[이슈분석]UN 자동차보안 규제 코앞…차량보안 컨설팅 등 민·관 '분주'

유엔(UN) 자동차보안 규제가 내년 7월 시행에 돌입하는 가운데 국내 보안업계 움직임이 분주하다. 차량 침입탐지시스템(IDS) 등 자동차보안을 위한 개별 솔루션부터 차량보안 컨설팅까지 보안업계에 문의가 빗발친다. 정부부처는 국제기준 준수를 위한 국내법 손질을 고심하고 있다.

◇CSMS 인증 없는 차량, 내년 7월부터 유럽서 판매 못해

UN유럽경제위원회(UNECE)는 지난해 6월 자동차 사이버보안 국제기준(UNR 155, WP29)을 채택했다. 자동차에 소프트웨어(SW)가 지속 탑재되고 통신 접점이 증가하면서 사이버보안 위협도 함께 커졌기 때문이다. 국제사회는 자동차 해킹에 따른 인명 피해 등 관련 우려가 제기되면서 2016년부터 관련 논의를 이어 왔다.

자동차 사이버보안 국제기준은 자동차제작사를 대상으로 차량 사이버보안 관리체계(CSMS)를 갖추고 차량 형식에 대한 위험 평가·관리를 수행(형식승인)하도록 규정한다. 승용차, 승합차, 화물차를 비롯해 전자제어 장치가 장착된 트레일러, 자율주행 기능이 장착된 초소형사 등이 이 규정에 적용받는다. 지난달 1일 발효됐으며 내년 7월부터 시행된다.

이에 따라 내년 7월부터 CSMS 인증과 형식승인을 받지 못한 자동차제작사는 유럽 지역에 차량을 판매할 수 없다. 모든 신차는 UNECE로부터 형식승인을 받아야 한다. 2024년 7월부터는 모든 차량이 적용 대상이다. 자동차 사이버보안 국제기준 채택안(1958 협약)에 서명한 58개국 자동차 생산량은 세계 자동차 생산량 3분의 1을 차지하며 우리나라도 이 안에 서명했다.

자동차제작사는 사이버보안을 위한 세 가지 프로세스를 갖췄는지 입증해야 CSMS 인증을 획득할 수 있다. 보안 위협을 식별·평가·분류·관리하기 위한 프로세스, 차량 보안성 시험을 위한 프로세스, 보안 위협을 모니터링하고 탐지·대응하는 프로세스 등이다. 형식승인도 얻어야 한다. 자동차제작사가 사이버공격 탐지·예방 조치, 제작사 모니터링 기능 지원 조치, 사이버공격 분석을 위한 데이터 포렌식 지원 조치를 갖췄는지 보고 검증 시험을 치르도록 한 절차다.

국내 자동차제작사도 바빠졌다. 현대기아차 관계자는 “UNECE 법규가 제정되기 이전부터 현대기아차는 자동차 사이버보안 중요성을 인식하고 준비해 왔다”면서 “사이버보안 강화를 내부적으로 추진해 왔으며 UN 법규 대응을 위해서도 관련 기관, 업체와 협력해 대응하고 있다”고 말했다.

◇자동차보안 시장 '블루오션'으로

UN 규제 대응을 중심으로 자동차 사이버보안이 부각되면서 관련 시장도 주목받고 있다. 글로벌 시장조사업체 리서치앤마켓에 따르면 세계 자동차보안 시장은 2019년 11억5270만달러(약 1조2840억원)에서 2030년 72억8000만달러(약 8조1070억원)로 성장할 전망이다. 연평균성장률(CAGR)로는 18.5%에 달한다.

또 다른 시장조사업체 모도 인텔리전스는 향후 5년간 자동차업계가 사이버공격으로 인해 겪을 손실이 240억달러(약 26조7560억원)에 달할 것이라고 관측하기도 했다.

국내에서는 아우토크립트, 에스크립트, 펜타시큐리티시스템, DNV GL 등 보안 컨설팅 업체가 시장에 뛰어들었다.

에스크립트는 보쉬 자회사로 임베디드 보안을 주력 사업으로 수행한다. 자동차 사이버보안 개념을 2004년 제시했으며 국내에서도 이타스코리아를 통해 약 10년 전부터 현대차와 사이버보안을 위해 협력해 왔다.

이유식 이타스코리아 컨설턴트는 “국내 자동차 주문자상표부착생산(OEM) 기업과 티어1 기업을 대상으로 보안 컨설팅 서비스를 제공하고 있다”면서 “UN 법규 대응을 위한 프로젝트도 함께 진행하는 중”이라고 말했다. 이 컨설턴트는 “자동차는 기획부터 양산까지 짧으면 2년, 길면 3년이 소요된다”면서 “글로벌 자동차 OEM은 2019년 실시된 국제기준 테스트부터 꾸준히 준비해 왔으며 현재 협력사가 준비에 나선 단계”라고 설명했다.

인증기관인 DNV GL 역시 지난해부터 현대 계열사 등에서 사이버보안 컨설팅을 수행하고 있다. 최근에는 UNECE WP29 대응을 위한 CSMS 인증 컨설팅 프로그램을 확대했다. 각 나라 규제 요건을 고려한 자동차 사이버보안 관리 시스템 평가 서비스로 새롭게 선보였다.

윤세욱 DNV GL 위원은 “지난해부터 국내 업체뿐만 아니라 해외에서도 사이버보안 사업 요청이 많아지고 있다”면서 “내년 7월부터 UN 법규를 따르지 않으면 신차를 판매할 수 없는 만큼 국내에서도 보안 요구사항 등 준비를 서둘러야 할 것”이라고 조언했다.

아우토크립트와 펜타시큐리티시스템은 국내 대표 자동차보안 기업이다. 아우토크립트는 펜타시큐리티시스템에서 2019년 분사한 스타트업으로 국제 사회에서도 자동차보안 분야 권위 있는 상을 수상하는 등 기술력을 인정받고 있다. 차량 IDS를 비롯한 다양한 자동차보안 솔루션을 개발, 공급한다. 펜타시큐리티시스템은 자동차보안을 포괄하는 교통 인프라 보안을 위해 별도 사업을 추진하고 있다.

이석우 펜타시큐리티시스템 대표는 “2010년 자동차보안 컨설팅 요청이 들어온 것을 계기로 이 분야 사업을 시작했다”면서 “다른 차량, 도로, 신호체계, 운전자 등 자동차보안 확보를 위한 요소가 워낙 복잡하게 얽혀 있는 만큼 주변 인프라를 함께 고도화하는 사업을 수행하고 있다”고 전했다. 이 대표는 “자동차보안은 어렵고 복잡한 만큼 시장 잠재력도 크다”면서 “올해 5세대(5G) 이동통신 사업본부를 신설해 교통, 차량, 안전 사업을 확대하고 있다”고 덧붙였다.

◇정부, 자동차관리법 등 '손질' 고심

국토교통부는 지난해 12월 '자동차 사이버보안 가이드라인'을 발표했다. UNECE WP29를 수용하면서도 국내 법체계에 맞게 제도화하려는 취지다. 자동차제작사 등 관계자가 국내 기준 제정 전까지 참고 자료로 활용할 수 있도록 국제기준을 바탕으로 자동차 사이버보안 권고안, 사이버보안 관련 기준 마련 계획, 인프라 구축 계획 등을 담았다.

올해 자동차관리법을 개정하고 내년에 하위법령을 개정할 예정이다. 이를 통해 UNECE WP29가 시행되는 내년 7월부터는 우리나라도 자동차 사이버보안 법규와 안전기준이 시행될 수 있도록 추진한다.

국토부 관계자는 “자동차 사이버보안과 관련해 자동차관리법에 관련 규정을 부여할 수 있을지 논의 중”이라면서 “추가로 다른 법령을 새로 만들지, 현재 법령에 부여할지 연구 중인 단계”라고 밝혔다. 이 관계자는 “내년 7월을 목표로 자동차 사이버보안을 위한 법과 시행령을 마련할 것”이라면서 “법령 개정 등과 관련해 업계 의견을 수렴할 예정”이라고 했다.

오다인기자 ohdain@etnews.com