엔드투엔드 솔루션 경쟁력...설계·구현·운영 일괄 공급
올해 목표 300억원
홍석민 페스카로 대표. (사진=디일렉)
자동차 사이버 보안은 '기술 시장'이라기보다 '규제 시장'에 가깝다. 규제 대상은 완성차지만, 실제 취약점은 전장품 소프트웨어에서 발생한다. 미인증 차는 판매도 어렵다. 완성차가 책임지되, 부품사도 간접 규제 대상이 되는 셈이다.
이러한 생태계에서 보안 솔루션 업체는 통상 서드파티다. 완성차가 차량 수준의 보안 아키텍처와 요구사항을 정의하면, 서드파티는 그 요구사항을 구현하는 데 초점을 맞춰 부품사에 통합돼 납품하는 구조다.
페스카로는 이 구조와 다른 포지셔닝을 얘기한다. 자사를 완성차와 부품사에 위치한 '0.5 티어'로 규정하고, 차량 전체 보안 아키텍처 설계부터, 구현, 운영까지 통합한 솔루션을 일괄 공급할 수 있다는 것이다. 이를 통해 완성차는 벤더 조합 부담을 줄이고, 페스카로는 일부 프로젝트에 한해 완성차에 직접 공급할 수 있다는 주장이다.
홍석민 페스카로 대표는 23일 디일렉 인터뷰에서 "자동차 사이버 보안은 백신처럼 솔루션 하나를 적용했다고 끝나는 게 아니"라며 "규제 대응을 위해 엔지니어링 전 과정의 증적 자료를 체계적으로 만들고 관리하는 일이 더 큰 비중을 차지한다"고 말했다.
그는 "차량 한 대가 인증을 받을 때 2000건이 넘는 문서가 제출돼야 한다"며 "전체를 100으로 보면 기술적 방어는 30 정도이고, 나머지 70은 증적과 라이프사이클 관리에 가깝다"고 설명했다. 결국 보안 솔루션 업체에 완성차가 바라는 수요는 규제 대응 비용을 얼마나 덜어주느냐로 수렴한다는 게 페스카로의 문제의식이다.
이런 관점에서 홍 대표는 자사 솔루션을 '딥테크'가 아니라 '굿테크'라고 표현했다. 자동차 사이버 보안의 가치는 성능이 아니라 규제 대응 부담을 얼마나 줄이느냐로 평가된다는 판단에서다.
페스카로는 그 해법으로 '엔드투엔드'를 내세웠다. 전장부품 보안솔루션으로 차량의 전자제어장치(ECU)를 보호하고, 차량통신 보안솔루션으로 차량 내부 통신 전반을 보호·관리한다. 여기에 웹 기반 규제 대응 IT솔루션을 더해 보안 엔지니어링 전 과정을 관리한다는 설명이다. 한 회사가 설계부터 운영까지 묶어 지원하면 완성차의 규제 대응 비용을 낮출 수 있다는 것이다.
지난해 페스카로의 연 매출은 약 166억원이다. 외연 확장을 위해 지난해 12월 전장 전문기업 '모트랩'을 인수했고, 지난 1월에는 농업용 트랙터·스마트팩토리 제어기 업체 'GLINS'에 지분 투자했다. 홍석민 대표는 "올해는 300억 매출을 목표로 사업을 추진하고 있다"며 "목표 달성을 위해 저 포함 모든 구성원이 열심히 움직이고 있다"고 말했다.
-페스카로는 어떤 회사인가.
"페스카로는 2016년 설립한 자동차 사이버 보안 전문 기업이다. 자동차 전장 제어기(전자식 제어기, ECU)를 개발하는 개발자 그룹과 화이트해커 출신 보안 전문가 그룹이 함께 창업했다. 자동차 분야에 집중해 원천 기술을 준비해 왔고, 규제 시행 시점과 맞물리면서 기술을 제품화해 양산·사업화까지 진행해 온 회사다"
-자동차에 왜 사이버 보안이 필요한가.
"자동차 사이버 보안은 IT와 달리 규제 시장이다. 인증을 받지 못하면 차를 판매할 수 없다. 규제의 직접 대상은 완성차(제작사)다. 다만 사이버 보안 이슈는 소프트웨어 취약점에서 유발되고, 자동차에서 소프트웨어가 탑재되는 부분은 전장품(전자식 제어기 등)이다. 그래서 완성차가 직접 규제를 받지만, 전장품을 담당하는 부품사도 간접적으로 규제 대상이 된다."
-구체적으로 어떤 규제가 적용되나.
"유럽을 기준으로 크게 두 가지 요구사항이 있다. 첫째, 제작사가 사이버 보안 관련 조직과 절차를 갖춰야 한다는 '관리 체계' 인증이다. 둘째, 제작사가 신차를 개발·생산·출시할 때, 그 관리 체계를 준수해 개발했는지에 대한 증적 자료를 갖춰 신차별로 인증을 받는 절차다."
-한국만의 규제가 아니라 글로벌 규제인가.
"자동차는 사이버 보안 외에도 제동·자율주행·조향·에어백 등 많은 요소 기술이 규제로 구성된 규제 산업이다. 규제는 유럽의 유엔 유럽경제위원회(UNECE)에서 전 세계 표준처럼 먼저 만들어지고, 한국을 포함한 여러 국가가 멤버로 참여한다. 유럽에서 최초 규제가 진행되면 1~2년 텀을 두고 각국으로 확대되는 흐름이다. 사이버 보안도 유럽에서 2022년 7월 신차, 2024년 7월 양산차에 적용됐고, 국내는 2025년 8월 신차, 2027년 8월 양산차로 적용이 이어진다. 유럽·일본·한국·중국·인도 등 대부분 국가에서 규제화되고 있다."
-실제 해킹 사례가 있나.
"보안 패치로 해결된 사례를 기준으로 보면 스마트키 악용 차량 절도 사례가 대표적이다. 유럽에서는 스마트키를 현관문 근처에 두는 경우가 많아 2인 1조가 릴레이 장비를 활용해 RF 신호를 중계하고 차량 문을 열고 시동을 걸어 도난하는 방식이 있었다.
또 스마트폰 기반 디지털 키의 인증 토큰을 탈취해 인가되지 않은 사람이 차를 열고 시동을 켜는 시도도 있다. 자율주행 기능이 들어오면서 주행 중 원격 공격으로 조향·제동에 영향을 주려는 사례도 발견됐고, 많은 부분은 패치가 진행된 상태다."
-도난 외에 더 큰 리스크도 있나.
"주행 중에는 제동이나 조향 반응 속도가 1초만 지연돼도 심각한 인명 피해로 이어질 수 있다. 악의적 해커 공격뿐 아니라 내부자, 또는 일반 사용자에 의한 불법 튜닝도 문제 요인이 될 수 있다. 제작사는 내구성·배기가스 규제·승차감 등을 고려해 출력 등을 캘리브레이션해 세팅한다. 일부 사용자가 캘리브레이션 데이터를 불법 튜닝해 성능을 높이면, 제작사가 보증하는 조건과 달라지고 엔진·변속기 파손 등 문제가 생길 수 있다. 이후 튜닝 제어기를 빼고 순정 제어기를 다시 끼운 뒤 보증을 악용하려는 사례도 발생할 수 있다."
-페스카로는 어떤 보안 시스템을 제공하나.
"많은 사람들이 자동차 보안은 ECU마다 임베디드되는 '백신' 같은 솔루션이 핵심이라고 생각하지만, 그 비중이 생각보다 높지 않다. 자동차 사이버 보안은 규제 시장이어서, 기술적 보안 솔루션뿐 아니라 인증 대응을 위한 증적 자료가 핵심이다.
차량 레벨에서 통신 인터페이스와 위협을 식별하고, 위협의 공격 가능성과 영향도를 고려해 리스크를 평가한다. 리스크 우선순위를 정하고 보완 조치를 한 뒤 기존 기능 영향 여부와 위협 완화 여부를 검증해 증적을 쌓는다. 이 전 과정의 증적 자료를 인증 심사에 제출해야 한다. 차량 한 대가 인증을 받을 때 2000건이 넘는 문서가 제출돼야 한다."
-완성차는 사이버 보안을 어떻게 바라보나.
"사이버 보안 기술이 고도화된다고 해서 차 가격이 올라가거나 차가 더 팔리는 것은 아니다. 반면 인증을 못 받으면 차를 팔 수 없다. 제작사들은 사이버 보안 규제를 지속적으로 발생하는 비용으로 인식하는 경향이 있다. 그래서 제작사의 니즈는 매년 기하급수적으로 증가하는 규제 대응 비용을 얼마나 효과적으로 절감하고 유지·관리할 수 있느냐에 모인다."
-딥테크가 아니라 굿테크라고 한 이유는 무엇인가.
"모든 기술 스타트업이 딥테크는 아니다. 페스카로는 기술이 부족해서가 아니라, 시장 특성상 제작사의 니즈를 효과적으로 해소하는 방향이 더 맞다고 판단했다. 자동차 사이버 보안은 B2B이고, 하드웨어(ECU)의 컴퓨팅 파워 등 제작사 상황에 종속적이다. 기술을 고도화한다고 해서 사업과 제작사 니즈가 직선으로 맞물리는 구조가 아니다. 그래서 제작사의 부담을 줄이는 굿테크라는 표현을 썼다."
-페스카로의 제품 포트폴리오는 무엇인가.
"첫째, 개별 전장 제어기에 임베디드되는 소프트웨어 형태의 보안 솔루션(백신과 유사한 개념)이다. 둘째, 제어기와 센서·액추에이터 간 통신을 보호하는 네트워크 보안 기술을 제어기 형태로 구현한 보안 게이트웨이 제품이다. 셋째, 규제 대응 증적 자료를 라이프사이클 관점에서 관리할 수 있는 웹 기반 IT 솔루션이다."
-차량 보안 솔루션은 업데이트를 어떻게 하나.
"ECU에 임베디드되는 보안 솔루션의 업데이트 주기는 일반 IT처럼 빈번하지 않다. 자동차에서 가장 중요한 건 본연의 기능이고, 보안 적용이 기존 기능에 영향을 주면 안 된다. 업데이트를 하면 변경 사항이 기존 기능에 영향을 미치지 않는지 영향도 평가와 회귀 테스트 등 검증을 다시 수행해야 한다. 시간이 많이 들고 비용도 커서, 필드에서 보안 침해 사고가 나오지 않는 이상 업데이트가 쉽지는 않다. 다만 실시간 비정상 메시지를 탐지하는 IDS 계열 기술은 룰셋 기반이라, 고도화된 패턴이 나오면 룰셋 업데이트는 상대적으로 더 빈번하게 이뤄질 수 있다."
-업데이트는 정비소에서만 가능한가.
"온라인·오프라인 모두 가능하다. 무선 펌웨어 업데이트(OTA)를 지원하는 차량은 주차 시 업데이트 안내가 뜨고 사용자가 동의하면 차량이 업데이트 모드로 전환돼 진행될 수 있다. OTA 미지원 차량은 정비소에서 유선 업데이트를 한다."
-그렇다면 최신 공격 기법이 나와도 대응이 늦어지는 것 아닌가.
"보안 사고가 발생하면 대응은 빠르게 한다. 다만 업데이트·배포는 절차상 무겁다. 보안 회사가 패치를 만들어도 자체 검증을 거친 뒤, 부품사가 통합·검증하고, 완성차가 변경 사항이 기존 기능이나 규제에 영향이 없는지 확인해야 한다. 변경 사항이 있으면 재인증 또는 익스텐션도 필요하다. 이런 절차를 모두 거쳐야 업데이트가 이뤄진다."
-규제에서 특히 중요하게 보는 공격 유형이 있나.
"해커가 적은 노력으로 큰 효과를 내는 취약점이 원데이(이미 공개돼 패치가 존재하는 취약점)다. 자동차도 오픈소스를 많이 쓰는데, 오픈소스에서 패치가 나온 시점과 실제 차량에 반영되는 시점은 일치하지 않는다. 제작사마다 최소 3개월에서 길게는 1년까지 시차가 생길 수 있다. 해커는 패치 공개를 모니터링하다가 공격 코드 생성 도구 등을 활용해 시차 구간을 노릴 수 있다. 그래서 규제는 모든 취약점을 원천 제거하기보다, 최대한 방어하되 문제가 생겼을 때 빨리 발견하고 후속 피해 범위를 최소화하는 관리 체계를 갖추는 데 더 무게를 둔다."
-페스카로는 완성차에 직접 납품하나. 해외도 하는가.
"사이버 보안 솔루션은 밸류체인상 서드파티에 속해 완성차 직납 사례는 드물고, 보통 부품사에 통합돼 부품사를 통해 완성차에 공급된다. 페스카로도 글로벌 제작사에 직접 공급하는 프로젝트가 일부 있고, 국내 유수 부품사를 통해 다양한 제작사에 공급되는 구조도 있다."
-실적은 어떤가.
"2021년부터 5년 연속 매출 성장과 흑자 경영을 유지하고 있다. 2025년은 결산을 빠르게 진행해 매출 166억원을 달성했고 영업이익도 계속 만들며 성장 중이다."
-2026년 목표는.
"2026년은 매출 300억원을 목표로 사업 계획을 세우고 추진 중이다. 목표 달성을 위해 대표를 포함한 구성원이 움직이고 있다."
-M&A 계획은 있나.
"2025년 12월 모트랩을 약 8개월 설득해 인수했다. 2026년 1월에는 농업용 트랙터·스마트팩토리 제어기 업체인 GLINS에 지분 투자 형태로 협업 체계를 구축했다. 인수는 아니고 지분 투자로 협업 구조를 만든 사례다."
-페스카로의 차별점은 무엇인가.
"일반적인 자동차 사이버 보안 회사는 서드파티 솔루션 벤더로, 구현 중심으로 역할을 수행한다. 완성차는 차량 수준 보안 아키텍처를 설계하고 이해관계자별 요구 사항을 정의한 뒤 여러 벤더를 모아 대응하는 구조다. 이 경우 완성차 입장에서는 10여 개 벤더가 필요할 수 있다.
페스카로는 사이버 보안 A부터 Z까지 솔루션을 갖춰 엔드투엔드 공급이 가능하다는 점을 강점으로 내세운다. 페스카로는 서드파티가 아니라 완성차와 티어1 사이에서 양쪽과 함께 일한다는 의미로 '0.5티어'를 포지셔닝했다. 또한 완성차가 아니라도 차량 수준 보안 아키텍처와 요구사항 정의 역할을 수행할 수 있어 제작사의 급증하는 부담을 줄여줄 수 있는 플랫폼 회사라는 주장이다."
-사이버 보안 규제가 사업 확장에 어떤 영향을 줬나.
"자동차 산업은 폐쇄적이고 신생 기업이 양산 밸류체인에 들어가 티어1이 되는 경우가 흔치 않다. 하지만 사이버 보안 규제가 일종의 진입 틈을 만들었고, 페스카로는 보안 기술로 진입했다. 이후 사이버 보안을 더 효과적으로 달성한다는 목적에서 보안 게이트웨이(제어기) 등 전장 영역으로 확장된 측면이 있다."
<출처: 디일렉 ([Y인사이트] 페스카로 "우린 0.5티어"...완성차 규제시장 조준)>