고속도로 주행 중인 차량의 원격 해킹이 불러온 자동차 보안 이슈
자동차 보안에 대한 사용자 설문조사
자동차 보안 솔루션 전문기업 집중분석: 페스카로, 아우토크립트
[보안뉴스 원병철 기자] EU가 2024년 7월부터 유럽에서 생산 및 판매되는 모든 차에 자동차 보안 규제인 UNR155와 UNR156을 적용하도록 하면서 자동차 보안이 수면 위로 떠오르게 됐다. 우리나라 역시 2024년 2월, 자동차 사이버 공격으로부터 안전성 확보와 자동차의 안전한 소프트웨어 업데이트를 담은 ‘국내 자동차 관리법’ 개정안이 공포되고 2025년 8월 14일 시행을 앞두고 있어 자동차 업계는 물론 보안업계에서도 관심이 모아지고 있다.
[자료: gettyimagesbank]
아직은 실험으로 그친 자동차 해킹, 운전자 생명까지 위협할 수 있어
어느 순간부터 자동차는 단순한 이동성을 넘어 편리성이 강화되기 시작했고, 첨단 IT 기술을 적용한 SDV(소프트웨어 정의 차량, Software Defined Vehicle)가 일반 차량을 대체하고 있다. 실제로 전기차 시장을 이끄는 테슬라는 전 차량이 다 SDV이며, 현대자동차도 2028년까지 첫 양산 SDV를 만들겠다고 밝힌 바 있다.
SDV는 소프트웨어를 통해 차량의 기능을 정의하고 발전시킨다는 의미를 담고 있다. 처음 용어가 시작된 기원은 확인하기 어려우나 업계에서는 2012년 테슬라 모델 S가 최초의 SDV로 출시되며 대중화를 열었다고 보고 있다. 하지만 SDV의 시작은 1970년대 마이크로프로세서가 자동차 엔지니어링에 접목되면서부터라고 보는 견해도 있다. 즉 자동차에 컴퓨터가 들어가고, 이를 통해 소프트웨어가 개발되면서 시작됐다는 설명이다.
특히 ‘ECU(Electronic Control Unit)’가 대중화되면서 엔진과 변속기, 브레이크와 에어백 등 주행부터 자동차 안전은 물론 인포테인먼트까지 영향을 미치기 시작했다. 1996년 GM의 커넥티드 카 서비스인 ‘onstar’를 시작으로 차량에 네트워크가 연결되기 시작했고, 기술이 점차 발전하면서 SDV로 진화하기 시작한 것이다.
▲자동차 보안 솔루션 로드맵(아이템별) ①[자료: KISA]
밀러와 발라섹의 ‘지프 체로키’ 해킹으로 시작된 자동차 보안
자동차에 컴퓨터가 접목되고 네트워크로 연결되면서 사람들은 ‘보안’에 대한 걱정을 하기 시작했다. 자동차도 사이버공격을 받을 수 있다고 생각한 것이다. 2010년 미국 워싱턴 대학(University of Washington)과 캘리포니아 대학(University of Washington)의 연구원들이 실제 자동차를 최초로 해킹함으로써 자동차 해킹 가능성을 증명한 사건이 있었다. 연구원들은 자동차 내부 네트워크인 ‘CAN’의 패킷을 모니터링할 수 있는 ‘Carshark’란 툴을 직접 만들고, CAN 패킷에서 취약점을 분석해 공격을 시도했다. 이들이 2010년 IEEE 보안 및 개인정보보호 심포지엄(IEEE Symposium on Security and Privacy)에서 발표한 논문 ‘현대 자동차의 실험적 보안 분석(Experimental Security Analysis of a Modern Automobile)’은 자동차 해킹에 대한 본격적인 연구를 불러왔다. 이어 이들은 2011년에도 자동차에 존재하는 Attack Surface 분석과 무선 환경 공격을 시도했고, 자동차에 탑재된 다양한 입출력 장치에 대한 취약점도 분석했다.
자동차 보안 전문가인 ‘찰리 밀러(Charlie Miller)’와 ‘크리스 발라섹(Chris Valasek)’은 2013년 포드와 도요타의 자동차로 CAN 네트워크 패킷 분석과 유선 환경 해킹 실험 결과를 공개했다. 이어 2014년에는 자동차 제조사에서 공개한 자료를 기반으로 차량 모델별 공격 가능성을 점수로 매겨 소개했다. 그리고 2015년 블랙햇 콘퍼런스에서 지프 체로키(Jeep Cherokee)’를 대상으로 한 실제 무선 해킹을 발표함으로써 자동차 해킹 위협의 시대를 열었다.
밀러와 발라섹은 와이어드의 기자 앤디 그린버그가 운전하는 자동차를 원격으로 해킹해 라디오와 와이퍼는 물론 엔진을 꺼버리는 실험 영상을 공개했고, 해당 영상은 유튜브를 통해 널리 알려졌다. 이들은 이동통신 네트워크를 통해 차량의 IP 주소를 찾아냈고, 이를 이용해 CAN 버스에 접근했다. 이어 ECU 펌웨어를 리버스 엔지니어링해 차량의 가속, 브레이크, 핸들 조작, 와이퍼 조작, 문 잠금 등이 가능하다는 것을 보여주었다.
이 발표로 지프는 140만대 이상의 차량을 리콜하는 조치를 시행했으며, 다른 차량 제조사 역시 자동차 보안에 대한 연구를 시작했다. 때문에 자동차 보안 전문가들은 이 지프 체로키 해킹을 자동차 보안의 시발점으로 보고 있다.
주목할 점은 한국의 자동차 보안 연구도 이들 못지않게 빠르게 시작했다는 점이다. 고려대학교도 2010년부터 자동차 보안 연구를 시작했으며, CAN 통신 환경 취약점 분석과 차량용 스마트폰 앱 기반 차량 무선 해킹, 그리고 차량용 AVN(Audio, Video, Navigation) 펌웨어 변조 기반 차량 무선 해킹 등의 연구를 진행했다.
카이스트(KAIST)는 2018년 테슬라의 CAN을 해킹하는 연구를 진행해 악성코드 삽입을 통한 제어신호 조작을 선보였다. 연구자들은 브레이크 작동을 중지하거나 전원을 껐으며 경고등의 오작동을 유발했다.
한국자동차공학회 산하 자동차 보안연구회 우사무엘 간사(단국대 교수)는 “자동차 해킹 연구는 다양한 방면으로 진행됐다”면서 “초기 CAN 분석은 물론 앱(App)과 VAN, DCU(Display Control Unit), 헤드 유닛(Head Unit) 등 다양한 공격 루트를 개발하며 다양하게 연구가 이뤄졌다”라고 설명했다. 아울러 “아직 실제 자동차 해킹을 통한 차량 공격이나 사건·사고는 발생하지 않았지만, 자동차 키의 주파수를 증폭해 차의 문을 열고 시동을 걸어 훔쳐 가는 ‘릴레이 공격(Relay Attack)’은 실제로 일어나고 있다”라고 덧붙였다.
▲자동차 보안 솔루션 로드맵(아이템별) ②[자료: KISA]
자동차 보안을 위한 컴플라이언스 강화 움직임
학계와 연구원들을 중심으로 자동차 해킹이 가능하다는 것이 알려지면서 각국 정부는 자동차 사이버보안을 강화하기 위한 관련 법 마련에 들어갔다. 아울러 UN을 포함해 자동차 보안 관련 국제표준과 권고 법령 등에 대한 연구가 활발하게 이뤄졌다.
유엔 경제사회이사회(ECOSOC) 산하인 유엔 유럽 경제 위원회(UNECE)는 유럽과 주변 지역의 경제협력과 지속 가능한 발전을 위한 기구로 56개 회원국으로 구성돼 있다. 유럽 경제 위원회는 자동차 보안과 소프트웨어의 업데이트를 강화하기 위해 2016년부터 논의 시작했고, 2020년 6월 UN R155(사이버보안)와 UN R156(소프트웨어 업데이트)이 공식 채택됐다. 여기서 R은 규정(Regulation)의 약자로, 법은 아니지만 UN 회원국이 이를 채택하면 강제성이 부여된다. 예를 들면, 유럽 경제 위원회가 UN R155와 R156을 채택하면서 유럽에서 판매되는 모든 차량은 이 규정을 준수해야 한다. 2022년 7월 이후 출시된 신차와 2024년 생산 및 판매되는 모든 차는 이 규정을 적용받는다. 승인받지 못하면 유럽 시장에서 판매 불가 및 중단/리콜/벌금 부과 등의 불이익이 발생한다.
R155는 자동차에 대한 사이버보안 요구사항으로 차량 설계·생산·운행 전반에 걸친 해킹 방지가 목적이다. 차량과 전자 제어장치(ECU), 통신 모듈 등이 적용 대상이며, ECU 해킹 방지와 침입탐지 시스템, 키 관리 등이 포함된다. R156은 안전한 자동차 소프트웨어 업데이트 수행을 보장하기 위한 내용으로 OTA를 포함한 모든 소프트웨어 업데이트가 가능한 차량이 대상이다. 업데이트 절차의 무결성, 인증, 롤백, 기록 등 보안 중심 소프트웨어 변경 관리가 목적이다.
다만 R155는 모호한 내용이 많아서 ISO/SAE 21434:2021를 참조하도록 했다. ISO/SAE 21434:2021은 자동차 사이버보안 관련 국제표준으로 차량의 개발부터 제조와 운영은 물론 유지관리와 폐기까지 전 영역에 걸친 사이버보안 위험 관리를 담고 있다.
한국도 2024년 2월 ‘자동차관리법 개정안’을 통해 ①자동차의 사이버공격으로부터의 안전성 확보(자동차 보안 관리 체계 인증 등)와 ②자동차의 안전한 소프트웨어 업데이트가 규정화했으며, 이 법은 2025년 8월 14일부터 시행된다.
이번에 신설된 항목 중 제30조의9(자동차 보안 관리체계 인증 등), 제30조의10(자동차 보안 관리체계 관련 자료의 제출 요구), 제30조의11(자동차 보안 관리체계 인증의 취소 등), 제30조의12(자동차 사이버공격·위협의 신고 등)는 자동차 사이버 보안과 관련된 내용이 담겨 있으며, 제34조의5(자동차제작자 등의 소프트웨어 업데이트), 제34조의6(업데이트의 적정성 조사 등)에는 자동차 소프트웨어 업데이트에 대한 내용이 담겨 있다.
참고로 R155의 사이버보안 관리체계 인증은 자동차관리법의 사이버보안 관리체계 인증을 대체할 수 없으며, 국토교통부의 인증을 받아야만 한다.
이외에도 일본과 중국, 인도 등이 UN R155와 R156을 중심으로 관련법을 만들어 시행했거나 시행할 계획으로 알려졌다.
이와 관련 페스카로의 구성서 상무는 “이제 완성차 제작사는 CSMS(사이버보안 관리체계, Cybersecurity Management System) 인증과 VTA(형식승인, Vehicle Type Approval)를 획득해야 한다”라면서, “CSMS는 자동차에 대한 사이버 위협과 리스크를 관리하고 사이버공격으로부터 차량을 보호하기 위한 조직적인 프로세스와 관리 시스템을 의미한다”라고 설명했다.
“개발-생산-생산 이후 단계에 걸친 차량의 전체 수명주기에 사이버보안 관리체계를 적용해야 하며, 조직 내 사이버보안 관리, 위험 식별, 위험 평가, 사이버보안 테스트 등의 프로세스에 보안이 충분히 고려되었음을 입증해야 합니다. 또한 사이버 위협과 취약점이 합리적인 시간 내에 완화되도록 보장하고, 탐지 및 대응을 위한 필드 모니터링을 지속 수행하는 것을 입증해야 합니다. 마지막으로 유관 협력사 등 전체 공급망에 존재할 수 있는 사이버보안 의존성을 CSMS가 어떻게 관리할 것인지 입증해야 합니다. 요구사항을 모두 충족했다면 시험기관(TS : Technical Service)을 통해 검증해야 하며, 이후 인증기관(AA : Approval Authority)의 심사를 통해 최종 승인을 받을 수 있습니다.”
▲자동차 보안 솔루션 로드맵(아이템별) ③[자료: KISA]
화려하지 않지만, 내실 챙기는 자동차 보안 산업
학계와 연구계, 그리고 정부와 기관 등이 각각의 입장에서 자동차 보안에 대한 연구와 법 개정을 이어가는 사이 자동차 보안 업계도 하나의 산업을 이뤄가며 발전하기 시작했다.
처음 두각을 나타낸 곳은 독일이었다. 세계 최초의 자동차 보안 콘퍼런스인 ‘ESCAR’가 2003년 독일에서 개최된 후 독일을 중심으로 다양한 연구가 이뤄지며 기업들이 뛰어들기 시작했다. 세계 자동차 시장을 이끄는 독3사 등 대표적인 자동차 회사가 독일 기업인 것도 독일에서 자동차 보안 연구가 활성화된 이유였다.
대표적인 곳이 ESCRYPT다. ESCAR 등 콘퍼런스에서 두각을 나타내던 전문가들이 세운 ESCRYPT는 향후 보쉬(BOSCH)의 자회사인 모빌리티 전문기업 이타스(ETAS)가 인수하면서 이들의 사이버보안 제품 브랜드가 됐다.
한국에서도 자동차 보안 기업들이 두각을 나타냈다. 2016년 설립한 페스카로는 UN R155, ISO/SAE 21434 등 국제 법규 및 표준을 준수하는 사이버보안 솔루션을 글로벌 자동차 제작사 8곳의 160여개 제어기에 양산 적용하며 기술 안정성을 입증받았다. 2019년 설립한 아우토크립트는 원래 사이버 보안기업 펜타시큐리티가 2007년 경 자동차 제조사와 차량용 사이버보안을 연구하면서 시작했다. 스마트카 보안 솔루션 브랜드였던 아우토크립트를 자동차 보안의 첨병으로 세운 것이다.
한국인터넷진흥원이 2025년 5월 발표한 ‘자동차 보안 솔루션 로드맵(기업별)’에 따르면, 현재 한국에서 자동차 보안 솔루션을 공급하는 회사는 30개사로, △Plaxidityx △C2A △ETAS △COONTEC(쿤텍) △DigiCAP(디지캡) △KONA Mobility(코나아이) △HARMAN International △RANIX(라닉스) △SYNOPSYS(시놉시스) △UL Solutions △VECTOR △commsignia(콤시그니아) △새솔테크 △아우토크립트 △드림시큐리티 △VWAY △HYUNDAI AutoEver(현대오토에버) △SM Solutions △Cybellum △FESCARO(페스카로) △블랙배리 △ELEKTROBIT(일렉트로비트) △Garret ADVANCING MOTION △TÜV Rheinland △BSI △MDSTECH △UPSTREAM △세온ENS △이글루코퍼레이션 △UPSTREAM(회사명 로드맵 순) 등이다.
글로벌 시장조사기관 마켓츠앤마켓츠에 따르면 글로벌 자동차 보안 시장 규모는 2023년 25억달러에서 2028년 60억달러로 연평균 18.5% 성장할 것으로 예상된다. 마켓츠앤마켓츠는 “커넥티드 카 도입 증가로 차량당 탑재되는 전자 장치도 증가했으며, 이에 따라 사이버공격에 대한 차량의 취약성이 높아졌고, 최근 유명 자동차 제조업체들이 차량을 리콜하는 사태가 발생했다”면서, “전 세계적으로 자동차 보안 솔루션에 대한 수요가 빠르게 증가하고 있으며, 자동차 분야에서 클라우드 기반 애플리케이션이 확대되고 소프트웨어 정의 차량이 등장하면서 향후 몇 년 동안 전 세계적으로 자동차 보안 시장에 수익성 있는 기회가 창출될 것으로 예상된다”고 설명했다.
Grand View Research도 ‘자동차 보안 시장 규모, 점유율 및 동향 분석 보고서’를 통해 글로벌 자동차 보안 시장 규모가 2022년 30억 9,060만달러로 평가되었으며, 2023년부터 2030년까지 연평균 성장률(CAGR) 20.93%로 확대될 것으로 예상된다고 밝혔다. 보고서는 “차량 연결성이 빠르게 확장되면서 혁신적인 신기능과 매력적인 사업 전략에 대한 많은 기회가 창출되고 있다”면서, “동시에 자동차 네트워크에 대한 사이버공격 위험도 증가하고 있다”고 설명했다.
▲사이버보안과 자동차 보안의 차이점, ECU 보안과 SDV 보안의 차이점[자료: 아우토크립트]
자동차 보안, 예상외 진입 장벽으로 도전 쉽지 않아
자동차 보안은 IT 사이버보안과는 결이 다르다는 것이 관련 업계의 설명이다. 외부 공격으로부터 보안의 대상을 안전하게 보호하는 것은 같지만, 이 보호 대상이나 보안의 목표, 우선순위와 운영 환경 등 대부분이 다르다는 것이다.
예를 들면, 기존 IT 사이버보안은 적게는 PC나 스마트폰 등에서 많게는 서버와 클라우드에 이르기까지 비용만 있으면 충분한 컴퓨팅 환경에서 보안 솔루션을 가동할 수 있지만, 자동차 보안은 대부분 ECU라는 한정적인 칩셋 영역 안에서 모든 것을 해결해야 하기 때문에 보안 솔루션을 개발하고 연동하는 것 자체가 쉽지 않다고 전문가들은 말한다.
아우토크립트 이은송 부그룹장은 “자동차에 들어가는 ECU가 워낙 많아 마치 ‘전산실’과 비슷하다”라며 자동차 보안 연구·개발의 어려움을 짚었다. “자동차 브랜드마다 기준이 달라서 이를 맞추는 것도 어렵습니다. 칩셋, 플랫폼, 보안 기능 등을 모두 분석해 제품을 개발해야 하기 때문에 대응하는 것도 쉽지 않죠. 때문에 그동안 해왔던 레퍼런스를 많이 따지는 데, 이러한 부분이 진입 장벽이 되기도 합니다.”
게다가 제조사별로 자신들의 차량에 최적화된 ECU를 만들기 위해 커스터마이징하기 때문에 자동차 보안 솔루션을 만든다 하더라도 제품별, 제조사별로 변경해야 하는 어려움이 있다. 즉 ECU나 전장 분야를 잘 알아야만 자동차 보안 산업에 진출할 수 있다는 것이 아우토크립트의 설명이다.
▲보안전문가들의 자동차 보안에 대한 설문조사[자료: 보안뉴스]
보안전문가들의 자동차 보안에 대한 설문조사
그렇다면 실제 보안전문가들은 자동차 보안에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 5월 19일부터 21일까지 3일간 약 10만여명의 보안전문가들에게 설문조사를 진행했다. 이번 설문조사에는 공공(21.2%)과 민간(28.8%)의 보안전문가 2,081명이 답했다.
우선 보안 전문가들에게 자동차의 네트워크 연결 등 SDV로의 진화에 대해 알고 있는지 물어봤다. 스마트 기술이 적용된 SDV에 대해 알고 있는지 묻자, 응답자의 절반이 넘는 61.1%가 ‘들어봤지만 자세하게는 모른다’라고 답했다. 24.5%는 ‘안다’라고 답했지만, 생각보다는 많은 14.4%가 ‘모른다’라고 답했다.
이어 자동차 전용 앱을 통해 차량 조작이 가능하다는 것을 알고 있는지 묻자, 이번에는 71.2%가 ‘안다’라고 답했다. 26.9%는 ‘들어봤지만 자세하게는 모른다’라고 답했고, 1.9%만이 ‘모른다’라고 답했다.
자동차의 고장이나 이상 여부를 확인할 수 있는 ‘온보드 진단(OBD)’ 장치가 최근 와이파이나 블루투스로 연결되는 것을 알고 있는지 묻자, 59.6%가 ‘안다’라고 답했고, 30.8%가 ‘들어봤지만 자세하게 모른다’라고 답했다. 그리고 9.6%는 ‘모른다’라고 답했다.
그리고 차량도 PC나 휴대폰과 마찬가지로 소프트웨어 업데이트를 하는 것을 알고 있냐고 묻자 84.6%는 ‘안다’라고 답했고, 13.0%는 ‘들어봤지만 자세하게는 모른다’라고 답했다. 2.4%만이 ‘모른다’라고 답했다.
해당 답변을 종합해 보면, 자신이 직접 다루거나 경험해 본 자동차 전용 앱과 소프트웨어 업데이트는 아는 사람들이 많았지만, 직접적인 연관이 없는 SDV나 OBD에 대해서는 잘 모른다는 것을 알 수 있었다.
이어 본격적으로 자동차 해킹에 대해 물어봤다. 우선 자동차 해킹에 대해 잘 알고 있냐고 묻자 48.1%가 ‘들어봤지만 자세하게는 모른다’라고 답해 놀라움을 안겨줬다. 또한 44.7%는 ‘안다’라고 답했고, 7.2%는 ‘모른다’라고 답했다.
운전하면서 자동차 해킹이 발생하는 것에 대한 불안감이 있느냐고 묻자 49.5%는 ‘있다’라고 답했고, 30.3%는 ‘아직 잘 모르겠다’라고 답했다. 또한 20.2%는 ‘없다’라고 답했다. 그렇다면 실제 자동차 해킹이 발생한다면 어떤 부분이 가장 우려되는지 물어봤다. 가장 많은 79.8%가 ‘차량 제어 불능으로 인한 사고’를 우려한다고 답했으며, 11.1%는 ‘차량 탈취’라고 답했다. 또한 9.1%는 ‘개인정보 유출’이라고 답했다.
이어 차량을 구입할 때 사이버보안이 차량 선택의 기준에 포함되는지를 물어봤다. 63.9%는 ‘있으면 좋겠지만 선택의 기준이 될 정도까지는 아니다’라고 답했고, 30.8%는 ‘포함된다’라고 답했다. 5.3%만이 ‘포함되지 않는다’라고 답했다.
자동차 보안 관리체계인 UN R155와 R156에 대해 알고 있는지 물었을 때 44.8%는 ‘잘 모른다’라고 답했으며, 41.3%는 ‘들어봤지만 자세하게는 모른다’라고 답했다. 오직 13.9%만이 ‘잘 안다’라고 답했다.
자동차 보안, 뚫기도 막기도 어렵지만 포기할 수 없어
최근 현대차그룹은 2028년까지 첫 SDV를 양산한다고 밝혔다. 이미 시험 모델 개발에 들어갔고, 2028년 양산형 모델을 출시할 계획이다. 중국은 이미 SDV API 표준을 완성해 적용했고, 일본은 2024년 5월 ‘모빌리티DX’ 전략을 통해 SDV 강화에 나섰다.
전 세계의 자동차 산업은 이미 소프트웨어 중심으로 재편되고 있다. 그리고 그만큼 보안 위협에 노출되고 있다. 아직까지 연구 목적의 차량 해킹이 이뤄지고 있지만, 무선 해킹을 통해 차량의 주요 기능을 탈취할 수 있다는 것은 이미 입증된 지 오래다. 게다가 주택의 현관 입구에 집 열쇠와 차 열쇠를 놓아두는 특성이 있는 해외에서는 차 열쇠의 신호를 증폭시키는 방식으로 차를 훔치는 범죄도 발생하고 있다.
물론 차량을 대상으로 한 해킹이 실제 발생하는 것은 어려운 일이다. 보안업계에서는 차량을 해킹하기 위해서는 그에 대한 연구가 이뤄져야 하는데, 차값이 너무 비싸서 일일이 차를 구입해 연구하는 해킹그룹이 많지 않을 거라고 설명한다. 게다가 차마다 ECU 등 구조가 다를 수 있기 때문에 투자 대비 효과(?)를 거두기도 쉽지 않은 일이다.
그럼에도 불구하고 자동차 해킹은 단순 재산상의 불이익이나 개인정보 탈취를 넘어 운전자와 동승자의 생명을 위협할 수 있기 때문에, 자동차 회사와 자동차 보안 회사는 안전한 자동차를 위해 끊임없이 노력하고 있다.
앞서 설명한 것처럼 IT 보안기업이 자동차 보안 산업에 도전하는 것은 쉬운 일은 아니지만, 최근 자동차 보안이 건설장비나 농기계 등 다른 차량에도 도입되는 등 시장의 성장이 예견되어 있기 때문에 가능성이 충분하다. 사실이다. 게다가 우리나라의 자동차 보안에 대한 연구가 세계와 비교해도 크게 뒤떨어지지 않고 빨리 시작한 것도 도움이 될 것으로 보인다. 아울러 자동차관리법 개정으로 법적 발판도 마련됐고, 한국인터넷진흥원 등 정부 기관의 지원도 있는 만큼 당분간 자동차 보안 산업의 미래는 기대가 된다.
▲반복적인 사이버보안 규제 대응 업무[자료: 페스카로]
[자동차 보안 솔루션 집중분석-1]
복잡한 사이버보안 규제 대응 업무를 자동화하려면? ‘CSMS 포털’의 등장
자동차 사이버보안 승부처, 규제 인증 아닌 ‘지속적인 운영 관리’
자동차가 소프트웨어 중심으로 진화하면서, 사이버보안이 새로운 안전장치로 자리 잡고 있다. 유럽, 한국, 중국 등 주요국은 사이버보안을 법제화하며 대응하고 있다. 하지만 승부처는 인증 그 자체가 아닌, 차량이 도로 위를 달리는 수년 동안의 ‘지속 가능한 운영’에 있다. 업계는 수많은 차종과 반복되는 규제 대응 업무의 효율성을 높이기 위해 체계적인 운영 플랫폼이 필요해졌다. 이에 페스카로(FESCARO)는 사이버보안의 업무를 통합 관리하고 지속적으로 운영 관리할 수 있는 자동화 플랫폼 ‘CSMS 포털’을 개발했다. CSMS 포털은 인증 획득을 넘어, 사이버보안의 ‘고도화’를 가능케 하는 실질적인 대안이자 해법이다.
새로운 안전장치 : 자동차 사이버보안 규제 인증
한때 자동차는 ‘철과 기름의 예술’이라 불렸지만, 지금은 ‘달리는 컴퓨터’에 가깝다. 자율주행 기술, 무선 소프트웨어 업데이트(OTA) 등으로 빠르게 디지털화되고 있기 때문이다. 동시에 차량을 겨냥한 사이버공격이 현실적인 위협으로 부상하자, 이에 대응하기 위한 법적 규제가 전 세계적으로 강화되고 있다.
유럽연합(EU)은 자동차 사이버보안 규제를 2020년 제정했으며, 2022년부터 본격적으로 시행했다. UN Regulation 155(사이버보안 관리체계)와 156(소프트웨어 업데이트 관리체계)을 준수하지 못한 차량은 유럽에서 판매할 수 없게 되었다. 국내에서도 자동차관리법을 개정하며 사이버보안을 의무화했으며, 오는 8월부터 시행될 예정이다. 중국은 ‘GB 44495-2024’, 인도는 ‘AIS-189’로 규제에 뛰어들었다. 전 세계적으로 자동차 산업 전반에 사이버보안 인증 없는 차량은 ‘판매 불가’한 시대가 도래한 것이다. 여기에 유럽연합이 제정한 사이버복원력법(CRA, Cyber Resilience Act)은 디지털 요소가 포함된 모든 제품에 적용된다. 농기계와 건설기계 등 모빌리티 산업 전반에 사이버보안이 적용될 예정이다.
안전벨트가 생명을 지키듯, 사이버보안이 또 하나의 안전장치가 되고 있다. 이제 사이버위협에 대한 대응이 기업의 신뢰도와 시장 경쟁력을 좌우하게 될 것으로 보인다.
자동차 사이버보안 인증은 출발선, 본 게임은 ‘운영 관리’
EU가 선제적으로 자동차 사이버보안 규제를 본격화하면서, 완성차 제작사(OEM)들은 앞다투어 보안 인증을 획득하기 위한 체계 구축에 나섰다. 그러나 제작사들은 사이버보안의 진정한 과제가 인증 취득이 아닌 그 이후의 ‘운영·관리’라는 것을 깨달았다.
차 한 대가 출시되면 그 생애주기는 최소 10년에서 길게는 15년에 이른다. 이 기간 동안 해킹 기법은 끊임없이 진화하기 때문에 보안 대응도 지속 가능한 운영 체계로 전환돼야 한다. 인증을 위한 일회성 대응이 아니라, 실시간으로 보안 취약점을 모니터링하고, 신속하고 지속적인 대응이 가능한 체계가 뒷받침되어야 한다는 의미다.
특히 연간 수백만대를 출고하는 대규모 제작사일수록 상황은 복잡해진다. 차종이 늘고 판매량이 쌓일수록 각기 다른 전장 구성과 보안 환경을 가진 차량을 동시에 관리해야 하는 ‘운영 난이도’가 눈덩이처럼 불어난다. 하나의 부품에서 발견된 보안 취약점이 수십개 차종, 수백만대 차량에 연쇄적으로 영향을 미치는 사례는 결코 이론적 우려에 그치지 않는다.
사이버공격은 100% 차단이 불가능하다는 점에서, 자동차 산업은 ‘지속적인 사이버보안 운영 및 관리’를 중시하는 방향으로 패러다임이 전환되고 있다.
차량 수명주기를 관통하는 사이버보안, ‘CSMS 포털’로 통합 관리
신규 차종은 계속 출시되고, 소프트웨어 업데이트는 수시로 이루어지며, 보안 프로세스는 수백명의 이해관계자와 연결돼 복잡하게 얽혀 있다. 이 과정에서 다양한 보안 산출물과 검토 작업이 수작업으로 이루어지면 ‘휴먼 에러(Human Error)’가 발생하고, 운영 부담은 시간이 지날수록 증가한다. 페스카로는 이러한 시장의 흐름에 대응해 자동차 사이버보안 운영 업무를 효율적으로 관리할 수 있는 ‘CSMS 포털(Portal)’을 개발했다.
CSMS 포털은 인증을 준비하는 초기 단계부터 차량 양산 이후 수년간의 운영까지 전 과정을 통합 관리할 수 있다. 먼저 TARA(위협분석 및 위험평가), 보안 솔루션, 보안 테스팅 등 법규 대응에 필요한 업무를 자동화할 수 있다. 또한 인증 획득 이후에도 산출물 업데이트 및 이력 관리, 보안 취약점 모니터링, 보안 점검 관리 등을 체계적으로 수행할 수 있다.
CSMS 포털은 단순한 인증 획득을 넘어, 사이버보안의 지속 운영과 체계적 고도화를 가능하게 한다. 차량 수명주기 전반을 아우르는 이 플랫폼을 통해, 사이버보안 운영의 복잡성과 인적 부담을 근본적으로 해소할 수 있다. 궁극적으로 고객이 사이버보안 대응에 매몰되지 않고, 본연의 제품 개발과 비즈니스에 집중할 수 있기를 기대한다.
자동차 사이버보안 규제 대응에 특화된 자동화 플랫폼 ‘CSMS 포털(Portal)’
CSMS 포털은 자동차 사이버보안을 ‘지속 가능한 운영 체계’로 관리해야 한다는 관점에서 설계된 플랫폼이다. 컴플라이언스와 운영 현장의 요구를 연결해 실효성을 높였으며, 보안 규제의 본질부터 운영까지 전 과정을 체계적으로 지원하다. 또한 업계에서 유일하게 프로세스 정립(추상화), 프로젝트 협업(ALM), 보안 운영(vSOC) 기능을 단일 플랫폼에서 통합 제공한다. 단순히 문서화, 감사 대응, 모니터링을 하는 도구를 넘어 개발부터 양산, 유지보수까지 보안을 일관되게 관리할 수 있는 데브섹옵스(DevSecOps) 콘셉트를 구현했다. 이로써 차량 생애주기 전반을 아우르며 운영 효율성과 사이버보안 지속성 및 고도화를 동시에 실현할 수 있다.
▲아우토크립트 ‘AutoCrypt KEY’[자료: 아우토크립트]
[자동차 보안 솔루션 집중분석-2]
아우토크립트 ‘AutoCrypt KEY’
글로벌 완성차 제조사가 먼저 선택한 키 관리 솔루션
자동차 산업은 빠르게 디지털화되고 있다. 차량은 더 이상 단순한 이동 수단이 아니라, 수십 개의 전자제어장치(ECU), 외부와의 실시간 통신, OTA(Over-the-Air)를 통한 무선 소프트웨어 업데이트 등으로 구성된 복잡한 디지털 플랫폼이 되었다. 이러한 구조가 안전하게 작동하기 위해서는 차량 내부와 외부의 모든 보안 체계를 관리할 수 있는 기반 기술이 필요하다. 그리고 그 출발점은 바로 ‘보안 키(Key)’와 ‘인증서’의 안전한 생성, 저장, 배포, 관리다.
현재 UN R155, R156 등 국제 차량 보안 규제는 개발부터 생산, 유지보수에 이르는 전 생애주기에 걸쳐 사이버보안 관리체계(CSMS)의 구축과 인증을 요구하고 있다. 유럽연합을 비롯해 주요 자동차 생산국들이 이 기준을 법제화하면서, 보안 키와 인증서를 어떻게 관리하느냐는 차량 양산과 판매에 직결되는 핵심 요소가 되었다. 그러나 많은 기업들은 여전히 혼란 속에 있다. 적용해야 할 보안 표준과 요구사항이 복잡할 뿐만 아니라, 완성차 제조사(OEM)이 요구하는 문서와 실제 생산환경 간의 간극을 해석하고 대응하는 데 어려움을 겪고 있기 때문이다. 여기에 기존 시스템과의 연동 부담, 신규 설비 도입에 따른 비용 등도 현실적인 제약으로 작용하고 있다.
아우토크립트의 AutoCrypt KEY는 이러한 문제들을 실질적으로 해결해주는 솔루션이다.
글로벌 현장에서 이미 검증된 기술력
AutoCrypt KEY는 단순한 제품을 넘어, 유럽, 인도, 중동 등 다양한 현장의 완성차 OEM 및 부품사 생산 라인에 적용되며 실제 운용을 통해 검증된 키 관리 솔루션이다.
아우토크립트는 해외 OEM으로부터 전달받은 보안 자산을 하드웨어 보안 모듈(HSM)을 통해 안전하게 저장하고, OEM의 정책에 맞춰 차량 제어기에 키를 정확하게 배포하는 체계를 구축해왔다.
다양한 구축 경험을 통해 아우토크립트는 글로벌 OEM이 요구하는 보안 문서에는 표준 외에도 개별 정책이 혼합되어 있다는 점을 확인했으며, 이를 신속하고 정확하게 해석하지 못할 경우 시스템 구축 지연과 리소스 낭비로 이어질 수 있다는 교훈을 얻었다. 이러한 리스크를 줄이기 위해 아우토크립트는 보안 전문가들이 프로젝트 초기 단계부터 투입돼, 요구 분석부터 설계, 구현, 검증까지 전 과정을 밀착 지원하고 있다.
지금 필요한 키 관리 시스템, 왜 AutoCrypt KEY인가?
오늘날 차량 보안 시스템은 단순한 기술적 완성도를 넘어, 글로벌 규제에 유연하게 대응하고, 기존 시스템과 쉽게 연동되며, 운영 편의성까지 갖춘 통합형 시스템이 요구된다.
AutoCrypt KEY는 차량 보안에 필요한 다양한 암호 기술을 지원한다. 예를 들어, RSA는 공개키 기반의 비대칭 암호 방식으로 안전한 통신을 가능하게 하고, AES는 속도가 빠르고 효율적인 대칭키 방식의 암호화 기술, SHA는 데이터를 위·변조 없이 안전하게 유지하기 위한 단방향 해시 알고리즘으로, 각각 차량 내부 데이터 보호와 인증 과정에 필수적으로 사용된다. 또한, 여러 시스템이 서로 안전하게 정보를 주고받을 수 있도록, REST API(Representational State Transfer API)라는 웹 기반 통신 방식을 적용해 기존의 생산관리 시스템(MES)이나 자원관리 시스템(ERP) 등과 쉽게 연동할 수 있도록 설계돼 있다. 이로써 기업은 기존 시스템을 그대로 유지하면서 보안 기능을 확장할 수 있다.
아우토크립트는 독립적으로 운영되는 전문 보안 기업으로, 고객의 생산 환경과 프로젝트 특성에 맞춰 유연한 기술 지원과 맞춤형 대응이 가능하다. 사용자 친화적으로 설계된 대시보드를 통해, 접근 권한 설정, 유효기간 관리, 사용 이력 확인 등 시스템 운영의 복잡도를 대폭 줄일 수 있다.
실제 완성차 제조사는 AutoCrypt KEY를 통해 국제 표준 기반의 키 관리 체계를 구축하고 있으며, 부품사 또한 기존 시스템과의 연동을 통해 전자 서명 및 검증 등 보안 정책을 실질적으로 반영하고 있다. 이처럼 AutoCrypt KEY는 시간, 비용, 안정성, 운영 효율성 전반에서 경쟁력을 갖춘 솔루션으로, 복잡한 차량 보안 요구사항을 실제 구현 가능한 시스템으로 전환해주는 핵심 인프라로 평가받고 있다.
현장의 어려움을 해결하는 실질적 해법
CSMS 구축 과정에서 기업들이 가장 많이 부딪히는 장벽은 다음과 같다. 유럽 규제인 UN R155는 보안이 차량의 전 생애주기에 적용되었음을 인증기관에 입증해야 하며, 이를 위해 각 제어기에 대한 TARA(위협 분석 및 위험 평가) 수행이 필요하다.
OEM이 제공하는 보안 요구 문서는 표준 외 개별 정책을 포함하고 있어 실질적인 생산 공정과 연계해 판단해야 한다. 여기에 기존 시스템과의 연동 작업이나 신규 설비 투자에 따른 리소스 부담도 간과할 수 없다.
이러한 복합적인 어려움을 해결하기 위해 AutoCrypt KEY는 국제 표준과 OEM 요구사항을 선제적으로 분석하고, 실제 생산현장에 적합한 시스템 아키텍처를 구축하며, 보안 전문 인력이 프로젝트 전반에 투입돼 고객의 운영 부담을 최소화하는 방식을 취하고 있다.
지금 이 기술이 필요한 기업은 누구인가?
AutoCrypt KEY는 CSMS 구축을 준비 중인 완성차 OEM 및 부품사(Tier 1), 글로벌 인증을 준비 중인 부품·모듈 제조사, 그리고 CRA 대응이 필요한 농기계·건설기계 제조사에게 반드시 필요한 솔루션이다. 보안은 더 이상 나중에 준비할 수 있는 선택지가 아니다. 규제 시행 이전에 인증을 완료하지 못한다면, 어떤 기술력도 시장 진입으로 이어질 수 없다.
산업 확장에 대응하는 보안 시스템
차량 보안은 더 이상 승용차에만 머무르지 않는다. 유럽의 CRA(Cyber Resilience Act) 시행이 본격화되면, 디지털 요소가 포함된 농기계, 건설기계, 산업용 장비 등에도 동일한 보안 요구사항이 적용될 예정이다.
아우토크립트는 이러한 변화에 선제적으로 대응하고 있다. 기존 시스템의 커버리지를 확장하고, 불필요한 복잡성을 제거한 구조로 선행 개발을 진행 중이며, 중동과 인도 등 다양한 환경에서의 구축 사례를 통해 기술력과 적응력을 이미 입증했다.
AutoCrypt KEY는 단순한 제품이 아닌, 변화하는 자동차 산업의 보안 표준을 제시하는 핵심 인프라다.
[원병철 기자(boanone@boannews.com)]
자동차 보안에 대한 사용자 설문조사
자동차 보안 솔루션 전문기업 집중분석: 페스카로, 아우토크립트
[보안뉴스 원병철 기자] EU가 2024년 7월부터 유럽에서 생산 및 판매되는 모든 차에 자동차 보안 규제인 UNR155와 UNR156을 적용하도록 하면서 자동차 보안이 수면 위로 떠오르게 됐다. 우리나라 역시 2024년 2월, 자동차 사이버 공격으로부터 안전성 확보와 자동차의 안전한 소프트웨어 업데이트를 담은 ‘국내 자동차 관리법’ 개정안이 공포되고 2025년 8월 14일 시행을 앞두고 있어 자동차 업계는 물론 보안업계에서도 관심이 모아지고 있다.
[자료: gettyimagesbank]
아직은 실험으로 그친 자동차 해킹, 운전자 생명까지 위협할 수 있어
어느 순간부터 자동차는 단순한 이동성을 넘어 편리성이 강화되기 시작했고, 첨단 IT 기술을 적용한 SDV(소프트웨어 정의 차량, Software Defined Vehicle)가 일반 차량을 대체하고 있다. 실제로 전기차 시장을 이끄는 테슬라는 전 차량이 다 SDV이며, 현대자동차도 2028년까지 첫 양산 SDV를 만들겠다고 밝힌 바 있다.
SDV는 소프트웨어를 통해 차량의 기능을 정의하고 발전시킨다는 의미를 담고 있다. 처음 용어가 시작된 기원은 확인하기 어려우나 업계에서는 2012년 테슬라 모델 S가 최초의 SDV로 출시되며 대중화를 열었다고 보고 있다. 하지만 SDV의 시작은 1970년대 마이크로프로세서가 자동차 엔지니어링에 접목되면서부터라고 보는 견해도 있다. 즉 자동차에 컴퓨터가 들어가고, 이를 통해 소프트웨어가 개발되면서 시작됐다는 설명이다.
특히 ‘ECU(Electronic Control Unit)’가 대중화되면서 엔진과 변속기, 브레이크와 에어백 등 주행부터 자동차 안전은 물론 인포테인먼트까지 영향을 미치기 시작했다. 1996년 GM의 커넥티드 카 서비스인 ‘onstar’를 시작으로 차량에 네트워크가 연결되기 시작했고, 기술이 점차 발전하면서 SDV로 진화하기 시작한 것이다.
▲자동차 보안 솔루션 로드맵(아이템별) ①[자료: KISA]
밀러와 발라섹의 ‘지프 체로키’ 해킹으로 시작된 자동차 보안
자동차에 컴퓨터가 접목되고 네트워크로 연결되면서 사람들은 ‘보안’에 대한 걱정을 하기 시작했다. 자동차도 사이버공격을 받을 수 있다고 생각한 것이다. 2010년 미국 워싱턴 대학(University of Washington)과 캘리포니아 대학(University of Washington)의 연구원들이 실제 자동차를 최초로 해킹함으로써 자동차 해킹 가능성을 증명한 사건이 있었다. 연구원들은 자동차 내부 네트워크인 ‘CAN’의 패킷을 모니터링할 수 있는 ‘Carshark’란 툴을 직접 만들고, CAN 패킷에서 취약점을 분석해 공격을 시도했다. 이들이 2010년 IEEE 보안 및 개인정보보호 심포지엄(IEEE Symposium on Security and Privacy)에서 발표한 논문 ‘현대 자동차의 실험적 보안 분석(Experimental Security Analysis of a Modern Automobile)’은 자동차 해킹에 대한 본격적인 연구를 불러왔다. 이어 이들은 2011년에도 자동차에 존재하는 Attack Surface 분석과 무선 환경 공격을 시도했고, 자동차에 탑재된 다양한 입출력 장치에 대한 취약점도 분석했다.
자동차 보안 전문가인 ‘찰리 밀러(Charlie Miller)’와 ‘크리스 발라섹(Chris Valasek)’은 2013년 포드와 도요타의 자동차로 CAN 네트워크 패킷 분석과 유선 환경 해킹 실험 결과를 공개했다. 이어 2014년에는 자동차 제조사에서 공개한 자료를 기반으로 차량 모델별 공격 가능성을 점수로 매겨 소개했다. 그리고 2015년 블랙햇 콘퍼런스에서 지프 체로키(Jeep Cherokee)’를 대상으로 한 실제 무선 해킹을 발표함으로써 자동차 해킹 위협의 시대를 열었다.
밀러와 발라섹은 와이어드의 기자 앤디 그린버그가 운전하는 자동차를 원격으로 해킹해 라디오와 와이퍼는 물론 엔진을 꺼버리는 실험 영상을 공개했고, 해당 영상은 유튜브를 통해 널리 알려졌다. 이들은 이동통신 네트워크를 통해 차량의 IP 주소를 찾아냈고, 이를 이용해 CAN 버스에 접근했다. 이어 ECU 펌웨어를 리버스 엔지니어링해 차량의 가속, 브레이크, 핸들 조작, 와이퍼 조작, 문 잠금 등이 가능하다는 것을 보여주었다.
이 발표로 지프는 140만대 이상의 차량을 리콜하는 조치를 시행했으며, 다른 차량 제조사 역시 자동차 보안에 대한 연구를 시작했다. 때문에 자동차 보안 전문가들은 이 지프 체로키 해킹을 자동차 보안의 시발점으로 보고 있다.
주목할 점은 한국의 자동차 보안 연구도 이들 못지않게 빠르게 시작했다는 점이다. 고려대학교도 2010년부터 자동차 보안 연구를 시작했으며, CAN 통신 환경 취약점 분석과 차량용 스마트폰 앱 기반 차량 무선 해킹, 그리고 차량용 AVN(Audio, Video, Navigation) 펌웨어 변조 기반 차량 무선 해킹 등의 연구를 진행했다.
카이스트(KAIST)는 2018년 테슬라의 CAN을 해킹하는 연구를 진행해 악성코드 삽입을 통한 제어신호 조작을 선보였다. 연구자들은 브레이크 작동을 중지하거나 전원을 껐으며 경고등의 오작동을 유발했다.
한국자동차공학회 산하 자동차 보안연구회 우사무엘 간사(단국대 교수)는 “자동차 해킹 연구는 다양한 방면으로 진행됐다”면서 “초기 CAN 분석은 물론 앱(App)과 VAN, DCU(Display Control Unit), 헤드 유닛(Head Unit) 등 다양한 공격 루트를 개발하며 다양하게 연구가 이뤄졌다”라고 설명했다. 아울러 “아직 실제 자동차 해킹을 통한 차량 공격이나 사건·사고는 발생하지 않았지만, 자동차 키의 주파수를 증폭해 차의 문을 열고 시동을 걸어 훔쳐 가는 ‘릴레이 공격(Relay Attack)’은 실제로 일어나고 있다”라고 덧붙였다.
▲자동차 보안 솔루션 로드맵(아이템별) ②[자료: KISA]
자동차 보안을 위한 컴플라이언스 강화 움직임
학계와 연구원들을 중심으로 자동차 해킹이 가능하다는 것이 알려지면서 각국 정부는 자동차 사이버보안을 강화하기 위한 관련 법 마련에 들어갔다. 아울러 UN을 포함해 자동차 보안 관련 국제표준과 권고 법령 등에 대한 연구가 활발하게 이뤄졌다.
유엔 경제사회이사회(ECOSOC) 산하인 유엔 유럽 경제 위원회(UNECE)는 유럽과 주변 지역의 경제협력과 지속 가능한 발전을 위한 기구로 56개 회원국으로 구성돼 있다. 유럽 경제 위원회는 자동차 보안과 소프트웨어의 업데이트를 강화하기 위해 2016년부터 논의 시작했고, 2020년 6월 UN R155(사이버보안)와 UN R156(소프트웨어 업데이트)이 공식 채택됐다. 여기서 R은 규정(Regulation)의 약자로, 법은 아니지만 UN 회원국이 이를 채택하면 강제성이 부여된다. 예를 들면, 유럽 경제 위원회가 UN R155와 R156을 채택하면서 유럽에서 판매되는 모든 차량은 이 규정을 준수해야 한다. 2022년 7월 이후 출시된 신차와 2024년 생산 및 판매되는 모든 차는 이 규정을 적용받는다. 승인받지 못하면 유럽 시장에서 판매 불가 및 중단/리콜/벌금 부과 등의 불이익이 발생한다.
R155는 자동차에 대한 사이버보안 요구사항으로 차량 설계·생산·운행 전반에 걸친 해킹 방지가 목적이다. 차량과 전자 제어장치(ECU), 통신 모듈 등이 적용 대상이며, ECU 해킹 방지와 침입탐지 시스템, 키 관리 등이 포함된다. R156은 안전한 자동차 소프트웨어 업데이트 수행을 보장하기 위한 내용으로 OTA를 포함한 모든 소프트웨어 업데이트가 가능한 차량이 대상이다. 업데이트 절차의 무결성, 인증, 롤백, 기록 등 보안 중심 소프트웨어 변경 관리가 목적이다.
다만 R155는 모호한 내용이 많아서 ISO/SAE 21434:2021를 참조하도록 했다. ISO/SAE 21434:2021은 자동차 사이버보안 관련 국제표준으로 차량의 개발부터 제조와 운영은 물론 유지관리와 폐기까지 전 영역에 걸친 사이버보안 위험 관리를 담고 있다.
한국도 2024년 2월 ‘자동차관리법 개정안’을 통해 ①자동차의 사이버공격으로부터의 안전성 확보(자동차 보안 관리 체계 인증 등)와 ②자동차의 안전한 소프트웨어 업데이트가 규정화했으며, 이 법은 2025년 8월 14일부터 시행된다.
이번에 신설된 항목 중 제30조의9(자동차 보안 관리체계 인증 등), 제30조의10(자동차 보안 관리체계 관련 자료의 제출 요구), 제30조의11(자동차 보안 관리체계 인증의 취소 등), 제30조의12(자동차 사이버공격·위협의 신고 등)는 자동차 사이버 보안과 관련된 내용이 담겨 있으며, 제34조의5(자동차제작자 등의 소프트웨어 업데이트), 제34조의6(업데이트의 적정성 조사 등)에는 자동차 소프트웨어 업데이트에 대한 내용이 담겨 있다.
참고로 R155의 사이버보안 관리체계 인증은 자동차관리법의 사이버보안 관리체계 인증을 대체할 수 없으며, 국토교통부의 인증을 받아야만 한다.
이외에도 일본과 중국, 인도 등이 UN R155와 R156을 중심으로 관련법을 만들어 시행했거나 시행할 계획으로 알려졌다.
이와 관련 페스카로의 구성서 상무는 “이제 완성차 제작사는 CSMS(사이버보안 관리체계, Cybersecurity Management System) 인증과 VTA(형식승인, Vehicle Type Approval)를 획득해야 한다”라면서, “CSMS는 자동차에 대한 사이버 위협과 리스크를 관리하고 사이버공격으로부터 차량을 보호하기 위한 조직적인 프로세스와 관리 시스템을 의미한다”라고 설명했다.
“개발-생산-생산 이후 단계에 걸친 차량의 전체 수명주기에 사이버보안 관리체계를 적용해야 하며, 조직 내 사이버보안 관리, 위험 식별, 위험 평가, 사이버보안 테스트 등의 프로세스에 보안이 충분히 고려되었음을 입증해야 합니다. 또한 사이버 위협과 취약점이 합리적인 시간 내에 완화되도록 보장하고, 탐지 및 대응을 위한 필드 모니터링을 지속 수행하는 것을 입증해야 합니다. 마지막으로 유관 협력사 등 전체 공급망에 존재할 수 있는 사이버보안 의존성을 CSMS가 어떻게 관리할 것인지 입증해야 합니다. 요구사항을 모두 충족했다면 시험기관(TS : Technical Service)을 통해 검증해야 하며, 이후 인증기관(AA : Approval Authority)의 심사를 통해 최종 승인을 받을 수 있습니다.”
▲자동차 보안 솔루션 로드맵(아이템별) ③[자료: KISA]
화려하지 않지만, 내실 챙기는 자동차 보안 산업
학계와 연구계, 그리고 정부와 기관 등이 각각의 입장에서 자동차 보안에 대한 연구와 법 개정을 이어가는 사이 자동차 보안 업계도 하나의 산업을 이뤄가며 발전하기 시작했다.
처음 두각을 나타낸 곳은 독일이었다. 세계 최초의 자동차 보안 콘퍼런스인 ‘ESCAR’가 2003년 독일에서 개최된 후 독일을 중심으로 다양한 연구가 이뤄지며 기업들이 뛰어들기 시작했다. 세계 자동차 시장을 이끄는 독3사 등 대표적인 자동차 회사가 독일 기업인 것도 독일에서 자동차 보안 연구가 활성화된 이유였다.
대표적인 곳이 ESCRYPT다. ESCAR 등 콘퍼런스에서 두각을 나타내던 전문가들이 세운 ESCRYPT는 향후 보쉬(BOSCH)의 자회사인 모빌리티 전문기업 이타스(ETAS)가 인수하면서 이들의 사이버보안 제품 브랜드가 됐다.
한국에서도 자동차 보안 기업들이 두각을 나타냈다. 2016년 설립한 페스카로는 UN R155, ISO/SAE 21434 등 국제 법규 및 표준을 준수하는 사이버보안 솔루션을 글로벌 자동차 제작사 8곳의 160여개 제어기에 양산 적용하며 기술 안정성을 입증받았다. 2019년 설립한 아우토크립트는 원래 사이버 보안기업 펜타시큐리티가 2007년 경 자동차 제조사와 차량용 사이버보안을 연구하면서 시작했다. 스마트카 보안 솔루션 브랜드였던 아우토크립트를 자동차 보안의 첨병으로 세운 것이다.
한국인터넷진흥원이 2025년 5월 발표한 ‘자동차 보안 솔루션 로드맵(기업별)’에 따르면, 현재 한국에서 자동차 보안 솔루션을 공급하는 회사는 30개사로, △Plaxidityx △C2A △ETAS △COONTEC(쿤텍) △DigiCAP(디지캡) △KONA Mobility(코나아이) △HARMAN International △RANIX(라닉스) △SYNOPSYS(시놉시스) △UL Solutions △VECTOR △commsignia(콤시그니아) △새솔테크 △아우토크립트 △드림시큐리티 △VWAY △HYUNDAI AutoEver(현대오토에버) △SM Solutions △Cybellum △FESCARO(페스카로) △블랙배리 △ELEKTROBIT(일렉트로비트) △Garret ADVANCING MOTION △TÜV Rheinland △BSI △MDSTECH △UPSTREAM △세온ENS △이글루코퍼레이션 △UPSTREAM(회사명 로드맵 순) 등이다.
글로벌 시장조사기관 마켓츠앤마켓츠에 따르면 글로벌 자동차 보안 시장 규모는 2023년 25억달러에서 2028년 60억달러로 연평균 18.5% 성장할 것으로 예상된다. 마켓츠앤마켓츠는 “커넥티드 카 도입 증가로 차량당 탑재되는 전자 장치도 증가했으며, 이에 따라 사이버공격에 대한 차량의 취약성이 높아졌고, 최근 유명 자동차 제조업체들이 차량을 리콜하는 사태가 발생했다”면서, “전 세계적으로 자동차 보안 솔루션에 대한 수요가 빠르게 증가하고 있으며, 자동차 분야에서 클라우드 기반 애플리케이션이 확대되고 소프트웨어 정의 차량이 등장하면서 향후 몇 년 동안 전 세계적으로 자동차 보안 시장에 수익성 있는 기회가 창출될 것으로 예상된다”고 설명했다.
Grand View Research도 ‘자동차 보안 시장 규모, 점유율 및 동향 분석 보고서’를 통해 글로벌 자동차 보안 시장 규모가 2022년 30억 9,060만달러로 평가되었으며, 2023년부터 2030년까지 연평균 성장률(CAGR) 20.93%로 확대될 것으로 예상된다고 밝혔다. 보고서는 “차량 연결성이 빠르게 확장되면서 혁신적인 신기능과 매력적인 사업 전략에 대한 많은 기회가 창출되고 있다”면서, “동시에 자동차 네트워크에 대한 사이버공격 위험도 증가하고 있다”고 설명했다.
▲사이버보안과 자동차 보안의 차이점, ECU 보안과 SDV 보안의 차이점[자료: 아우토크립트]
자동차 보안, 예상외 진입 장벽으로 도전 쉽지 않아
자동차 보안은 IT 사이버보안과는 결이 다르다는 것이 관련 업계의 설명이다. 외부 공격으로부터 보안의 대상을 안전하게 보호하는 것은 같지만, 이 보호 대상이나 보안의 목표, 우선순위와 운영 환경 등 대부분이 다르다는 것이다.
예를 들면, 기존 IT 사이버보안은 적게는 PC나 스마트폰 등에서 많게는 서버와 클라우드에 이르기까지 비용만 있으면 충분한 컴퓨팅 환경에서 보안 솔루션을 가동할 수 있지만, 자동차 보안은 대부분 ECU라는 한정적인 칩셋 영역 안에서 모든 것을 해결해야 하기 때문에 보안 솔루션을 개발하고 연동하는 것 자체가 쉽지 않다고 전문가들은 말한다.
아우토크립트 이은송 부그룹장은 “자동차에 들어가는 ECU가 워낙 많아 마치 ‘전산실’과 비슷하다”라며 자동차 보안 연구·개발의 어려움을 짚었다. “자동차 브랜드마다 기준이 달라서 이를 맞추는 것도 어렵습니다. 칩셋, 플랫폼, 보안 기능 등을 모두 분석해 제품을 개발해야 하기 때문에 대응하는 것도 쉽지 않죠. 때문에 그동안 해왔던 레퍼런스를 많이 따지는 데, 이러한 부분이 진입 장벽이 되기도 합니다.”
게다가 제조사별로 자신들의 차량에 최적화된 ECU를 만들기 위해 커스터마이징하기 때문에 자동차 보안 솔루션을 만든다 하더라도 제품별, 제조사별로 변경해야 하는 어려움이 있다. 즉 ECU나 전장 분야를 잘 알아야만 자동차 보안 산업에 진출할 수 있다는 것이 아우토크립트의 설명이다.
▲보안전문가들의 자동차 보안에 대한 설문조사[자료: 보안뉴스]
보안전문가들의 자동차 보안에 대한 설문조사
그렇다면 실제 보안전문가들은 자동차 보안에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 5월 19일부터 21일까지 3일간 약 10만여명의 보안전문가들에게 설문조사를 진행했다. 이번 설문조사에는 공공(21.2%)과 민간(28.8%)의 보안전문가 2,081명이 답했다.
우선 보안 전문가들에게 자동차의 네트워크 연결 등 SDV로의 진화에 대해 알고 있는지 물어봤다. 스마트 기술이 적용된 SDV에 대해 알고 있는지 묻자, 응답자의 절반이 넘는 61.1%가 ‘들어봤지만 자세하게는 모른다’라고 답했다. 24.5%는 ‘안다’라고 답했지만, 생각보다는 많은 14.4%가 ‘모른다’라고 답했다.
이어 자동차 전용 앱을 통해 차량 조작이 가능하다는 것을 알고 있는지 묻자, 이번에는 71.2%가 ‘안다’라고 답했다. 26.9%는 ‘들어봤지만 자세하게는 모른다’라고 답했고, 1.9%만이 ‘모른다’라고 답했다.
자동차의 고장이나 이상 여부를 확인할 수 있는 ‘온보드 진단(OBD)’ 장치가 최근 와이파이나 블루투스로 연결되는 것을 알고 있는지 묻자, 59.6%가 ‘안다’라고 답했고, 30.8%가 ‘들어봤지만 자세하게 모른다’라고 답했다. 그리고 9.6%는 ‘모른다’라고 답했다.
그리고 차량도 PC나 휴대폰과 마찬가지로 소프트웨어 업데이트를 하는 것을 알고 있냐고 묻자 84.6%는 ‘안다’라고 답했고, 13.0%는 ‘들어봤지만 자세하게는 모른다’라고 답했다. 2.4%만이 ‘모른다’라고 답했다.
해당 답변을 종합해 보면, 자신이 직접 다루거나 경험해 본 자동차 전용 앱과 소프트웨어 업데이트는 아는 사람들이 많았지만, 직접적인 연관이 없는 SDV나 OBD에 대해서는 잘 모른다는 것을 알 수 있었다.
이어 본격적으로 자동차 해킹에 대해 물어봤다. 우선 자동차 해킹에 대해 잘 알고 있냐고 묻자 48.1%가 ‘들어봤지만 자세하게는 모른다’라고 답해 놀라움을 안겨줬다. 또한 44.7%는 ‘안다’라고 답했고, 7.2%는 ‘모른다’라고 답했다.
운전하면서 자동차 해킹이 발생하는 것에 대한 불안감이 있느냐고 묻자 49.5%는 ‘있다’라고 답했고, 30.3%는 ‘아직 잘 모르겠다’라고 답했다. 또한 20.2%는 ‘없다’라고 답했다. 그렇다면 실제 자동차 해킹이 발생한다면 어떤 부분이 가장 우려되는지 물어봤다. 가장 많은 79.8%가 ‘차량 제어 불능으로 인한 사고’를 우려한다고 답했으며, 11.1%는 ‘차량 탈취’라고 답했다. 또한 9.1%는 ‘개인정보 유출’이라고 답했다.
이어 차량을 구입할 때 사이버보안이 차량 선택의 기준에 포함되는지를 물어봤다. 63.9%는 ‘있으면 좋겠지만 선택의 기준이 될 정도까지는 아니다’라고 답했고, 30.8%는 ‘포함된다’라고 답했다. 5.3%만이 ‘포함되지 않는다’라고 답했다.
자동차 보안 관리체계인 UN R155와 R156에 대해 알고 있는지 물었을 때 44.8%는 ‘잘 모른다’라고 답했으며, 41.3%는 ‘들어봤지만 자세하게는 모른다’라고 답했다. 오직 13.9%만이 ‘잘 안다’라고 답했다.
자동차 보안, 뚫기도 막기도 어렵지만 포기할 수 없어
최근 현대차그룹은 2028년까지 첫 SDV를 양산한다고 밝혔다. 이미 시험 모델 개발에 들어갔고, 2028년 양산형 모델을 출시할 계획이다. 중국은 이미 SDV API 표준을 완성해 적용했고, 일본은 2024년 5월 ‘모빌리티DX’ 전략을 통해 SDV 강화에 나섰다.
전 세계의 자동차 산업은 이미 소프트웨어 중심으로 재편되고 있다. 그리고 그만큼 보안 위협에 노출되고 있다. 아직까지 연구 목적의 차량 해킹이 이뤄지고 있지만, 무선 해킹을 통해 차량의 주요 기능을 탈취할 수 있다는 것은 이미 입증된 지 오래다. 게다가 주택의 현관 입구에 집 열쇠와 차 열쇠를 놓아두는 특성이 있는 해외에서는 차 열쇠의 신호를 증폭시키는 방식으로 차를 훔치는 범죄도 발생하고 있다.
물론 차량을 대상으로 한 해킹이 실제 발생하는 것은 어려운 일이다. 보안업계에서는 차량을 해킹하기 위해서는 그에 대한 연구가 이뤄져야 하는데, 차값이 너무 비싸서 일일이 차를 구입해 연구하는 해킹그룹이 많지 않을 거라고 설명한다. 게다가 차마다 ECU 등 구조가 다를 수 있기 때문에 투자 대비 효과(?)를 거두기도 쉽지 않은 일이다.
그럼에도 불구하고 자동차 해킹은 단순 재산상의 불이익이나 개인정보 탈취를 넘어 운전자와 동승자의 생명을 위협할 수 있기 때문에, 자동차 회사와 자동차 보안 회사는 안전한 자동차를 위해 끊임없이 노력하고 있다.
앞서 설명한 것처럼 IT 보안기업이 자동차 보안 산업에 도전하는 것은 쉬운 일은 아니지만, 최근 자동차 보안이 건설장비나 농기계 등 다른 차량에도 도입되는 등 시장의 성장이 예견되어 있기 때문에 가능성이 충분하다. 사실이다. 게다가 우리나라의 자동차 보안에 대한 연구가 세계와 비교해도 크게 뒤떨어지지 않고 빨리 시작한 것도 도움이 될 것으로 보인다. 아울러 자동차관리법 개정으로 법적 발판도 마련됐고, 한국인터넷진흥원 등 정부 기관의 지원도 있는 만큼 당분간 자동차 보안 산업의 미래는 기대가 된다.
▲반복적인 사이버보안 규제 대응 업무[자료: 페스카로]
[자동차 보안 솔루션 집중분석-1]
복잡한 사이버보안 규제 대응 업무를 자동화하려면? ‘CSMS 포털’의 등장
자동차 사이버보안 승부처, 규제 인증 아닌 ‘지속적인 운영 관리’
자동차가 소프트웨어 중심으로 진화하면서, 사이버보안이 새로운 안전장치로 자리 잡고 있다. 유럽, 한국, 중국 등 주요국은 사이버보안을 법제화하며 대응하고 있다. 하지만 승부처는 인증 그 자체가 아닌, 차량이 도로 위를 달리는 수년 동안의 ‘지속 가능한 운영’에 있다. 업계는 수많은 차종과 반복되는 규제 대응 업무의 효율성을 높이기 위해 체계적인 운영 플랫폼이 필요해졌다. 이에 페스카로(FESCARO)는 사이버보안의 업무를 통합 관리하고 지속적으로 운영 관리할 수 있는 자동화 플랫폼 ‘CSMS 포털’을 개발했다. CSMS 포털은 인증 획득을 넘어, 사이버보안의 ‘고도화’를 가능케 하는 실질적인 대안이자 해법이다.
새로운 안전장치 : 자동차 사이버보안 규제 인증
한때 자동차는 ‘철과 기름의 예술’이라 불렸지만, 지금은 ‘달리는 컴퓨터’에 가깝다. 자율주행 기술, 무선 소프트웨어 업데이트(OTA) 등으로 빠르게 디지털화되고 있기 때문이다. 동시에 차량을 겨냥한 사이버공격이 현실적인 위협으로 부상하자, 이에 대응하기 위한 법적 규제가 전 세계적으로 강화되고 있다.
유럽연합(EU)은 자동차 사이버보안 규제를 2020년 제정했으며, 2022년부터 본격적으로 시행했다. UN Regulation 155(사이버보안 관리체계)와 156(소프트웨어 업데이트 관리체계)을 준수하지 못한 차량은 유럽에서 판매할 수 없게 되었다. 국내에서도 자동차관리법을 개정하며 사이버보안을 의무화했으며, 오는 8월부터 시행될 예정이다. 중국은 ‘GB 44495-2024’, 인도는 ‘AIS-189’로 규제에 뛰어들었다. 전 세계적으로 자동차 산업 전반에 사이버보안 인증 없는 차량은 ‘판매 불가’한 시대가 도래한 것이다. 여기에 유럽연합이 제정한 사이버복원력법(CRA, Cyber Resilience Act)은 디지털 요소가 포함된 모든 제품에 적용된다. 농기계와 건설기계 등 모빌리티 산업 전반에 사이버보안이 적용될 예정이다.
안전벨트가 생명을 지키듯, 사이버보안이 또 하나의 안전장치가 되고 있다. 이제 사이버위협에 대한 대응이 기업의 신뢰도와 시장 경쟁력을 좌우하게 될 것으로 보인다.
자동차 사이버보안 인증은 출발선, 본 게임은 ‘운영 관리’
EU가 선제적으로 자동차 사이버보안 규제를 본격화하면서, 완성차 제작사(OEM)들은 앞다투어 보안 인증을 획득하기 위한 체계 구축에 나섰다. 그러나 제작사들은 사이버보안의 진정한 과제가 인증 취득이 아닌 그 이후의 ‘운영·관리’라는 것을 깨달았다.
차 한 대가 출시되면 그 생애주기는 최소 10년에서 길게는 15년에 이른다. 이 기간 동안 해킹 기법은 끊임없이 진화하기 때문에 보안 대응도 지속 가능한 운영 체계로 전환돼야 한다. 인증을 위한 일회성 대응이 아니라, 실시간으로 보안 취약점을 모니터링하고, 신속하고 지속적인 대응이 가능한 체계가 뒷받침되어야 한다는 의미다.
특히 연간 수백만대를 출고하는 대규모 제작사일수록 상황은 복잡해진다. 차종이 늘고 판매량이 쌓일수록 각기 다른 전장 구성과 보안 환경을 가진 차량을 동시에 관리해야 하는 ‘운영 난이도’가 눈덩이처럼 불어난다. 하나의 부품에서 발견된 보안 취약점이 수십개 차종, 수백만대 차량에 연쇄적으로 영향을 미치는 사례는 결코 이론적 우려에 그치지 않는다.
사이버공격은 100% 차단이 불가능하다는 점에서, 자동차 산업은 ‘지속적인 사이버보안 운영 및 관리’를 중시하는 방향으로 패러다임이 전환되고 있다.
차량 수명주기를 관통하는 사이버보안, ‘CSMS 포털’로 통합 관리
신규 차종은 계속 출시되고, 소프트웨어 업데이트는 수시로 이루어지며, 보안 프로세스는 수백명의 이해관계자와 연결돼 복잡하게 얽혀 있다. 이 과정에서 다양한 보안 산출물과 검토 작업이 수작업으로 이루어지면 ‘휴먼 에러(Human Error)’가 발생하고, 운영 부담은 시간이 지날수록 증가한다. 페스카로는 이러한 시장의 흐름에 대응해 자동차 사이버보안 운영 업무를 효율적으로 관리할 수 있는 ‘CSMS 포털(Portal)’을 개발했다.
CSMS 포털은 인증을 준비하는 초기 단계부터 차량 양산 이후 수년간의 운영까지 전 과정을 통합 관리할 수 있다. 먼저 TARA(위협분석 및 위험평가), 보안 솔루션, 보안 테스팅 등 법규 대응에 필요한 업무를 자동화할 수 있다. 또한 인증 획득 이후에도 산출물 업데이트 및 이력 관리, 보안 취약점 모니터링, 보안 점검 관리 등을 체계적으로 수행할 수 있다.
CSMS 포털은 단순한 인증 획득을 넘어, 사이버보안의 지속 운영과 체계적 고도화를 가능하게 한다. 차량 수명주기 전반을 아우르는 이 플랫폼을 통해, 사이버보안 운영의 복잡성과 인적 부담을 근본적으로 해소할 수 있다. 궁극적으로 고객이 사이버보안 대응에 매몰되지 않고, 본연의 제품 개발과 비즈니스에 집중할 수 있기를 기대한다.
자동차 사이버보안 규제 대응에 특화된 자동화 플랫폼 ‘CSMS 포털(Portal)’
CSMS 포털은 자동차 사이버보안을 ‘지속 가능한 운영 체계’로 관리해야 한다는 관점에서 설계된 플랫폼이다. 컴플라이언스와 운영 현장의 요구를 연결해 실효성을 높였으며, 보안 규제의 본질부터 운영까지 전 과정을 체계적으로 지원하다. 또한 업계에서 유일하게 프로세스 정립(추상화), 프로젝트 협업(ALM), 보안 운영(vSOC) 기능을 단일 플랫폼에서 통합 제공한다. 단순히 문서화, 감사 대응, 모니터링을 하는 도구를 넘어 개발부터 양산, 유지보수까지 보안을 일관되게 관리할 수 있는 데브섹옵스(DevSecOps) 콘셉트를 구현했다. 이로써 차량 생애주기 전반을 아우르며 운영 효율성과 사이버보안 지속성 및 고도화를 동시에 실현할 수 있다.
▲아우토크립트 ‘AutoCrypt KEY’[자료: 아우토크립트]
[자동차 보안 솔루션 집중분석-2]
아우토크립트 ‘AutoCrypt KEY’
글로벌 완성차 제조사가 먼저 선택한 키 관리 솔루션
자동차 산업은 빠르게 디지털화되고 있다. 차량은 더 이상 단순한 이동 수단이 아니라, 수십 개의 전자제어장치(ECU), 외부와의 실시간 통신, OTA(Over-the-Air)를 통한 무선 소프트웨어 업데이트 등으로 구성된 복잡한 디지털 플랫폼이 되었다. 이러한 구조가 안전하게 작동하기 위해서는 차량 내부와 외부의 모든 보안 체계를 관리할 수 있는 기반 기술이 필요하다. 그리고 그 출발점은 바로 ‘보안 키(Key)’와 ‘인증서’의 안전한 생성, 저장, 배포, 관리다.
현재 UN R155, R156 등 국제 차량 보안 규제는 개발부터 생산, 유지보수에 이르는 전 생애주기에 걸쳐 사이버보안 관리체계(CSMS)의 구축과 인증을 요구하고 있다. 유럽연합을 비롯해 주요 자동차 생산국들이 이 기준을 법제화하면서, 보안 키와 인증서를 어떻게 관리하느냐는 차량 양산과 판매에 직결되는 핵심 요소가 되었다. 그러나 많은 기업들은 여전히 혼란 속에 있다. 적용해야 할 보안 표준과 요구사항이 복잡할 뿐만 아니라, 완성차 제조사(OEM)이 요구하는 문서와 실제 생산환경 간의 간극을 해석하고 대응하는 데 어려움을 겪고 있기 때문이다. 여기에 기존 시스템과의 연동 부담, 신규 설비 도입에 따른 비용 등도 현실적인 제약으로 작용하고 있다.
아우토크립트의 AutoCrypt KEY는 이러한 문제들을 실질적으로 해결해주는 솔루션이다.
글로벌 현장에서 이미 검증된 기술력
AutoCrypt KEY는 단순한 제품을 넘어, 유럽, 인도, 중동 등 다양한 현장의 완성차 OEM 및 부품사 생산 라인에 적용되며 실제 운용을 통해 검증된 키 관리 솔루션이다.
아우토크립트는 해외 OEM으로부터 전달받은 보안 자산을 하드웨어 보안 모듈(HSM)을 통해 안전하게 저장하고, OEM의 정책에 맞춰 차량 제어기에 키를 정확하게 배포하는 체계를 구축해왔다.
다양한 구축 경험을 통해 아우토크립트는 글로벌 OEM이 요구하는 보안 문서에는 표준 외에도 개별 정책이 혼합되어 있다는 점을 확인했으며, 이를 신속하고 정확하게 해석하지 못할 경우 시스템 구축 지연과 리소스 낭비로 이어질 수 있다는 교훈을 얻었다. 이러한 리스크를 줄이기 위해 아우토크립트는 보안 전문가들이 프로젝트 초기 단계부터 투입돼, 요구 분석부터 설계, 구현, 검증까지 전 과정을 밀착 지원하고 있다.
지금 필요한 키 관리 시스템, 왜 AutoCrypt KEY인가?
오늘날 차량 보안 시스템은 단순한 기술적 완성도를 넘어, 글로벌 규제에 유연하게 대응하고, 기존 시스템과 쉽게 연동되며, 운영 편의성까지 갖춘 통합형 시스템이 요구된다.
AutoCrypt KEY는 차량 보안에 필요한 다양한 암호 기술을 지원한다. 예를 들어, RSA는 공개키 기반의 비대칭 암호 방식으로 안전한 통신을 가능하게 하고, AES는 속도가 빠르고 효율적인 대칭키 방식의 암호화 기술, SHA는 데이터를 위·변조 없이 안전하게 유지하기 위한 단방향 해시 알고리즘으로, 각각 차량 내부 데이터 보호와 인증 과정에 필수적으로 사용된다. 또한, 여러 시스템이 서로 안전하게 정보를 주고받을 수 있도록, REST API(Representational State Transfer API)라는 웹 기반 통신 방식을 적용해 기존의 생산관리 시스템(MES)이나 자원관리 시스템(ERP) 등과 쉽게 연동할 수 있도록 설계돼 있다. 이로써 기업은 기존 시스템을 그대로 유지하면서 보안 기능을 확장할 수 있다.
아우토크립트는 독립적으로 운영되는 전문 보안 기업으로, 고객의 생산 환경과 프로젝트 특성에 맞춰 유연한 기술 지원과 맞춤형 대응이 가능하다. 사용자 친화적으로 설계된 대시보드를 통해, 접근 권한 설정, 유효기간 관리, 사용 이력 확인 등 시스템 운영의 복잡도를 대폭 줄일 수 있다.
실제 완성차 제조사는 AutoCrypt KEY를 통해 국제 표준 기반의 키 관리 체계를 구축하고 있으며, 부품사 또한 기존 시스템과의 연동을 통해 전자 서명 및 검증 등 보안 정책을 실질적으로 반영하고 있다. 이처럼 AutoCrypt KEY는 시간, 비용, 안정성, 운영 효율성 전반에서 경쟁력을 갖춘 솔루션으로, 복잡한 차량 보안 요구사항을 실제 구현 가능한 시스템으로 전환해주는 핵심 인프라로 평가받고 있다.
현장의 어려움을 해결하는 실질적 해법
CSMS 구축 과정에서 기업들이 가장 많이 부딪히는 장벽은 다음과 같다. 유럽 규제인 UN R155는 보안이 차량의 전 생애주기에 적용되었음을 인증기관에 입증해야 하며, 이를 위해 각 제어기에 대한 TARA(위협 분석 및 위험 평가) 수행이 필요하다.
OEM이 제공하는 보안 요구 문서는 표준 외 개별 정책을 포함하고 있어 실질적인 생산 공정과 연계해 판단해야 한다. 여기에 기존 시스템과의 연동 작업이나 신규 설비 투자에 따른 리소스 부담도 간과할 수 없다.
이러한 복합적인 어려움을 해결하기 위해 AutoCrypt KEY는 국제 표준과 OEM 요구사항을 선제적으로 분석하고, 실제 생산현장에 적합한 시스템 아키텍처를 구축하며, 보안 전문 인력이 프로젝트 전반에 투입돼 고객의 운영 부담을 최소화하는 방식을 취하고 있다.
지금 이 기술이 필요한 기업은 누구인가?
AutoCrypt KEY는 CSMS 구축을 준비 중인 완성차 OEM 및 부품사(Tier 1), 글로벌 인증을 준비 중인 부품·모듈 제조사, 그리고 CRA 대응이 필요한 농기계·건설기계 제조사에게 반드시 필요한 솔루션이다. 보안은 더 이상 나중에 준비할 수 있는 선택지가 아니다. 규제 시행 이전에 인증을 완료하지 못한다면, 어떤 기술력도 시장 진입으로 이어질 수 없다.
산업 확장에 대응하는 보안 시스템
차량 보안은 더 이상 승용차에만 머무르지 않는다. 유럽의 CRA(Cyber Resilience Act) 시행이 본격화되면, 디지털 요소가 포함된 농기계, 건설기계, 산업용 장비 등에도 동일한 보안 요구사항이 적용될 예정이다.
아우토크립트는 이러한 변화에 선제적으로 대응하고 있다. 기존 시스템의 커버리지를 확장하고, 불필요한 복잡성을 제거한 구조로 선행 개발을 진행 중이며, 중동과 인도 등 다양한 환경에서의 구축 사례를 통해 기술력과 적응력을 이미 입증했다.
AutoCrypt KEY는 단순한 제품이 아닌, 변화하는 자동차 산업의 보안 표준을 제시하는 핵심 인프라다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
