ [s_min, s_max])? MUST 100% applied RF traces / stack logs
    4 Pseudonym Is co-switching size within the sync window sufficient? Should k_omega ≥ k_{min}
    (e.g., ≥5)
    RSU/vehicle stats
    5 Pseudonym Is “safety lock” active to pause rotation under hazardous states? Should Policy active; tests pass Scenario test logs
    6 CRL Is daily full-CRL publish/distribute/verify fault-free? MUST 0 failures Distribution & signature logs
    7 CRL Does regional delta-CRL cadence meet policy? Should Deviation ≤ policy Scheduler logs
    8 CRL Is CRL apply ratio sufficient? MUST R(t) ≥ 99% Node apply statistics
    9 CRL Is CRL apply latency p95 within target? MUST ApplyTime_{95} ≤ Δ_max
    (e.g., 60 s)
    Apply latency report
    10 CRL Are CTL/CRL versions strictly monotonic? MUST v_t > v_{t-1} always Version history, verify logs
    11 MBD Is the edge minimal feature set (data minimization) enforced? Should No extra fields Config/code review
    12 MBD Is interop failure rate within target? MUST FR ≤ θ
    (e.g., 0.1%)
    Interop test results
    13 MBD Is detection recall at/above target? MUST Recall ≥ α
    (e.g., 0.90)
    Offline/field evaluation
    14 MBD Is false-positive p95 within target? MUST FP_{95} ≤ β
    (e.g., 0.05)
    Operations statistics
    15 MBD Are evidence objects (signature & timestamp) 100% valid? MUST 100% valid Evidence validator logs
    16 Rekey
    (NR V2X)
    Is rekey latency p95 within SLO? MUST RekeyTime_{95} ≤ T_{rk}
    (e.g., 1 s)
    Rekey measurement report
    17 Rekey
    (NR V2X)
    Is rekey success ratio within target? MUST S ≥ S_{min}
    (e.g., 99%)
    Attempt/success counts
    18 Rekey
    (NR V2X)
    Does grace window γ keep transition drop rate within target? Should Drop rate ≤ target
    (e.g., ≤0.1%)
    Receiver drop-rate stats
    19 Rekey
    (NR V2X)
    Is ACK/NACK integrity verification enforced? MUST 100% verified Protocol logs
    20 Rekey
    (NR V2X)
    Are in/out-coverage mode transitions free of security outages? MUST 0 outages Transition scenario logs

    첫째, 수집 단계에서는 가명 인증서 교체 규칙(τp)과 무선 침묵(s)의 100% 준수를 ‘필수 합격선’으로 설정한다. 이는 단순한 빈도 조절을 넘어 시간·거리·이벤트를 혼합한 기술적 강제를 통해 재식별 위험을 원천 차단하기 위함이다. 둘째, 이용 단계에서는 인증서 폐기목록(CRL)의 적용율(R(t) ≥ 99%)과 지연시간(p95)을 통제한다. 특히 대량 해지에 따른 확장성 문제를 해결하기 위해 권역별 델타(Delta) 업데이트와 ‘셀프 폐기’ 방식의 도입을 보안 운영의 필수 요건으로 정의한다. 셋째, 저장 및 공유/전송 단계에서는 Hardware Security Module(보안칩/HSM) 기반의 안전 보관과 Edge(차량/RSU)에서의 데이터 가공을 의무화한다.

    원시 궤적정보 대신 요약 정보만을 공유함으로써 데이터 최소화 원칙을 실현하고, 향후 사고 조사를 위한 책임추적성(Tracing) 증거만을 선별적으로 남기는 ‘최소 기록 원칙’을 합격 기준으로 제시한다. 넷째, 파기 및 공통 보안 단계에서는 만료된 데이터의 자동 삭제 프로세스와 오용·오행위(MBD) 검출의 재현율(Recall) 지표를 관리한다. 특히 NR V2X 사이드링크의 취약 절차를 보완하기 위한 키-재분배 지연시간 제한을 설정하여 통신 성능과 보안의 균형점을 명확히 한다. 결론적으로 본 논문은 이러한 ‘8개 핵심 합격선’을 실무적으로 검증할 수 있도록 Appendix <Table A1>에 20개의 상세 기술 지표를 구현 가이드로 제시하며, 이는 실제 현장에서 즉시 적용 가능한 ‘한국형 V2X 보안인증 평가 프레임워크’로서의 실효성을 확보하는 핵심 도구가 된다. 다만, 데이터 라이프사이클 기반의 단계별 대응 체계는 개인정보 처리 흐름에 따른 관리 관점을 의미하며, 이후 제시하는 가명인증서 운영, CRL 확장성, MBD, NR V2X Re-keying은 이러한 라이프사이클 전반에 걸쳐 영향을 미치는 핵심 보안 이슈 관점의 평가 기준이다.

    2. 국제 표준과 국내 C-ITS 보안인증 체계

    1) ETSI TS 102 940(Security Architecture & Management)

    V2X 통신을 위한 C-ITS 보안 아키텍처를 정의한 표준이며, 차량 간 안전한 정보 교환을 위해 인증, 무결성, 프라이버시 보호 등 핵심 보안 요구사항을 규정하고 있다. 특히 인증서 기반의 메시지 서명과 익명성 보호를 통해 자율협력주행 환경에서 신뢰성과 보안성을 확보하는데 중점을 두고 있다(ETSI, 2021a).

    2) ETSI TS 102 941(Security Management — Certificates/Revocation)

    V2X 통신에서 차량 인증서의 발급, 갱신, 폐기 등 전반적인 관리 절차를 정의한 보안 인프라 표준이며, 차량간 안전한 메시지 교환을 위해 PKI9)를 활용한다. 또한 프라이버시 보호를 위해 익명 인증서 사용과 주기적 교체를 지원하여 자율협력주행 환경에서 신뢰성과 보안성을 강화한다(ETSI, 2021b).

    3) ETSI TS 103 097(Security Header & Certificate Profiles)

    V2X 통신에서 차량간 메시지의 보안 형식을 정의한 표준이며, 이 표준은 CAM10), DENM11) 등 다양한 메시지 유형에 대해 무결성과 인증을 보장하고, 또한 프라이버시 보호를 위해 익명 인증서 사용을 지원하여 메시지 위·변조 방지와 신뢰성 확보를 통해 안전한 자율협력주행 환경을 조성한다(ETSI, 2021c).

    4) IEEE 1609.2-2022(WAVE Security Services)

    차세대 차량 무선 통신(WAVE) 환경에서 응용 및 관리 메시지의 보안 서비스를 정의하며, WAVE 장치용 보안 메시지 포맷 및 처리 방식을 규정하고, 관리 메시지와 응용 메시지 모두에 대한 암호화 및 인증 기능을 지원하여 V2V, V2I 통신의 보안 강화를 목표로 차량 운행 안전성 향상에 기여한다(Kang et al., 2014).

    5) 3GPP TS 33.533(5G NR V2X)

    5G 기반 V2X 통신의 보안 요구사항과 절차를 정의한 표준이며, V2V 및 V2I 간 통신에서 인증, 무결성, 프라이버시 보호를 보장하기 위해 보안 아키텍처와 키 관리, 인증서 기반 접근 제어 등을 규정하고, 특히 5G 네트워크와 연계된 V2X 서비스의 신뢰성과 안전성을 확보하는 데 중점을 둔다(ETSI, 2021d).

    6) 국내 C-ITS 보안인증 체계(SCMS/CCMS)

    국내 보안인증 체계의 SCMS12)는 미국 SCMS 구조와 유럽 ETSI 표준을 참조하여 개발된 V2V 통신의 보안성과 프라이버시 보호를 위한 인증서 관리 체계이다. CCMS13)는 한국형 C-ITS에 맞춰 개발된 인증 인프라로, 국내 교통환경과 법·제도에 적합한 보안·인증 기능을 제공하고 두 체계 모두 V2X 통신의 안전성과 신뢰성을 확보하는 핵심 역할을 한다(CADIDC, 2023). <Table 2>는 ETSI, IEEE, 3GPP 및 국내 SCMS/CCMS의 역할과 적용 범위를 비교한 것으로, 각 표준이 담당하는 보안 기능과 상호 연계 구조를 정리하였다. 이를 통해 개인정보 보호 관련 요구사항이 어떠한 표준 체계를 통해 구현되는지를 확인할 수 있다.

    <Table 2>

    comparison table of Security Certification

    Standard / System Scope & Purpose Core Contents Interactions & Dependencies
    ETSI TS 102 940 Reference architecture and roles for European C-ITS security Security domains, entities (OBU/RSU/CAs), policy & risk mgmt, misbehavior framework, operational processes Provides top-level design that ties to TS 102 941 and TS 103 097
    ETSI TS 102 941 PKI trust chain and certificate lifecycle operations EA/AA roles, issuance/renewal/revocation, CTL/CRL handling, linkage/misbehavior reporting Implements the trust layer under TS 102 940; uses TS 103 097 encodings; basis for national SCMS operations
    ETSI TS 103 097 Security formats for V2X messages (e.g., CAM/DENM) Signatures, security headers, certificate/policy (SSP) structures, CTL/CRL expressions and extensions Works with TS 102 941 trust processes; many mapping points to IEEE 1609.2 for interop
    IEEE 1609.2-2022 North American message security specification Signature/certificate structures, policy/extension fields, app security profiles Conceptually parallel to ETSI TS 103 097; requires profile mapping for cross-region interop
    3GPP TS 33.533 Security requirements and key management for NR V2X UE authorization, broadcast/groupcast key hierarchy, integrity/privacy considerations, rekeying procedures Does not replace C-ITS PKI; integrates at OBU/RSU stack and policy level with ETSI/IEEE layers
    Korea SCMS/CCMS National operational framework for C-ITS credential management EA/AA operations, CTL/CRL distribution (full + delta), conformance and audit processes, linkage/governance Implements ETSI 102 940/941/103 097 principles in local operations; integrates with Seoul/Sejong pilot infrastructures

    3. 개인정보 보호의 핵심 이슈별 정량적 평가 기준 도출

    본 연구에서 제안한 8개의 핵심 합격선은 ETSI TS 102 941, ETSI TS 103 097, IEEE 1609.2 및 3GPP TS 33.533에서 정의하는 보안·프라이버시 요구사항을 운영 환경에서 직접 측정 가능한 항목으로 재구성한 결과이다. 기존 V2X 보안 표준은 인증, 인증서 관리, 폐기, 이상행위 탐지, 접근통제, 데이터 최소화, 로그 관리 등 요구사항을 기술적으로 정의하고 있으나, 실제 운영 환경에서의 합격 여부를 판단하기 위한 정량적 기준은 제시하지 않는다. 이에 따라 본 연구는 (1) 개인정보 보호에 직접 영향을 미치는지, (2) 운영 로그 또는 시스템 계측을 통해 측정 가능한지, (3) 합격·불합격 판정이 가능한지의 세 가지 선정 기준을 적용하여 최종 8개의 핵심 평가 지표를 도출하였다. 특히 인증서 갱신 지연, 인증서 폐기 전파 지연, 이상행위 탐지 성능과 같은 항목은 요구사항 준수 여부보다 운영 성능 수준이 개인정보 보호 효과에 직접 영향을 미친다. 아울러 <Fig. 1>은 본 연구에서 제안한 정량적 평가 프레임워크의 도출 과정을 나타낸다.

    KITS-25-3-83_F1.jpg
    <Fig. 1>

    Design Process of the Quantitative Evaluation Framework

    국제 표준과 국내 SCMS 요구사항을 기반으로 V2X 데이터 라이프사이클을 분석하고, 개인정보 보호 핵심 이슈를 식별한 후, 영향성·측정 가능성·합격/불합격 판정 가능성을 기준으로 8개의 핵심 합격선(Must-Pass Metrics)을 도출하였다. 이후 각 지표를 20개의 운영 점검 항목과 연계하여 정량적 평가 프레임워크로 구성하였다. 본 연구에서 제안한 합격선은 특정 실험 환경에서 도출된 최적값이 아니라, 국제 표준이 요구하는 보안·프라이버시 목표를 운영 환경에서 검증 가능하도록 구체화한 초기 기준선(baseline)이다. 특히 적용률(R≥99%)은 폐기된 인증서가 장기간 활성 상태로 남는 위험을 최소화하기 위한 운영 요구 수준이며, p95 지연 기준은 평균값이 아닌 꼬리 지연(tail latency)에 의해 발생하는 위험 창(risk window)을 통제하기 위해 적용하였다. 또한 MBD의 Recall≥0.9는 안전 관련 오탐보다 미탐(false negative)의 영향을 우선 고려한 기준이며, Re-keying 성공률(S≥99%)은 통신 단절 및 정보 노출 가능성을 최소화하기 위한 최소 운영 수준으로 설정하였다. 따라서 본 연구는 단순한 보안 기능의 존재 여부가 아닌, 운영 과정에서 지속적으로 측정·관리 가능한 정량 지표와 합격 기준을 제안함으로써 개인정보 보호 수준을 객관적으로 평가할 수 있는 체계를 제시하고자 한다.

    V2X 환경에서 자율협력주행의 안전성과 개인정보 보호를 달성할 핵심 이슈에 대해 주요 평가방안은 (1) 가명 교체로 링크성(연속 추적) 위험을 억제하고, (2) 대량 폐기시 CRL의 전송 및 적용을 보장하며, (3) 오용·오행위(MBD) 검출을 프라이버시가 침해되지 않는 선에서 충분히 정확하게 수행하고, (4) NR V2X 사이드링크에서 키 교체(Re-keying)를 빠르게 끝내 끊김과 노출 창을 줄이는 데 있다. 본 연구는 자율협력주행의 개인정보 보호와 안전성 확보를 위해 네 가지 핵심 이슈에 대해 “합격선”을 판정하는 최소 조치 세트를 제안한다. 첫 번째, “가명 인증서 운영”은 ① 실제 교체가 ‘τp = min{τmax, d*/v, τmix}’ 규칙을 100% 준수하도록 OBU 정책을 배포하고, 위배 시 즉시 알림·롤백·정책 재배포로 복구한다. ② 권역 동기화 창에서 동시 교체 규모 KωKmin 이상이 되도록 RSU가 이벤트(신호·램프 진입 등)를 브로드캐스트하고, 저밀도 구간은 윈도 확장으로 보완한다. 두 번째, “대량 해지(CRL) 확장성”은 ① 적용율 R(t) ≥ 99%와 적용 지연 p95 ≤ Δmax를 운영 KPI로 고정하고, 미적용 노드에 자동 재전파·재시도를 걸어 종단까지 적용을 담보한다. ② CTL/CRL 버전은 Vt > Vt−1의 단조 증가를 강제하여 롤백·충돌을 차단하고, 서명·배포 파이프라인에 버전 게이트와 서명 검증을 CI 단계에서 선제 적용한다. 세 번째, “오용·오행위(MBD)”는 ① 재현율(Recall) ≥ α 달성을 위해 Edge 경량 모델과 임계치 캘리브레이션을 정례화하고, 데이터는 최소 피처셋만 사용한다. ② 오탐 p95 ≤ β와 증거 객체(서명·타임스탬프) 100% 유효성을 동시에 요구하며, 위반 시 피처 정제·모델 재학습·증거 포맷 검사 룰을 즉시 갱신한다. 네 번째, “NR V2X Re-keying”은 ① Re-keying p95 ≤ Trk·성공률 SSmin을 서비스 SLO로 고정하고, 브로드캐스트 그룹, 재전송 윈도·그룹 크기·타이머를 현장 캘리브레이션한다. ② 유예창 γ를 짧게 운용해 Key(old)·Key(new) 동시 수용하는 동안의 낙하율을 목표 이하로 억제하고, 종료 시 일괄 수렴으로 노출 창을 최소화한다.

    <Table 3>은 본 연구에서 제안한 8개 핵심 합격선을 측정값(Metric), 합격선(Pass Criteria), 증적(Evidence)의 형태로 운영화한 결과를 제시하며, 상세 표준 매핑과 20개 점검 항목은 Appendix <Table A1>에 수록하였다. 따라서 <Table 3>에서 제시한 8개 합격선 지표가 모두 충족될 경우, 표준 정합성, 실시간성 및 개인정보 보호 요구사항을 균형 있게 만족하는 것으로 판단할 수 있다. 이를 계량화하면 다음과 같다.

    <Table 3>

    Quantitative Evaluation Criteria for the 8 Must-Pass Metrics

    No. Issue
    (Life-cycle)
    Core Question Metric Pass Criteria Evidence
    1 Pseudonym<Collection> Does pseudonym change strictly follow τ_p = min{τ_max, d*/v, τ_mix}? Violation rate 0% (no deviations) OBU rotation logs / sim report
    2 Pseudonym<Collection> Is short post-switch radio silence applied? (s ∈ [s_min, s_max]) Silence apply rate 100% applied RF traces / stack logs
    3 CRL<Usage> Are CRL apply ratio and latency within targets? R(t), ApplyTime_95 R ≥ 99%, p95 ≤ Δ_max Distribution & apply reports
    4 CRL<Usage> Is CTL/CRL version strictly monotonic? v_t > v_{t-1} Always true Version history, signature checks
    5 MBD<Storage/Sharing> Is detection recall at or above target? Recall ≥ α (e.g., 0.90) Offline/field evaluation
    6 MBD<Storage/Sharing> Is false-positive p95 within target and is evidence 100% valid? FP_95, ValidEvidence FP_95 ≤ β (e.g., 0.05); 100% valid Ops stats; evidence validator logs
    7 Rekey (NR V2X)<Disposal> Are rekey latency p95 and success ratio within SLO? RekeyTime_95, S p95 ≤ Trk (e.g., 1 s); S ≥ 99% Rekey measurement report
    8 Rekey (NR V2X)<Disposal> Does the grace window γ keep transition drop rate within target? Drop rate during γ ≤ target (e.g., ≤ 0.1%) Receiver drop-rate stats
    <Table A2>

    Calibration Measurement List for Field Situations

    No. Issue Core Question Pass Criteria Grade
    1 Pseudonym Is the pseudonym policy (τ_max, d*, τ_mix) documented and deployed fleet wide? Latest policy, applied to all systems Should
    2 Pseudonym Does rotation strictly follow τ_p = min{τ_max, d*/v, τ_mix}? Violation rate 0% MUST
    3 Pseudonym Is short post switch radio silence applied (s ∈ [s_min, s_max])? Applied in 100% of cases MUST
    4 Pseudonym Is the co switching size within the sync window sufficient? k_ω ≥ k_min (e.g., ≥5) Should
    5 Pseudonym Is a safety lock active to pause rotation under hazardous states? Policy active; tests pass Should
    6 CRL Scalability Is daily full CRL publish/distribute/verify fault free? 0 failures MUST
    7 CRL Scalability Does regional delta CRL cadence meet policy? Deviation ≤ policy Should
    8 CRL Scalability Is the CRL apply ratio sufficient? R(t) ≥ 99% MUST
    9 CRL Scalability Is CRL apply latency p95 within target? ApplyTime_95 ≤ Δ_max (e.g., 60 s) MUST
    10 CRL Scalability Are CTL/CRL versions strictly monotonic? v_t > v_{t-1} always MUST
    11 MBD Is the edge minimal feature set (data minimization) enforced? No extra fields Should
    12 MBD Is interop failure rate within target? FR ≤ θ (e.g., 0.1%) MUST
    13 MBD Is detection recall at or above target? Recall ≥ α (e.g., 0.90) MUST
    14 MBD Is false positive p95 within target? FP_95 ≤ β (e.g., 0.05) MUST
    15 MBD Are evidence objects (signature & timestamp) 100% valid? 100% valid MUST
    16 Rekey (NR V2X) Is rekey latency p95 within SLO? RekeyTime_95 ≤ T_rk (e.g., 1 s) MUST
    17 Rekey (NR V2X) Is rekey success ratio within target? S ≥ S_min (e.g., 99%) MUST
    18 Rekey (NR V2X) Does the grace window γ keep transition drop rate within target? Drop rate ≤ target (e.g., ≤0.1%) Should
    19 Rekey (NR V2X) Is ACK/NACK integrity verification enforced? 100% verified MUST
    20 Rekey (NR V2X) Are in/out coverage mode transitions free of security outages? 0 outages MUST

    ∙ 가명 인증서 교체(Privacy-by-Design)(ETSI, 2025a)는 식 (1)과 같이 정의한다.

    τ p = min { τ max , d * v , τ mix } , s U ( s min , s max ) , k ω k min
    (1)

    인증서의 교체 주기는 시간 상한(τmax), 목표 거리(d*)를 속도 v로 환산한 값, 이벤트/동기화 트리거(τmix) 중 가장 이른 시점으로 결정한다. 교체 직후 짧은 무선 침묵 s를 주고, 권역 동기화 창 ω에서 동시 교체 차량 수 kω가 기준 kmin 이상이 되도록 운영해 익명성 집합을 확보한다.

    ∙ CRL 전파·적용 보장(대량 해지 확장성)(ETSI, 2021e)은 식 (2)와 같다.

    R ( t ) = | applied ( t ) | | targets | R min , ApplyTime 95 Δ max , v t > v t 1
    (2)

    시각 t에서 적용율 R(t)이 최소 보장치 Rmin 이상, 적용 지연 p95가 Δmax 이하가 되도록 하고(풀+권역 델타 배포), CRL/CTL 버전은 단조 증가(vt)로 롤백·혼선을 차단한다.

    ∙ 오용·오행위(MBD) 정확도–프라이버시 균형(ETSI, 2025b)은 식 (3)과 같이 정의한다.

    min F | F | s.t. Recall α , FP 95 β , ValidEvidence = 1
    (3)

    Edge(차량/RSU)에서 사용하는 피처 집합 F에 대해 데이터를 최소화하면서, 재현율(Recall) 임계 α 이상·오탐 p95 β 이하를 만족해야 하고, 제출되는 증거 객체(서명·타임스탬프)는 모두 유효해야 한다.

    ∙ NR V2X 사이드링크 Re-keying(SLO)(ETSI, 2025c)은 식 (4)와 같다.

    RekeyTime 95 T rk , S = A B S min , γ grace : accept ( K old , K new )
    (4)

    Re-keying p95가 목표 Trk 이하, 성공률 S=(A=#success, B=#attempts)는 Smin 이상이어야 한다. 전환 구간 충돌을 줄이기 위해 짧은 유예창 γ 동안 Key(Old)·Key(New)를 모두 허용한 뒤 일괄 수렴시킨다.

    계량화된 각 단계별 <Table 3>의 정량 지표(합격선) 정의와 운영화를 위한 기준은 KPI/SLO에 대한 특정 실증 데이터셋에 대한 경험적 최적값을 주장하는 것이 아니라, ETSI/IEEE/3GPP가 제시하는 보안·프라이버시 요구를 국내 SCMS/CCMS 운영 환경에서 검증 가능한 합격선으로 전환하기 위해 설정한 초기 기준선(baseline)이다. 제시된 표준은 주로 요구사항과 절차를 규정하고, 수치 임계값(얼마나 빠르게/얼마나 넓게/얼마나 정확히)은 서비스 유형·교통 밀도·커버리지 조건에 따라 달라지는 운영 설계 영역이다. 이에 본 연구는 (i) 위험 노출창을 제한하는 시간 상한(Δmax, Trk), (ii) 잔존 위험을 방치하지 않기 위한 적용/성공률 하한(Rmin, Smin), (iii) 프라이버시 최소화와 안전성 확보를 동시에 강제하는 탐지 품질 하한(α) 및 오탐 꼬리 상한(β)을 파라미터화하여 정의하고, 향후 현장 캘리브레이션으로 조건별 재설정 가능한 형태로 제시한다.

    위의 <Table 4>에서 제시한 ‘표준 영역(Standards Domain)’은 특정 조항에 대한 일대일 대응을 의미하는 것이 아니라, 국제 표준에서 정의하는 요구 범주를 기준으로 한 것이다. 본 연구에서 제안한 지표와 기준선은 이를 운영 환경에서 측정 가능한 KPI/SLO 형태로 재구성한 것이며, 절대적 최적값을 의미하는 것이 아니라, 위험 노출을 제한하기 위한 초기 운영 기준선(baseline)으로 설정되었으며 향후 실증을 통해 조정될 수 있다.

    <Table 4>

    Operationalization of Standard Requirements : Standard - Operation Traceability for the 8 Must-Pass Metrics

    No. Must-Pass Metric (Summary) Standards Domain (Requirement Area) Operational Baseline (Metric / Pass Criteria) Evidence (Artifacts)
    1 Pseudonym rotation rule compliance ETSI TS 102 941 (certificate lifecycle / pseudonym management), Korea SCMS/CCMS (operational policy) Violation rate = 0% (MUST) OBU rotation logs; simulation
    2 Post-switch radio silence enforcement Privacy requirement area in C-ITS security operations (policy/operations), Korea operational policy Silence apply rate = 100% (MUST) RF traces / stack logs
    3 CRL apply coverage and tail latency ETSI TS 102 941 (revocation / CTL-CRL operations), Korea SCMS/CCMS (distribution & apply operations) R(t) ≥ 99% and ApplyTime_95 ≤ Δ_max (MUST) Distribution/apply reports; node apply statistics
    4 CTL/CRL version monotonicity ETSI TS 102 941 (CTL/CRL governance), ETSI/IEEE security processing (signature verification), Korea operational controls v_t > v_[t−1] always (MUST) Version history; signature verification logs
    5 MBD detection recall ETSI TS 102 940/102 941 (misbehavior handling framework), operational quality requirement Recall ≥ α (MUST) Offline/field evaluation report
    6 MBD false-positive tail + evidence validity ETSI TS 103 097 & IEEE 1609.2 (signatures / security formats), ETSI TS 102 941 (reporting/evidence), operational quality requirement FP_95 ≤ β (MUST) and ValidEvidence = 100% (MUST) Ops statistics; evidence validator logs
    7 NR V2X rekey tail latency and success ratio 3GPP TS 33.533 (NR V2X security / key management), operational SLO RekeyTime_95 ≤ T_rk and S ≥ S_min (MUST) Rekey measurement report; attempt/success counts
    8 Drop rate during rekey grace window (γ) 3GPP TS 33.533 (transition / integrity considerations), operational QoS requirement Drop rate during γ ≤ target (SHOULD) Receiver drop-rate statistics; transition logs

    4. 검증 및 적용 프레임워크(표준 요구의 운영화)

    본 연구가 제안한 8개 합격선 지표 <Table 3>와 Appendix <Table A1>의 20개 점검 항목을 현장에서 측정·판정 가능한 형태로 적용하기 위한 검증 프레임워크를 제시한 바, 본 연구의 목적은 특정 환경에서의 실증 수치 우수성을 주장하는 것이 아니라, ETSI/IEEE/3GPP 및 국내 SCMS/CCMS 요구를 바탕으로 “무엇을 어떻게 측정하고 어느 선에서 합격으로 볼 것인가”를 운영 관점의 기준선(baseline)과 절차로 정리하는데 있다.

    1) 공개 상호운용 시험 사례 기반 측정 가능 산출물 도출

    공개된 상호운용 시험(Plugtest) 및 시범사업 자료에서는 실외/실내 시험을 통해 통신 성능, GNSS 정확도, V2X 메시지 보안(서명/검증), 보안 인증서 발행 및 표준 적합성 점검 등이 수행된 것으로 보고된다. 본 연구는 이러한 공개 사례를 본 연구의 실험 결과로 간주하지 않으며, 다만 시험 과정에서 생성되는 산출물(예: 통신/보안 스택 로그, 적합 판정 리포트, 서명 검증 결과)이 본 연구가 요구하는 증적(Evidence) 형태와 정합적임을 근거로 “측정 가능성”을 논의한다. 특히 메시지 서명/검증 및 인증서 발행 적합성에 대한 공개 사례는, MBD 증거 객체의 유효성(ValidEvidence)과 CTL/CRL 관리 증적(서명 검증 로그, 버전 이력)의 현실적 수집 가능성을 시사한다.

    2) 8개 합격선 지표 산출을 위한 계측(Instrumentation) 설계

    본 연구의 합격선 지표는 “선언형 요구”가 아니라, OBU/RSU/백엔드에서 수집 가능한 관측치로 정의된다. 이를 위해 다음의 계측 포인트를 제안한다. 첫째, 가명 교체 지표(규칙 준수율, 무선 침묵(s) 적용률)는 OBU 회전 이벤트 로그 및 RF 트레이스를 통해 교체 시각과 교체 직후 송신 재개 시각을 추출하여 산출한다. 둘째, CRL 지표(R(t), ApplyTime95, 버전 단조 증가)는 CRL 발행/배포/적용 완료 시각을 노드별로 기록하고, CTL/CRL 버전 이력과 서명 검증 로그를 결합해 “배포됨”이 아닌 “적용됨(applied)”을 기준으로 평가한다. 셋째, MBD 지표(Recall, FP95, ValidEvidence)는 탐지 결과와 라벨(또는 시나리오 기반 ground truth)을 비교해 재현율 및 오탐 꼬리(FP95)를 산출하며, 증거 객체는 서명·타임스탬프 검증기를 통해 유효성을 확인한다. 넷째, NR V2X 재키잉 지표(RekeyTime95, 성공률, 유예창 γ 드롭률)는 재키잉 시도별 시작/완료 시각과 성공 여부, 그리고 유예창 γ 구간의 수신 드롭률을 분리 산정한다. 또한 지연 지표는 평균이 아닌 p95를 적용한다. 이는 분포의 꼬리(tail) 구간에서 발생하는 지연이 폐기 미적용 또는 키 전환 지연과 같은 위험 창(risk window)을 형성할 수 있기 때문이며, 운영 기준선은 이러한 꼬리 지연을 합격선으로 직접 통제하도록 설계된다.

    3) 운영 적용 절차 : 합격선 기반 모니터링과 개선 루프

    합격선 지표는 단발성 시험을 위한 값이 아니라, 운영 단계의 감시·개선 루프에 결합될 때 실효성을 갖는다. 본 연구는 (1) 지표 수집(로그/트레이스/리포트), (2) 지표 산출(p95/비율/단조성 판정), (3) 합격/미달 판정(Yes/No), (4) 미달 시 조치(정책 재배포, CRL 재전파, 모델 재학습, 재키잉 파라미터 튜닝)의 순환 구조를 최소 운영 절차로 제안한다. 예컨대 가명 교체 규칙 위반은 정책 재배포·롤백 검증 루틴으로 연결되며, CRL 적용률 미달은 미적용 노드 대상 재전파/재시도를 트리거한다. MBD에서 FP95 증가가 관측되면 임계치 캘리브레이션 및 피처 정제/재학습을 수행하고, 재키잉 지연이 증가하는 경우 그룹 크기·재전송 윈도·타이머를 조정해 RekeyTime95를 통제한다.

    4) 한계 및 향후 검증 계획

    본 연구는 실제 차량 실험 환경의 제약으로 인해 특정 수치의 경험적 최적값을 주장하지 않는다. 대신 표준 요구사항을 국내 운영 환경에서 검증 가능한 지표·증적·판정 구조로 운영화했다는 점에 의미가 있으므로, 향후 연구에서는 도시 밀도/서비스 유형/커버리지 조건별로 파라미터(Δmax, Trk, α, β 등)를 캘리브레이션하고, 제안 지표와 실제 프라이버시 위험(링크성/재식별 가능성) 및 안전 성능 간 상관을 실증적으로 분석할 필요가 있다.

    Ⅲ. 결 론

    본 연구는 국제 표준의 보안·프라이버시 요구사항을 운영 환경에서 측정 가능한 정량 지표와 합격 기준으로 운영화한 평가 프레임워크를 제안하였다. 이를 위해 국내 SCMS/CCMS 환경을 대상으로 20개 점검 문항 Appendix <Table A1>과 “8개 핵심 합격선(Must-pass Criteria)”을 도출하고, 각 지표의 측정 방법과 증적 기반 평가 기준을 체계화하였다.

    그러나 지속적으로 해결 방안을 모색해야 할 과제도 분명하다. 첫째, “가명 인증서 운영”은 도시·밀도·서비스별로 최적값이 달라진다. 본문에서 제안한 τp=min{τmax,d*/v,τmix}와 동기화 창·무선 침묵(s)·익명집합(kω) 기준을 현장 캘리브레이션으로 주기적으로 재설정하고, 위험 상황에서 교체 잠금을 표준 운영절차(SOP)로 고도화해야 한다. 둘째, “대량 폐기(CRL)”는 적용율 R(t)·적용지연 p95·버전 단조 증가를 상시 모니터링하고, 풀+권역 델타·오프라인 보정·자가 폐기(Self-revocation)까지 포함한 전국 단위 배포 체계를 국내 표준화해서 확장해야 한다. 셋째, “오용·오행위(MBD)”는 Edge 경량 모델과 데이터 최소화 원칙을 유지하되, 재현율(α)·오탐 p95(β)·증거 유효성 100%를 만족하도록 연속 학습·재학습 파이프라인과 감사 추적성을 강화해야 한다. 넷째, “NR-V2X Re-keying”은 RekeyTime95·성공률 S·유예창 γ를 SLO로 고정하고, 내/외 커버리지 전환시 무중단을 보장하는 운영 튜닝 가이드를 마련해야 한다.

    본 연구를 통해 앞으로 개선 시켜야 할 사항은 다음 세 가지다. (1) 표준-아키텍처-운영정책의 통합 거버넌스: ETSI/IEEE/3GPP와 국내 정책, 법·제도를 일치시키고, 지표·로그·감리 양식을 단일 양식으로 통합한다. (2) 지표 공개와 벤치마크: 도시·노선별 KPI/SLO를 대시보드로 상시 공개하고, 분기별 캘리브레이션 Appendix <Table A2> 결과를 공유해 산업 전반의 기준점을 끌어올린다. (3) 법제 정합성과 프라이버시 영향평가(PIA): PIPA·GDPR 원칙에 맞춘 데이터 최소화·보존기간 프로파일을 주기적으로 재검토하고, 신규 서비스에 사전 PIA를 의무화한다. 이와 같은 체계적 개선을 통해 국내 자율협력주행은 안전·프라이버시·상호운용성의 세 축을 동시에 강화하며, 본 논문이 제시한 체크리스트와 합격선은 그 실행 가능한 기준선이 될 것이다.

    본 연구의 학술적 기여는 국제 표준에서 제시하는 추상적 보안·프라이버시 요구사항을 운영 환경에서 측정 가능한 정량 지표와 합격 기준으로 체계화하였다는 점에 있다. 특히 기존 연구가 보안 기술 또는 정책적 대응 방안 제시에 집중한 것과 달리, 본 연구는 개인정보 보호 수준을 객관적으로 평가할 수 있는 증적 기반 평가 프레임워크를 제안하였다. 제안된 프레임워크는 향후 자율협력주행 환경의 상호운용 시험, 실증사업 및 인증 체계 구축 과정에서 활용 가능한 평가 기준으로 적용될 수 있을 것으로 기대된다.

    Figure

    KITS-25-3-83_F1.jpg

    Design Process of the Quantitative Evaluation Framework

    Table

    comparison table of key issues

    Checklist for Responding to Key Issues

    comparison table of Security Certification

    Quantitative Evaluation Criteria for the 8 Must-Pass Metrics

    Calibration Measurement List for Field Situations

    Operationalization of Standard Requirements : Standard - Operation Traceability for the 8 Must-Pass Metrics

    Reference

    1. Cooperative Automated Driving Industry Development Council ( 2023), White Paper on Autonomous Cooperation Driving Technology, pp.178-182.
    2. European Telecommunications Standards Institute ( 2021a), Intelligent Transport Systems (ITS); Security; ITS communications security architecture and security management; Release 2, pp.18-20.
    3. European Telecommunications Standards Institute ( 2021b), Intelligent Transport Systems (ITS); Security; Trust and Privacy Management; Release 2, pp.12-16.
    4. European Telecommunications Standards Institute ( 2021c), Intelligent Transport Systems (ITS); Security; Security header and certificate formats; Release 2, pp.11-16.
    5. European Telecommunications Standards Institute ( 2021d), 5G; Security aspects of ranging based services and sidelink positioning (3GPP TS 33.533 version 18.5.0 Release 18), pp.12-14.
    6. European Telecommunications Standards Institute ( 2021e), TS 103 097 V2.1.1, Intelligent Transport Systems (ITS); Security; Security header and certificate formats; Release 2, pp.8-11.
    7. European Telecommunications Standards Institute ( 2025a), TS 103 415 V2.1.1, Intelligent Transport Systems (ITS); Security; Pre-standardization study on pseudonym change management; Release 2, pp.9-10, p.27.
    8. European Telecommunications Standards Institute ( 2025b), TS 103 415 V2.1.1, Intelligent Transport Systems (ITS); Security; Pre-standardization study on pseudonym change management; Release 2, pp.15-19.
    9. European Telecommunications Standards Institute ( 2025c), TS 133 533 V18.5.0, 5G; Security aspects of ranging based services and sidelink positioning (3GPP TS 33.533 version 18.5.0 Release 18), pp.7-18.
    10. Kang, J. H.,Ok, S. J.,Kim, J. Y. and Kim, E. G. ( 2014), “Software Implementation of WAVE Security Algorithms”, Journal of the Korea Academia-Industrial Cooperation Society, vol. 15, no. 3, pp.1691-1699.
    11. United Nations Economic Commission for Europe ( 2021), UN Regulation No. 155 Uniform Provisions Concerning the Approval of Vehicles with Regards to Cyber Security and Cyber Security Management System, pp.7-8.

    저자소개

    Footnote

    • V2X : Vehicle to Everything
    • ETSI TS : European Telecommunications Standards Institute Technical Specification
    • C-ITS : Cooperative-Intelligent Transport Systems
    • NR V2X : New-Radio V2X
    • CRL : Certificate Revocation List
    • MBD : Model Based Design/Development
    • PIPA : Personal Information Protection Act
    • GDPR : General Data Protection Regulation
    • PKI : Public Key Infrastructure
    • CAM : Cooperative Awareness Message
    • DENM : Decentralized Environmental Notification Message
    • SCMS : Security Credential Management System
    • CCMS : C-ITS Credential Management System