[이코노미스트 박세진 기자] 해킹에는 두 가지가 있다. 착한 해킹으로 통하는 ‘화이트 해킹’과, 나쁜 해킹으로 통하는 ‘블랙 해킹’이다. 화이트 해킹은 보안을 점검하거나 시스템 취약점을 사전에 발견해 고치기 위해 수행한다. 즉, 우리에게 이로운 존재다. 블랙해킹은 다르다. 시스템을 무단 침입해 데이터 탈취, 금전적 이득, 시스템 파괴 등을 목적으로 한다. 블랙 해킹은 존재만으로도 사회에 크고 작은 혼란을 불러 일으킨다.

사이버 위협은 늘 주위에 도사리고 있다. 자동차도 마찬가지다. 한때 ‘철과 기름’의 상징이던 자동차가 ‘소프트웨어 정의 차량’으로 진화하면서다. 차량이 더 똑똑해질수록, 외부와 더 많이 연결될수록, 그리고 스스로 판단하고 움직일수록 사이버 위협은 그만큼 커진다. 특히 전기차와 자율주행 기술이 급속히 확산되면서 자동차 소프트웨어 보안의 중요성이 전례 없이 부각되고 있다.

연결되는 자동차, 노출되는 보안

글로벌 시장조사기관 ‘글로벌 마켓 인사이트’가 발표한 ‘자동차 사이버 보안 시장 규모 및 전망 보고서’ 따르면, 글로벌 자동차 사이버 보안 시장은 2024년 약 35억 달러(약 4조7500억원) 규모로 평가되며, 2034년까지 연평균 11.6% 성장해 약 105억 달러(약 14조2500억원)에 이를 것으로 전망된다. 이는 같은 기간 내내 자동차 산업 전체 평균 성장률을 크게 상회하는 수치다.

이 같은 성장은 차량의 연결성)이 증가한 데 따른 결과로 풀이된다. 전통 내연기관 차량이 단순한 기계장치였다면, 현대의 차량은 센서, 제어기, 통신 모듈, 인포테인먼트 시스템 등을 통해 외부와 항상 연결되어 있는 하나의 ‘모바일 디지털 플랫폼’이다. 특히 무선 업데이트(OTA), V2X(Vehicle-to-Everything), 커넥티드카 서비스 확대 등으로 인해 차량이 외부와 송수신하는 데이터 양은 기하급수적으로 증가하고 있다.

문제는 이처럼 열린 구조가 해킹, 악성코드 삽입, 통신 탈취, 시스템 조작 등 다양한 사이버 위협에 노출될 수 있다는 점이다. 실제로 2015년 미국에서는 보안 전문가들이 실험을 통해 ‘지프 체로키’ 차량의 시스템을 원격 해킹, 브레이크와 가속기 등을 조작하는 데 성공해 큰 파장을 일으킨 바 있다. 이후 글로벌 완성차 업체들은 사이버 보안 강화를 핵심 전략으로 채택하게 됐다.

사이버 보안 위협이 더욱 부각되는 영역은 전기차와 자율주행차다. 전기차는 전력 제어, 충전 네트워크, V2G(Vehicle-to-Grid) 통신 등 복잡한 소프트웨어 기반 시스템에 의존한다. 자율주행차는 여기에 더해 카메라, 라이다(LiDAR), 레이더, GPS 등 수십여 개의 센서와 고성능 컴퓨팅 유닛(HPC), 인공지능 기반 알고리즘이 조합되어 차량을 스스로 제어한다. 이 모든 시스템이 외부 위협에 노출될 경우, 단순한 정보 유출을 넘어 물리적 충돌이나 생명까지 위협받을 수 있다.

법제화된 ‘사이버 보안’에...韓도 잰걸음

자동차 산업의 소프트웨어 전환이 가속화되면서, 유럽연합(EU)은 차량 사이버 보안을 법제화했다. 유엔 유럽경제위원회(UNECE)의 차량 규제 조화 세계포럼(WP.29)의 경우 차량의 디지털 위협에 대응하기 위한 두 가지 핵심 규정을 도입하고, 이를 단계적으로 의무화하고 있다.

먼저 WP.29다. WP.29는 ‘UN 규정 제155호’(UN R155)와 ‘제156호’(UN R156)을 통해 자동차 제조사들에게 각각 ▲사이버 보안 관리 시스템(CSMS) ▲소프트웨어 업데이트 관리 시스템(SUMS)의 구축을 요구하고 있다. 해당 규정은 2022년 7월부터 유럽 시장에서 새로운 차량 유형의 형식 승인을 받기 위한 필수 조건이었는데, 지난해 7월부터는 신규 생산되는 모든 차량에 대해 이 기준이 전면 확대됐다.

UN R155는 차량의 전체 수명 주기 동안 일관된 보안 체계를 유지하기 위한 사이버 보안 관리 시스템(CSMS)의 구축을 의무화한다. 해당 시스템은 차량 설계·개발·양산·판매 이후까지의 전 과정을 포함하며, 위협 분석 및 위험 평가(TARA), 사이버 공격 탐지 및 대응, 보안 업데이트 절차 등을 포괄한다. 제조사는 관련 인증기관으로부터 CSMS의 적합성 평가를 받아야 하며, 이를 통해 차량 형식 승인을 취득할 수 있다.

UN R156은 차량 내 소프트웨어의 안전성과 무결성을 확보하기 위한 소프트웨어 업데이트 관리 시스템(SUMS)을 규정한다. 특히, 차량 무선 업데이트(OTA)가 보편화되는 상황에서 업데이트 파일의 인증, 전송 무결성 검증, 설치 보안성 확보 등 전체 프로세스를 체계적으로 관리해야 한다. 마찬가지로 제조사는 SUMS의 운영 체계가 UNECE 기준에 부합함을 입증해야만 시장 진입이 가능하다.

규제는 EU를 중심으로 전 세계 UNECE 회원국에 확대 적용되고 있다. 자동차 사이버 보안이 글로벌 자동차 산업의 핵심 과제로 부상한 것이다. 이 때문에 한국 역시 자동차관리법 및 하위 법령을 개정해 CSMS(사이버보안 관리체계) 인증 제도를 도입했고, UNECE의 국제 기준을 충족하도록 관련 제도를 마련하고 있다. 이는 EU를 넘어 UNECE 회원국 전반으로 확대되고 있는 규제 흐름에 대응하기 위한 조치다.

이같은 상황에서도 전문가들은 국내 기술 수준이 여전히 다소 뒤처져 있다고 평가한다. 그 원인으로는 작은 내수 시장과 각종 규제 등이 지적되고 있다. 전문가들은 글로벌 자동차 보안 시장에서 경쟁력을 확보하기 위해 정부의 적극적인 규제 완화와 연구 환경 지원이 필요하다고 강조한다.

이호근 대덕대 자동차학과 교수는 “한국은 자동차 보안 분야에서 다소 뒤처져 있는 것이 사실”이라며 “자원, 시장 규모, 기술력, 규제 등 여러 요소를 종합적으로 평가해볼 때, 우선 자원이 부족하고 시장도 작습니다. 내수 시장을 기반으로 기술 개발을 추진하고 있지만, 그 규모조차 충분하지 않다”고 말했다.

이어 “시장 규모가 크면 기업들이 정부 지원 없이도 자생적으로 기술을 개발하게 되는데, 한국은 시장이 작다 보니 수출을 위한 필요에 따라 기술 개발이 이뤄지는 구조”라며 “기술력 역시 정부 규제 환경이나 연구 여건이 충분히 뒷받침되지 않아 해외에 비해 뒤처지는 측면이 있다”고 평가했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지