[자동차칼럼]자동차 사이버보안, 선택 아닌 필수

자동차 시장도 보안 솔루션이 필수인 환경으로 변화했다. 커넥티비티, 자율주행, 공유화, 전동화라는 자동차 시장의 메가트렌드에 맞춰 보안 법제화 움직임이 본격화됐기 때문이다.

실제 자동차의 전자 잠금장치를 해킹해서 차량 자체를 훔치는 것부터 스마트폰 애플리케이션(앱)을 해킹해서 자동차 문을 열고 위성항법장치(GPS)를 비활성화해 이동 경로 추적을 피한 사례도 발생했다. 커넥티카, 자율주행차의 증가가 예상되면서 사이버보안은 시급한 과제로 떠오르고 있다.

대표로 들 수 있는 법제화는 유럽경제위원회(UNECE) 법규와 국제표준 ISO/SAE 21434이다. 특히 UNECE 산하 자동차기준 국제조화 회의(WP.29)는 지난 6월 자동차 사이버보안과 차량 형식 승인에 관한 법규를 채택했다.

이 법규는 UNECE의 독일을 비롯한 유럽의 54개 협약국뿐만 아니라 자동차 안전기준 국제조화 및 상호인증에 관한 협정에 따라 한국과 일본도 채택할 예정이다.

이에 따라 오는 2022년 7월 이후 유럽에서 형식 등록되는 신차는 제품 개발에 사이버보안과 관련한 고려가 있었음을 증명해야 한다. 제조사는 사이버보안 관리 능력에 관한 인증을 의무로 받아야 한다. 이를 위해 각국의 차량 제조사는 차량 생산의 전체 가치 사슬에서 사이버보안을 정의·제어·관리·개선할 수 있는 사이버보안 관리시스템(CSMS)을 구축해야 한다.

UNECE 법규는 자동차 산업에서 구속력이 있는 최초의 국제표준 법률로, 차량 사이버보안 및 소프트웨어(SW) 업데이트에 대한 요구 사항을 명시하고 있다. △차량의 사이버 위험 관리 △위험 완화 설계와 차량 보안 △차량 전체의 침입 탐지 및 보호 △안전한 SW 업데이트 제공 및 무선 업데이트에 대한 근거 법 마련 등이다.

차량의 형식 승인과 관련해서는 필요에 따라 프로젝트가 수백 개 있다. 여기에는 차량 제조사, 부품사, 부품 협력사들의 협업과 기술 개발이 포함된다. 법규가 제정됨에 따라 차량 제조사는 철저한 관리 감독까지 해야 한다. 자체의 사이버보안뿐만 아니라 부품사 및 부품 협력사 등 차량 개발과 관련된 모든 과정에서 CSMS이 구축됐음을 증명해야 한다. 또 부품사와 부품 협력사는 제조사에 부품 납품을 하기 위해 UNECE 법규에 맞춰 시스템을 구축해야 한다.

그러나 제조사와 부품사에는 자동차 보안이 생소한 분야이다 보니 전문 인력도 부족한 게 현실이다. 그런데도 보안 규정 준수 여부가 차량 제조사와 부품사의 시장 참여 여부를 결정하게 된다. 사이버보안 역량을 갖춘 곳은 수출과 신규 공급망을 확보할 기회를 잡을 수 있고, 법규를 준수하지 않은 기업은 무역장벽 및 기타 복잡한 문제에 직면할 수 있다.

사이버보안 규정과 표준이 전 세계에 구현되고 시행됨에 따라 제조사 및 부품사들은 안전한 자동차 제품·서비스를 보장하고 규제 기관의 기대치를 충족하기 위해 지속 노력해야 한다는 설명이다.

이타스는 임베디드 보안 자회사인 에스크립트를 통해 10여년 전부터 이 같은 변화에 대응해 왔다. 에스크립트는 임베디드 보안 분야의 선구자로서 UNECE WP.29 법규 제정, ISO/SAE 21434 사이버보안 표준 개발에 참여해 왔다. 관련 컨설팅 서비스 및 솔루션을 제공하기 위한 자체 컨설팅 프레임워크도 개발했다. 또 글로벌 회계·경영 컨설팅 기업 KPMG와 함께 차량 제조사 및 공급 업체의 사이버보안 관리 시스템 구축을 지원하고 있다.

사이버보안은 이제 자동차의 선택 옵션이 아닌 필수 조건이며, 법규에 대한 선제 대응으로 거대한 시장에 참여하는 것이 필요한 때다.

이해승 이타스코리아 사이버보안사업팀장 haeseung.Lee@etas.com