한국인터넷진흥원(KISA)과 페스카로(FESCARO)가 함께하는 <TARA 프로세스 기술 교육>에 여러분을 초대합니다. 9월 24일(수) 경기도 수원의 ‘초심공간’에서 진행되는 이번 교육은, TARA(Threat Analysis and Risk Assessment)를 깊이 이해하고 실무에 적용하고자 하는 분들을 위해 마련되었습니다. 선착순으로 모집 마감될 예정이니 관심 있는 분들은 서둘러 신청해 주세요. ■ TARA, 왜 필요할까요?자동차 산업은 소프트웨어 정의 차량(SDV, Software Defined Vehicle)을 중심으로 빠르게 변화하고 있습니다. 소프트웨어가 증가함에 따라 사이버위협은 차량의 안전과 신뢰성을 흔드는 위험 요소로 부각되고 있습니다. 이에 유럽의 UN R155, 국내 자동차관리법, 중국 GB 44495-2024 등 전세계적으로 자동차 사이버보안 규제가 의무화되었습니다. TARA는 차량 시스템의 잠재적 위협과 취약점을 식별·분석·평가하여, 보안 요구사항을 도출하고 대응책을 수립하는 핵심 절차입니다. 개발자 및 보안 전문가들은 TARA를 통해 제품의 경쟁력을 향상하고 있습니다. 본 교육을 통해 TARA 프로세스의 전 과정을 심층적으로 이해하고, 실제 사례를 기반으로 한 적용 방안을 실습 형태로 익힐 수 있습니다. ​■ 교육의 핵심 목표는 다음과 같습니다. TARA 프로세스 심층 이해 : 개념부터 보안 개발 단계별 적용 방법까지 학습 실무 역량 강화 : 실차 시스템 분석 및 평가 실습 제공 최신 보안 동향 습득 : 국내외〮 규제 및 업계 보안 트렌드 파악 ​■ 이런 분들께 추천합니다. 자동차 제조사(OEM) 및 제어기 개발사(Tier) 등 모빌리티 산업 종사자 모빌리티용 소프트웨어 및 하드웨어 개발자 UN R155 등 사이버보안 인증 관련 종사자 교육 참여를 원하신다면 ​<여기>를 클릭하시거나, 하단 포스터의 QR코드를 스캔해 주세요. * 본 교육은 선착순 모집으로 조기 마감될 수 있습니다.* 신청서 경로 : https://moaform.com/q/cU4gk1* 문의 : 페스카로 류승준 매니저 seungjoon.ryu@fescaro.com​

지난해에 이어 올해도 한국인터넷진흥원(KISA)과 페스카로(FESCARO)가 함께하는 <자동차 사이버보안 테스트 무료 지원 사업>이 시작됩니다. 자동차 제어기 개발사(Tier)를 대상으로 세 건의 보안테스트 및 보안 컨설팅을 진행할 예정입니다. 유관 기업의 많은 관심과 참여를 기다립니다.■ 왜 보안취약점 점검이 필요할까요?자율주행차와 커넥티비티 기술 등 차량 소프트웨어 발전은 차량 외부 통신을 활발하게 만들고 있습니다. 이에 따라 자동차의 사이버보안 위협이 커지자, 유럽연합(EU) UN R155, 국내 자동차관리법 개정안, 중국 GB 44495-2024 등은 사이버보안을 법적으로 의무화하고 있습니다. 이제 차량의 사이버보안 및 위협 대응 역량은 필수입니다. 이에 따라 제어기 개발사 역시 보안 요구사항을 체계적으로 충족해야 할 필요성이 커지고 있으며, 제어기의 보안 취약점을 사전에 점검하고 대응하는 것은 완성차 제작사(OEM) 수주 경쟁력 확보와 브랜드 신뢰 제고를 위한 핵심 전략으로 자리잡고 있습니다.■ 이런 “제어기 개발사(Tier)”에 추천합니다! 사이버보안 테스트 진행 및 대응 방안 수립이 어려운 기업 제어기(ECU, Electronic Control Unit)의 사이버보안 이슈를 사전 점검하고자 하는 기업 OEM이 요구하는 보안 테스트 대응이 필요한 기업■ 참여 기업에 제공되는 지원 사항 ECU 소프트웨어의 알려진 취약점 점검 ECU 소프트웨어 대상 퍼징(Fuzzing) 테스트 전 과정 무상 제공 / 결과보고서 제공■ 테스트는 어떻게 진행되나요?페스카로의 전문 레드팀이 테스트를 직접 수행합니다. 참여 기업의 ECU를 대상으로 실제 침투 관점에서의 테스트 및 보안 취약점 분석을 포함한 실무 중심 평가로 진행됩니다.해당 사업에 관심 있다면 아래 담당자에게 이메일 혹은 전화로 신청 부탁드립니다. * 본 사업은 선착순 3개사 한정으로 조기 마감될 수 있습니다. ▶ 페스카로 류승준 매니저 : seungjoon.ryu@fescaro.com | 010-6693-2295

페스카로는 구성원의 성장과 복지향상에 힘쓰고 있습니다. 빠르게 성장하고 있는 페스카로의 최고 자산은 구성원인 만큼 직원의 DAY / LIFE / SPECIAL DAY까지 모두 책임지고 케어합니다. 페스카로 입사 지원자들은 채용공고에 기재된 다양한 복지제도에 대해, "정말 이 많은 복지를 모두 지원해 주나요?"라고 질문하곤 합니다. 오늘은 이러한 페스카로의 다양한 복지 프로그램을 하나씩 소개해 드리겠습니다. PART1 : 직원의 DAY를 케어합니다 ⦁ 행복한 점심시간 연간 240만 원, 법인카드로 마음껏 긁자! 페스카로는 모두에게 개인형 법인카드를 지원하여​ 동료들과 회사 근처 맛집 도장 깨기에 도전하고 있습니다. 주변에 호수공원이 위치해 있어 날씨 좋은 날이면 김밥을 싸들고 피크닉도 할 수 있어요. 출처 = 페스카로 ⦁ 조식 운영 “조식 먹기 위해 일찍 출근해요” 인기 만점 페스카로 조식. 든든하게 드실 수 있는 주먹밥, 핫도그, 햄버거와 간편하게 드실 수 있는 시리얼, 베이커리, 계란 등이 준비되어 있습니다. 이외에도 다양한 맛의 우유, 두유, 과일 주스, 요거트 등 신선 제품 또한 상시 구비되어 있기에, 아침 거르지 말고 든든한 한 끼 식사 후 업무를 시작해 보아요! 출처 = 페스카로 ⦁ 스낵바 운영 관리본부가 직접 진행하는 큐레이팅 서비스, 스낵바. 업무에 너무 집중한 나머지, 실시간으로 당이 떨어지는 느낌이 들거나, 배에서 꼬르륵 소리가 울리는 경험.. 한 번쯤은 있으시죠? 매일 먹어도 질리지 않는 스테디셀러와 처음 보는 신상 과자들까지, 모두가 만족할 만한 스낵바를 제공하고 있습니다. 쿠키, 스낵, 캔디, 차, 커피 등 '열심히 일하는 당신'을 위한 다양한 간식들이 준비되어 있어요. 출처 = 페스카로 ⦁ 교통비 지원 점점 비싸지는 대중교통 이용 요금, 부담된 적 있으신가요? 직원들의 교통비 걱정을 줄이기 위해 페스카로는 연간 교통비 120만 원을 지원하고 있습니다. 자차로 출퇴근하시는 분들은 주차비로 이용하세요. ​ ⦁ 통신비 지원 업무하면서 고객사와 연락하다 보니, 쌓여가는 통화와 문자 내역들... 한 달 동안 쌓이면 만만치 않은 양이 되죠. 통화 & 데이터 요금 걱정을 덜어드리기 위해 통신비를 연간 60만 원 지원해 드립니다. PART 2 : 직원의 LIFE를 케어합니다 ⦁ 일과 삶의 균형을 위한 제도 페스카로는 시차출퇴근제, 반반차, 외출 제도 등을 통해 주도적으로 업무 시간을 계획할 수 있는 근무 환경을 조성합니다. 시간에 끌려다니지 말고 셀프리더십을 발휘해 업무 스케줄을 주도합시다! ⦁ 페스카로와의 의리! 장기근속자 포상제도 직원들의 장기 재직과 자산 형성을 응원합니다. 5년 재직 시 회사로부터 총 1,440만 원 포상금을 받을 수 있는 재직자 내일채움공제를 운영합니다 (매월 24만 원, 60개월간 총 1,440만 원). 우리 오래오래 함께 해요. ⦁ 건강검진 지원 업무에 대한 열정도 중요하지만 가장 중요한 것은 건강입니다. 페스카로는 임직원 건강을 지속적으로 체크하고 케어하기 위한 종합건강검진 서비스와 유급 건강검진 반차 제도를 운영하고 있습니다. 직원의 건강을 위해 검진에 드는 비용, 시간을 모두 아낌없이 지원하고 있어요. ⦁ 소노호텔앤리조트 콘도 회원권 페스카로를 위해 열심히 일한 당신, 삶은 쉼표도 필요하죠! 페스카로는 임직원의 휴식 관련 복지제도를 확장하기 위해 2024년 여름부터 소노호텔앤리조트 (구 대명리조트) 콘도 회원권을 준비했습니다. 희망하는 임직원은 해당 리조트와 호텔을 회원가에 저렴하게 이용할 수 있습니다. 출처 = 소노호텔앤리조트 ​ ⦁ 가족에게 자랑스러운 페스카로 임직원의 가족까지 살뜰하게 챙겨요! 자녀가 초/중/고등학교 입학 시에는 입학 선물을, 수능 응시생인 경우 응원 선물을 챙겨드립니다. 자녀가 대학에 진학하면, 연 최대 600만 원 등록금도 지원합니다! 가족에게 자랑스러운 페스카로가 될게요. ​ PART3 : 직원의 SPECIAL LIFE를 케어합니다 ⦁ 명절 귀향 여비 보조금 지원 풍요로운 명절, 먼 길 귀향 여비 걱정을 덜어드립니다. 매년 명절(설·추석)에는 고향 귀경길을 위한 귀향 여비 보조금을 30만 원씩 지원해 드립니다. ​ ⦁ 스페셜데이 스페셜데이에는 다 같이 휴식을! 창립기념일에는 축하하는 마음으로 전사에 전일 유급휴가를 지급하며, 명절(설·추석) 연휴 전날과 12월의 마지막 영업일에는 오전 근무 진행 후 조기퇴근을 진행합니다. 가족, 친구, 연인과 즐거운 시간을 보내요. ⦁ HAPPY BIRTHDAY 페스카로에게 직원의 생일은 소중합니다. 임직원의 생일을 축하하는 마음으로 생일 당일 10만 원 상당의 기프트카드를 선물해 드립니다. ⦁ 근로자휴가지원사업 즐거운 휴가를 위한 지원! 페스카로는 정부에서 시행하는 근로자휴가지원사업에 참여 중입니다 ✈️. “내가 20만 원 내면, 회사와 정부에서 각 10만 원씩 지원해 주는 제도가 있다고?!” 총 40만 원의 포인트로 다양한 여행 상품을 이용해 보세요! ⦁ 경조사비 및 경조휴가 지원 경조사에 연차 사용하지 마세요! 경조 규정에 따른 경조사 휴가를 부여해 드려요. 결혼 시에는 회사가 누구보다 먼저 축의금을 드릴게요 (2년 미만 재직자 30만 원 / 2년 이상 재직자 50만 원 / 4년 이상 재직자 100만 원). 지금까지 페스카로에서 제공하는 다양한 복지 프로그램에 대해 자세히 소개해 드렸습니다. 페스카로가 빠르게 성장하는 만큼, 복지 프로그램 및 혜택도 계속해서 업그레이드될 예정입니다. 정말 이 모든 복지제도를 제공하는지 물으신다면, 자신 있게 "네!"라고 답할 수 있습니다. 다양한 복지를 누리면서 페스카로와 함께 성장해 나가고 싶으신 분들은, 현재 진행 중인 채용공고를 확인해 주세요. ​

• 잡코리아 채용공고 (click) 

※잡코리아 또는 사람인 통해 지원 부탁드립니다. 

• 잡코리아 채용공고 (click) 

※잡코리아 또는 사람인 통해 지원 부탁드립니다. 

• 잡코리아 채용공고 (click) 

※잡코리아 또는 사람인 통해 지원 부탁드립니다. 

• 잡코리아 채용공고 (click) 

※잡코리아 또는 사람인 통해 지원 부탁드립니다. 

• 잡코리아 채용공고 (click) 

※잡코리아 또는 사람인 통해 지원 부탁드립니다. 

- 한국 지사 이어 독일 본사와도 협력… 사이버보안 규제 대응 편의성 극대화

- 페스카로 사이버보안 기술력 & 티유브이노르트 인증 전문성 기반 ‘원스톱 솔루션’ 공동 개발

티유브이노르트 모빌리티 레이프-에릭 슐테(Schulte, Leif-Erik) 부사장(왼쪽)과 홍석민 페스카로 대표가

자동차 사이버보안 인증 사업 협력을 위한 MOU 기념식에서 사진 촬영을 하고 있다 (출처 = 페스카로)

페스카로(FESCARO)가 글로벌 인증기관 티유브이노르트(TÜV NORD)와 자동차 사이버보안 인증 사업 협력을 위한 양해각서(MOU) 기념식을 진행했다. 지난 3월 한국 지사와 MOU를 체결한 데 이어, 국내 최초로 독일 본사와 공식적인 협력 관계를 구축했다는 점에서 의미가 크다.

​

차량의 소프트웨어 비중이 커지자 사이버공격 위험도 현실화됐다. 이에 전 세계가 사이버공격에 대응하기 위해 법적 규제를 마련하고 있다. 유럽연합(EU)은 ‘UN R155’를 시행했고, 국내에서는 ‘자동차관리법을 개정했다. 중국은 ‘GB 44495-2024’를, 인도는 ‘AIS-189’를 도입하며 글로벌 시장 전반에서 규제화가 확산되고 있다.

​

양사는 이번 MOU에 따라 다양한 자동차 사이버보안 규제 대응을 위한 ‘원스톱 솔루션’을 공동 개발한다. 사이버보안 관리체계 구축 컨설팅부터 교육, 보안솔루션 공급과 검증, 제3자 인증까지 아우르는 통합 서비스다. 페스카로의 자동차 사이버보안 기술력과 티유브이노르트의 인증에 대한 전문성을 접목해, 고객사에 최적화된 맞춤형 서비스로 효율성을 극대화할 예정이다.

​

티유브이노르트는 150년 이상의 역사를 지닌 독일계 글로벌 시험검사인증기관으로, 유럽·아시아·미국 등 전세계 100여 개 지사를 운영하며 국제 인증 시장을 선도하고 있다. 자동차는 물론 반도체, 로봇, 의료기기, 지속가능성 등 다양한 산업 분야에서 국제 표준과 규격에 따른 인증 평가를 수행하고 있다. IEC 62443, ETSI EN 303 645 등 산업 및 IoT의 사이버보안 분야에서 세계 최초로 국가인증기관(NCB)으로 지정돼 국제적인 공신력을 인정받은 바 있다. 티유브이노르트가 페스카로와 협력하기로 한 것은, 페스카로의 자동차 사이버보안 기술력이 글로벌 기준에서도 경쟁력이 있음을 방증한다.

​

페스카로는 부품 단위의 보안솔루션 공급을 넘어 차량 전체 시스템과 라이프사이클을 아우르는 ‘차량 통합 보안플랫폼’을 제공한다. 글로벌 차량 제작사의 사이버보안 전략 및 관리체계를 구축해 왔으며, 2023년에는 고객사가 국제 4대 인증(CSMS, SUMS, VTA, ISO/SAE 21434)을 획득하는 데 핵심적인 역할을 하며 국내 최초로 ‘그랜드슬램’을 달성했다. 자체 개발한 보안 기술은 국내외 차량 제작사에 양산되며 신뢰성을 입증했고, 지난 7월에는 국내 최초로 글로벌 자동차 사이버보안 협의체 ‘오토아이삭(Auto-ISAC)’과 이노베이터(Innovator) 파트너십을 체결하며 업계의 주목을 받았다.

​

티유브이노르트 모빌리티 레이프-에릭 슐테(Schulte, Leif-Erik) 부사장은 “자동차 사이버보안은 규제 대응력과 기술 신뢰성이 핵심인데, 페스카로는 두 가지를 모두 충족하는 최적의 파트너”라고 전했다.

​

홍석민 페스카로 대표는 “세계 유수 기업인 티유브이노르트와 협력하게 된 만큼, 글로벌 사이버보안 시장에서 새로운 기회를 적극적으로 확대할 것”이라고 강조했다.

​

<출처: 헤럴드경제 (페스카로, 국내 최초 글로벌 인증기관 ‘티유브이노르트’와 자동차 사이버보안 협력체계 구축)>

​

구성서 페스카로 최고사업책임자(CSO) 인터뷰 

영화 ‘분노의 질주’ 8편에는 운전자 없이 움직이는 좀비카가 등장한다. 허구처럼 보이지만, 차량 원격 조종·기능 마비 같은 공격은 이미 현실에서 보고되고 있다. 2015년에는 유명한 화이트해커인 찰리 밀러와 크리스 발라섹이 원격 해킹을 통해 지프 체로키 차량의 엔진, 브레이크, 조향 등을 마음대로 제어하는 것을 시연하여 큰 충격을 줬다. 이 사건을 계기로 자동차 사이버보안의 중요성이 전 세계적으로 부각됐다.

자동차 보안 전문기업 ‘페스카로’의 구성서 최고사업책임자(CSO) 상무는 바이라인네트워크와의 인터뷰에서 “자동차 해킹은 이미 현실에서 벌어지고 있다”며 “다른 보안 사고와 달리 (자동차 보안 사고는) 사람의 안전과 직결된 문제이자 재산 피해로 이어진다는 점에서 그 위험성이 매우 크다”고 강조했다.

자동차 보안 환경 변화의 핵심은 정보통신기술(ICT)을 중심으로 한 ‘연결‘에 있다. 스마트카와 커넥티드카(네트워크로 연결된 차량)의 확산으로 자동차는 ‘바퀴 달린 스마트폰’으로 진화했다. 하지만, 편의성과 업데이트 속도가 빨라진 만큼 공격 표면도 넓어졌다. 이런 흐름 속에서 8월 14일 개정 자동차관리법이 시행됐다. 완성차 제조사(OEM)는 신차 출고 전 조직 차원의 사이버보안 관리체계(CSMS, Cyber Security Management System) 구축·운영에 대한 인증을 받은 후 형식승인(VTA, Vehicle Type Approval)까지 받아야 한다.

구성서 상무는 “자동차 보안 인증을 의무화 한 것은 완벽한 보안을 위한 게 아니라, 자동차 사이버보안에 대한 최소한의 공통 분모와 상시 운영 기준을 세운 출발점”이라고 설명했다.

페스카로는 2016년 설립된 자동차 보안 전문기업이다. 현대케피코 출신의 자동차 전장 소프트웨어 개발자인 홍석민 대표와 화이트해커 출신 이현정 최고기술책임자(CTO)가 ‘자동차 사이버보안을 제대로 해보자‘는 문제 의식 속에서 회사를 설립했다. 페스카로라는 사명은 ‘선제적 보안을 기반으로 자동차 임베디드 보안에 집중한다(Focus on Embedded Security in CAR based on Offensive security)’는 의미를 담고 있는데, 최근에는 ‘핵 더 모빌리티(Hack the Mobility)’라는 슬로건을 더 강조하고 있다. 이 슬로건은 정해진 답이 없는 모빌리티 산업의 문제에 ‘창의적인 돌파구’를 제시하겠다는 뜻이다.

자동차 보안, 왜 ‘의무’가 됐나?

---

자동차는 수십개의 전자제어장치(ECU)와 마이크로컨트롤러유닛(MCU)이 내부 통신망 컨트롤러영역네트워크(CAN)로 끊임없이 신호를 주고받으며 달린다. 브레이크·조향·에어백 같은 제어 신호는 수 밀리초단위의 마감시간(데드라인)을 갖는다. 이때 보안 기능이 제어를 지연시키면 제동 개입이 늦거나 신호가 누락돼 오작동으로 이어질 수 있다. 즉, 보안 기능이 안전 제어의 실시간성을 해치면 그 자체가 안전에 위험이 되는 것이다. 그래서 자동차 보안은 ‘안전 제어의 실시간성을 훼손하지 않는 경량 설계’가 전제로 한다.

여기에 연결을 키워드로 한 ‘무선 소프트웨어 업데이트(OTA, Over-The-Air)‘가 일상화되며 위협 환경은 더 복잡해졌다. OTA는 기능 추가와 오류 수정에 필수지만, 공격자가 업데이트 경로를 장악하면 대규모 변조로 이어질 수 있다. 그래서 차량 개발은 ‘설계 단계 보안(Security by Design)→개발·검증→양산·운영’으로 이어지는 전 생애주기 보안 체계로 바뀌었고, 업데이트마다 변경 관리와 롤백 시나리오를 준비하는 것이 표준이 됐다.

국제 규정도 이러한 지속 운영을 전제로 한다. 유럽의 국제 규정인 ’UN R155(차량 사이버보안)’는 위협 분석 보고, 취약점 공개·대응 정책, 사고 재발방지 절차 등 조직 차원의 운영 의무를, ‘UN R156(소프트웨어 업데이트)’는 OTA 무결성 검증과 업데이트 거버넌스를 명문화했다. 단발 검사 통과가 아니라 탐지·대응·복구·재발 방지 사이클을 기업이 주기적으로 입증해야 한다.

구성서 상무는 “3년에 한 번 재인증을 받고 매년 사후 감시 증빙을 제출해야 한다”며 “보안을 완벽하다고 전제하지 않고 결함을 가정해 지속적으로 고치며 단단하게 만들어가는 운영 루프가 핵심”이라고 말했다.

이 같은 국제 규정의 흐름 속에서 ‘CSMS’의 중요성이 커졌다. 기존 환경·안전 인증이 제품·차종 단위였다면, CSMS는 기업 전체의 보안 운영 역량을 검증한다. 개정된 자동차관리법 시행에 맞춰 국토교통부와 한국교통안전공단 산하 자동차안전연구원은 8월 14일 CSMS 인증을 위한 총괄 시스템을 정식 오픈했다. 유럽은 인가기관(AA)과 기술서비스(TS)로 역할을 나눠 심사하고, 미국은 자가 인증 체계를 유지하고 있다.

구성서 상무는 “CSMS는 차량의 사이버보안을 조직적으로 잘 관리하고 있는지를 검증하는 것이며, VTA는 해당 차량에 사이버보안 대책이 잘 수립되었는지 검증하는 절차”라고 설명했다.

페스카로가 ‘올인원’ 자동차 보안을 말하는 이유

---

이처럼 자동차 사이버보안의 패러다임이 ‘제품’ 중심에서 ‘조직’과 ‘운영’ 중심으로 바뀌면서, 단발성 솔루션을 넘어 전방위적이고 지속적인 보안 관리가 중요해졌다. 많은 자동차 보안업체가 컨설팅이나 단일 솔루션을 공급하는데 비해, 페스카로는 컨설팅→보안 솔루션→테스팅→관제→전장제어기까지 전 구간을 끊김없이 제공하는 올인원(All-in-one) 보안을 전면에 내세운다.

구성서 상무는 “요청서대로 만들어 주는 건 어렵지 않다. 관건은 현실에 맞는 요구사항·사양서를 고객사와 공동으로 작성해 1·2차 협력사까지 일정·규격을 일관되게 보내주는 일”이라고 강조했다. 그는 이 방식을 “문서만 쌓는 보안이 아니라 실행 가능한(Executable) 엔지니어링”이라고 설명했다.

(출처 = 바이라인네트워크)

이 같은 접근 방식을 실제로 뒷받침하는 것이 페스카로의 기술 라인업이다. 페스카로는 컨설팅에서 운영까지 전 단계를 아우르는 솔루션을 자체적으로 개발해 ‘올인원 보안’을 제공하고 있다.

올인원 자동차 보안을 위한 첫째 요소로는 ‘CSMS 포털‘이 있다. CSMS 포털은 사이버보안 업무를 자동화하고 관리하는 시스템을 의미한다. 이는 단순한 솔루션이 아니라, 자동차의 전 생애주기 동안 보안을 지속적으로 관리하고 유지할 수 있도록 돕는 플랫폼이다.

특히, CMSM 포털은 위협 인텔리전스, 타라(TARA·Threat Analysis & Risk Assessment, 위협분석·위험평가), 요구사항 도출, 개발·검증, VTA준비, 양산 후 취약점·사고 대응, 사후 감사까지 워크플로우를 자동화해 효율성을 높인다. 구성서 상무는 “사람이 그때그때 수동으로 처리하는 게 아니라 시스템이 시점별 할 일을 자동화해 완료하고, 이후 다음 담당자에게 자동 인계한다”며 “복잡한 형상관리(버전)와 관제까지 한 화면에서 통합 관리한다. 재인증(3년)과 사후 감시(매년) 증빙은 자동 축적된다”고 설명했다.

다음은 ‘시큐어 게이트웨이(Secure Gateway, SGW)’로 차량의 ‘방화벽’ 역할을 한다. 텔레매틱스·원격진단·모바일앱 등 외부 연결이 내부 CAN으로 들어오기 전 인증·권한을 검증하고, 침입탐지시스템(IDS)과 보안 로그로 이상행위를 기록한다. 또한, OTA 무결성을 검증해 변조를 차단한다. MCU 자원 제약과 실시간성을 고려한 경량·분리 설계가 기본이다.

세 번째는 ‘테스팅 스택’이다. 테스팅 스택은 전문 레드팀(화이트해커)이 정적·동적 분석을 넘어 퍼징(Fuzzing)과 모의 침투 시뮬레이션으로 자동차의 환경 내성을 점검한다. 단일 시스템이라기보다 보안 검증 기법을 단계적으로 엮은 통합 체계다. 정적·동적 분석에 더해 ‘퍼징(Fuzzing)‘과 ‘실전 침투 시뮬레이션‘을 적용해, 실제 차량 환경에서 보안 내성을 점검한다.

이렇게, 세 요소는 하나의 통합된 자동차 보안 체계를 이룬다. CSMS 포털이 업무·증빙 자동화로 일상 운영을 이끌고, SGW가 차량 레벨 면역체계를 맡아 위험을 걸러내며, 테스팅 스택이 개발·양산 전후 실차 검증을 반복해 보안의 품질을 보장한다. 결과물과 로그는 다시 CSMS 포털로 돌아와 재인증·사후 감시를 수행한다.

구성서 상무는 “보안이 문서로만 끝나면 실패라고 본다. 주행 안전과 보안이 동시에 유지되는지까지 봐야 진짜 완료”라고 강조했다.

KG모빌리티에 구축한 올인원 보안 체계

---

페스카로는 이러한 기술력을 통해 실제 산업 현장에서 성과를 만들어내고 있다. 2020년부터 KG모빌리티와 협력해 올인원 보안을 상용화했으며, 그 결과 2022년 12월 CSMS·소프트웨어 업데이트 관리체계(SUMS) 인증을 획득했다. 이어 2023년 10월에는 전기차 ‘토레스 EVX’로 형식승인(VTA)을 통과하며 성과를 내고 있다. 이 과정에서 ‘컨설팅→솔루션→테스팅→관제→SGW’까지 전 단계를 일괄 수행했다.

구성서 상무는 “KG모빌리티는 사이버보안 관리체계 구축에 당사의 올인원 보안솔루션을 활용했으며, 인증 심사 대응 과정에서도 페스카로의 많은 엔지니어가 동시에 투입됐다”고 소개했다.

페스카로의 레퍼런스는 KG모빌리티를 넘어 ▲타타대우모빌리티 ▲KGMC(버스) ▲우진산전(버스) ▲오토노머스에이투지(자율주행차) ▲대동(농기계) 등 다양한 산업과 기업으로 확장되고 있다. 버스는 대규모 운송 특성상 안전성이, 농기계는 혹서·혹한·진동 환경에서의 내구성과 원격 업데이트 안정성이 핵심 이슈다. 이외에도 중국 법인도 운영 중인데, 현지의 OEM과의 협업도 논의되고 있다.

특히, 최근에는 국내외 고객사들이 유럽 수출을 준비하면서, 페스카로에 규제 대응 컨설팅과 보안 체계 구축을 맡기는 사례가 늘고 있다. 구성서 상무는 “유럽연합(EU)의 ‘사이버 회복력 법(CRA, Cyber Resilience Act)’은 소프트웨어를 포함한 ‘디지털 요소가 들어간 제품’ 전반에 보안 설계, 취약점 대응, 보안 업데이트 제공을 제조사 책임으로 묶는 규정이라 범위가 넓다”며 “그래서 자동차 외에도 농기계·건설기계, 전기차 충전기 같은 주변 인프라까지 대비가 필요해 문의가 늘고 있다”고 말했다.

꾸준한 실적 성장세

---

이같은 규제 환경의 변화 속에서, 올인원 보안 전략을 기반으로 페스카로는 꾸준한 성장세를 이어가고 있다. 2022년 67억2500만원이었던 매출액은 2023년 119억6500만원으로 두 배 가까이 증가했으며, 2024년에는 143억1900만원의 매출을 기록했다.

구성서 상무는 사업 부문별 비중 변화에 대해 “해마다 조금씩 다르지만, 원래 2020년부터 2022년까지는 사이버 보안 사업 비중이 컸고, 2023년에는 전장 사업과 거의 비슷한 수준이었다”고 설명했다. 그는 이어 “올해는 약 60~70% 정도가 사이버 보안 사업에서 발생하고 있다”며, “이는 전장 제어기 사업이 아직 공급 준비 단계에 있고 사이버 보안 관련 활동이 먼저 진행되고 있기 때문“이라고 덧붙였다.

구성서 페스카로 상무(최고사업책임자[CSO])

---

끝으로, 구성서 상무는 “자동차 보안은 추상적 개념이 아니라 위협에 대한 현실적인 대응”이라며, 세 가지 구체적 시나리오와 함께 자동차 보안의 중요성을 피력했다. 그는 “핸들이 의도와 다르게 움직이거나 브레이크가 반응하지 않으면 안전 문제, 차량 내에서만 쓴 카드·계정이 외부에서 사용되면 개인정보 문제, 원격 취약성으로 차량이 도난 당하면 즉각적인 재산 피해로 이어진다”고 말했다.

이어 “CSMS로 ‘관찰·대응·복구’ 체계를 운영하고, SGW 같은 제어기로 차량 내부 면역을 키우는 운영을 지금부터 시작해야 한다”며 “보안 인증서 한 장으로 끝나는 시대는 이미 지났다. 차량이 도로 위에 존재하는 한 보안도 계속 굴러가야 한다”고 강조했다.

<출처: 바이라인네트워크 (자동차 보안 의무화 시대, 페스카로가 ‘올인원 보안’ 전략을 내세우는 이유 – 바이라인네트워크)>

구성서 페스카로 최고사업책임자(CSO) 인터뷰 

영화 ‘분노의 질주’ 8편에는 운전자 없이 움직이는 좀비카가 등장한다. 허구처럼 보이지만, 차량 원격 조종·기능 마비 같은 공격은 이미 현실에서 보고되고 있다. 2015년에는 유명한 화이트해커인 찰리 밀러와 크리스 발라섹이 원격 해킹을 통해 지프 체로키 차량의 엔진, 브레이크, 조향 등을 마음대로 제어하는 것을 시연하여 큰 충격을 줬다. 이 사건을 계기로 자동차 사이버보안의 중요성이 전 세계적으로 부각됐다.

자동차 보안 전문기업 ‘페스카로’의 구성서 최고사업책임자(CSO) 상무는 바이라인네트워크와의 인터뷰에서 “자동차 해킹은 이미 현실에서 벌어지고 있다”며 “다른 보안 사고와 달리 (자동차 보안 사고는) 사람의 안전과 직결된 문제이자 재산 피해로 이어진다는 점에서 그 위험성이 매우 크다”고 강조했다.

자동차 보안 환경 변화의 핵심은 정보통신기술(ICT)을 중심으로 한 ‘연결‘에 있다. 스마트카와 커넥티드카(네트워크로 연결된 차량)의 확산으로 자동차는 ‘바퀴 달린 스마트폰’으로 진화했다. 하지만, 편의성과 업데이트 속도가 빨라진 만큼 공격 표면도 넓어졌다. 이런 흐름 속에서 8월 14일 개정 자동차관리법이 시행됐다. 완성차 제조사(OEM)는 신차 출고 전 조직 차원의 사이버보안 관리체계(CSMS, Cyber Security Management System) 구축·운영에 대한 인증을 받은 후 형식승인(VTA, Vehicle Type Approval)까지 받아야 한다.

구성서 상무는 “자동차 보안 인증을 의무화 한 것은 완벽한 보안을 위한 게 아니라, 자동차 사이버보안에 대한 최소한의 공통 분모와 상시 운영 기준을 세운 출발점”이라고 설명했다.

페스카로는 2016년 설립된 자동차 보안 전문기업이다. 현대케피코 출신의 자동차 전장 소프트웨어 개발자인 홍석민 대표와 화이트해커 출신 이현정 최고기술책임자(CTO)가 ‘자동차 사이버보안을 제대로 해보자‘는 문제 의식 속에서 회사를 설립했다. 페스카로라는 사명은 ‘선제적 보안을 기반으로 자동차 임베디드 보안에 집중한다(Focus on Embedded Security in CAR based on Offensive security)’는 의미를 담고 있는데, 최근에는 ‘핵 더 모빌리티(Hack the Mobility)’라는 슬로건을 더 강조하고 있다. 이 슬로건은 정해진 답이 없는 모빌리티 산업의 문제에 ‘창의적인 돌파구’를 제시하겠다는 뜻이다.

자동차 보안, 왜 ‘의무’가 됐나?

---

자동차는 수십개의 전자제어장치(ECU)와 마이크로컨트롤러유닛(MCU)이 내부 통신망 컨트롤러영역네트워크(CAN)로 끊임없이 신호를 주고받으며 달린다. 브레이크·조향·에어백 같은 제어 신호는 수 밀리초단위의 마감시간(데드라인)을 갖는다. 이때 보안 기능이 제어를 지연시키면 제동 개입이 늦거나 신호가 누락돼 오작동으로 이어질 수 있다. 즉, 보안 기능이 안전 제어의 실시간성을 해치면 그 자체가 안전에 위험이 되는 것이다. 그래서 자동차 보안은 ‘안전 제어의 실시간성을 훼손하지 않는 경량 설계’가 전제로 한다.

여기에 연결을 키워드로 한 ‘무선 소프트웨어 업데이트(OTA, Over-The-Air)‘가 일상화되며 위협 환경은 더 복잡해졌다. OTA는 기능 추가와 오류 수정에 필수지만, 공격자가 업데이트 경로를 장악하면 대규모 변조로 이어질 수 있다. 그래서 차량 개발은 ‘설계 단계 보안(Security by Design)→개발·검증→양산·운영’으로 이어지는 전 생애주기 보안 체계로 바뀌었고, 업데이트마다 변경 관리와 롤백 시나리오를 준비하는 것이 표준이 됐다.

국제 규정도 이러한 지속 운영을 전제로 한다. 유럽의 국제 규정인 ’UN R155(차량 사이버보안)’는 위협 분석 보고, 취약점 공개·대응 정책, 사고 재발방지 절차 등 조직 차원의 운영 의무를, ‘UN R156(소프트웨어 업데이트)’는 OTA 무결성 검증과 업데이트 거버넌스를 명문화했다. 단발 검사 통과가 아니라 탐지·대응·복구·재발 방지 사이클을 기업이 주기적으로 입증해야 한다.

구성서 상무는 “3년에 한 번 재인증을 받고 매년 사후 감시 증빙을 제출해야 한다”며 “보안을 완벽하다고 전제하지 않고 결함을 가정해 지속적으로 고치며 단단하게 만들어가는 운영 루프가 핵심”이라고 말했다.

이 같은 국제 규정의 흐름 속에서 ‘CSMS’의 중요성이 커졌다. 기존 환경·안전 인증이 제품·차종 단위였다면, CSMS는 기업 전체의 보안 운영 역량을 검증한다. 개정된 자동차관리법 시행에 맞춰 국토교통부와 한국교통안전공단 산하 자동차안전연구원은 8월 14일 CSMS 인증을 위한 총괄 시스템을 정식 오픈했다. 유럽은 인가기관(AA)과 기술서비스(TS)로 역할을 나눠 심사하고, 미국은 자가 인증 체계를 유지하고 있다.

구성서 상무는 “CSMS는 차량의 사이버보안을 조직적으로 잘 관리하고 있는지를 검증하는 것이며, VTA는 해당 차량에 사이버보안 대책이 잘 수립되었는지 검증하는 절차”라고 설명했다.

페스카로가 ‘올인원’ 자동차 보안을 말하는 이유

---

이처럼 자동차 사이버보안의 패러다임이 ‘제품’ 중심에서 ‘조직’과 ‘운영’ 중심으로 바뀌면서, 단발성 솔루션을 넘어 전방위적이고 지속적인 보안 관리가 중요해졌다. 많은 자동차 보안업체가 컨설팅이나 단일 솔루션을 공급하는데 비해, 페스카로는 컨설팅→보안 솔루션→테스팅→관제→전장제어기까지 전 구간을 끊김없이 제공하는 올인원(All-in-one) 보안을 전면에 내세운다.

구성서 상무는 “요청서대로 만들어 주는 건 어렵지 않다. 관건은 현실에 맞는 요구사항·사양서를 고객사와 공동으로 작성해 1·2차 협력사까지 일정·규격을 일관되게 보내주는 일”이라고 강조했다. 그는 이 방식을 “문서만 쌓는 보안이 아니라 실행 가능한(Executable) 엔지니어링”이라고 설명했다.

(출처 = 바이라인네트워크)

이 같은 접근 방식을 실제로 뒷받침하는 것이 페스카로의 기술 라인업이다. 페스카로는 컨설팅에서 운영까지 전 단계를 아우르는 솔루션을 자체적으로 개발해 ‘올인원 보안’을 제공하고 있다.

올인원 자동차 보안을 위한 첫째 요소로는 ‘CSMS 포털‘이 있다. CSMS 포털은 사이버보안 업무를 자동화하고 관리하는 시스템을 의미한다. 이는 단순한 솔루션이 아니라, 자동차의 전 생애주기 동안 보안을 지속적으로 관리하고 유지할 수 있도록 돕는 플랫폼이다.

특히, CMSM 포털은 위협 인텔리전스, 타라(TARA·Threat Analysis & Risk Assessment, 위협분석·위험평가), 요구사항 도출, 개발·검증, VTA준비, 양산 후 취약점·사고 대응, 사후 감사까지 워크플로우를 자동화해 효율성을 높인다. 구성서 상무는 “사람이 그때그때 수동으로 처리하는 게 아니라 시스템이 시점별 할 일을 자동화해 완료하고, 이후 다음 담당자에게 자동 인계한다”며 “복잡한 형상관리(버전)와 관제까지 한 화면에서 통합 관리한다. 재인증(3년)과 사후 감시(매년) 증빙은 자동 축적된다”고 설명했다.

다음은 ‘시큐어 게이트웨이(Secure Gateway, SGW)’로 차량의 ‘방화벽’ 역할을 한다. 텔레매틱스·원격진단·모바일앱 등 외부 연결이 내부 CAN으로 들어오기 전 인증·권한을 검증하고, 침입탐지시스템(IDS)과 보안 로그로 이상행위를 기록한다. 또한, OTA 무결성을 검증해 변조를 차단한다. MCU 자원 제약과 실시간성을 고려한 경량·분리 설계가 기본이다.

세 번째는 ‘테스팅 스택’이다. 테스팅 스택은 전문 레드팀(화이트해커)이 정적·동적 분석을 넘어 퍼징(Fuzzing)과 모의 침투 시뮬레이션으로 자동차의 환경 내성을 점검한다. 단일 시스템이라기보다 보안 검증 기법을 단계적으로 엮은 통합 체계다. 정적·동적 분석에 더해 ‘퍼징(Fuzzing)‘과 ‘실전 침투 시뮬레이션‘을 적용해, 실제 차량 환경에서 보안 내성을 점검한다.

이렇게, 세 요소는 하나의 통합된 자동차 보안 체계를 이룬다. CSMS 포털이 업무·증빙 자동화로 일상 운영을 이끌고, SGW가 차량 레벨 면역체계를 맡아 위험을 걸러내며, 테스팅 스택이 개발·양산 전후 실차 검증을 반복해 보안의 품질을 보장한다. 결과물과 로그는 다시 CSMS 포털로 돌아와 재인증·사후 감시를 수행한다.

구성서 상무는 “보안이 문서로만 끝나면 실패라고 본다. 주행 안전과 보안이 동시에 유지되는지까지 봐야 진짜 완료”라고 강조했다.

KG모빌리티에 구축한 올인원 보안 체계

---

페스카로는 이러한 기술력을 통해 실제 산업 현장에서 성과를 만들어내고 있다. 2020년부터 KG모빌리티와 협력해 올인원 보안을 상용화했으며, 그 결과 2022년 12월 CSMS·소프트웨어 업데이트 관리체계(SUMS) 인증을 획득했다. 이어 2023년 10월에는 전기차 ‘토레스 EVX’로 형식승인(VTA)을 통과하며 성과를 내고 있다. 이 과정에서 ‘컨설팅→솔루션→테스팅→관제→SGW’까지 전 단계를 일괄 수행했다.

구성서 상무는 “KG모빌리티는 사이버보안 관리체계 구축에 당사의 올인원 보안솔루션을 활용했으며, 인증 심사 대응 과정에서도 페스카로의 많은 엔지니어가 동시에 투입됐다”고 소개했다.

페스카로의 레퍼런스는 KG모빌리티를 넘어 ▲타타대우모빌리티 ▲KGMC(버스) ▲우진산전(버스) ▲오토노머스에이투지(자율주행차) ▲대동(농기계) 등 다양한 산업과 기업으로 확장되고 있다. 버스는 대규모 운송 특성상 안전성이, 농기계는 혹서·혹한·진동 환경에서의 내구성과 원격 업데이트 안정성이 핵심 이슈다. 이외에도 중국 법인도 운영 중인데, 현지의 OEM과의 협업도 논의되고 있다.

특히, 최근에는 국내외 고객사들이 유럽 수출을 준비하면서, 페스카로에 규제 대응 컨설팅과 보안 체계 구축을 맡기는 사례가 늘고 있다. 구성서 상무는 “유럽연합(EU)의 ‘사이버 회복력 법(CRA, Cyber Resilience Act)’은 소프트웨어를 포함한 ‘디지털 요소가 들어간 제품’ 전반에 보안 설계, 취약점 대응, 보안 업데이트 제공을 제조사 책임으로 묶는 규정이라 범위가 넓다”며 “그래서 자동차 외에도 농기계·건설기계, 전기차 충전기 같은 주변 인프라까지 대비가 필요해 문의가 늘고 있다”고 말했다.

꾸준한 실적 성장세

---

이같은 규제 환경의 변화 속에서, 올인원 보안 전략을 기반으로 페스카로는 꾸준한 성장세를 이어가고 있다. 2022년 67억2500만원이었던 매출액은 2023년 119억6500만원으로 두 배 가까이 증가했으며, 2024년에는 143억1900만원의 매출을 기록했다.

구성서 상무는 사업 부문별 비중 변화에 대해 “해마다 조금씩 다르지만, 원래 2020년부터 2022년까지는 사이버 보안 사업 비중이 컸고, 2023년에는 전장 사업과 거의 비슷한 수준이었다”고 설명했다. 그는 이어 “올해는 약 60~70% 정도가 사이버 보안 사업에서 발생하고 있다”며, “이는 전장 제어기 사업이 아직 공급 준비 단계에 있고 사이버 보안 관련 활동이 먼저 진행되고 있기 때문“이라고 덧붙였다.

구성서 페스카로 상무(최고사업책임자[CSO])

---

끝으로, 구성서 상무는 “자동차 보안은 추상적 개념이 아니라 위협에 대한 현실적인 대응”이라며, 세 가지 구체적 시나리오와 함께 자동차 보안의 중요성을 피력했다. 그는 “핸들이 의도와 다르게 움직이거나 브레이크가 반응하지 않으면 안전 문제, 차량 내에서만 쓴 카드·계정이 외부에서 사용되면 개인정보 문제, 원격 취약성으로 차량이 도난 당하면 즉각적인 재산 피해로 이어진다”고 말했다.

이어 “CSMS로 ‘관찰·대응·복구’ 체계를 운영하고, SGW 같은 제어기로 차량 내부 면역을 키우는 운영을 지금부터 시작해야 한다”며 “보안 인증서 한 장으로 끝나는 시대는 이미 지났다. 차량이 도로 위에 존재하는 한 보안도 계속 굴러가야 한다”고 강조했다.

<출처: 바이라인네트워크 (자동차 보안 의무화 시대, 페스카로가 ‘올인원 보안’ 전략을 내세우는 이유 – 바이라인네트워크)>

---

김제나 페스카로 변리사

미래 모빌리티 소프트웨어 솔루션 전문기업 페스카로(FESCARO)가 글로벌 지식재산권(IP, Intellectual Property rights) 경쟁력을 강화하기 위해 15년 경력의 김제나 변리사를 영입했다고 28일 밝혔다.

김 변리사는 삼성전자, 네이버, HD현대 등 대기업은 물론 수많은 기술 스타트업의 특허 전략을 이끈 IP 전문가다. 2017년 3인 규모의 페스카로와 첫 특허 명세서를 작성하며 인연을 맺은 이후, 외부 대리인으로서 페스카로의 특허 업무를 전담했다. 8년간의 협업 끝에 지난해 7월, 안정적인 특허법인 파트너 변리사에서 페스카로 사내 변리사로 합류하는 결정을 내렸다.

김 변리사는 “100명 규모로 성장한 지금도 대표가 직접 모든 특허를 챙길 만큼 IP를 중시하는 경영 철학이 인상 깊었다”며 “지속 가능한 성장의 핵심이 IP에 있다고 판단했고, 8년간 지켜본 독자적인 기술력과 잠재력을 믿고 합류했다”고 밝혔다.

합류 이후 김 변리사는 페스카로의 기술 보호 전략을 수립하고 IP 관리체계를 확립했다. 특히 직무발명보상제도를 도입해 임직원의 발명을 보호·장려한 결과, 지난 6월 특허청과 한국발명진흥회로부터 '직무발명 보상 우수기업' 인증서를 획득했다. 인증 기업은 특허·실용신안·디자인 우선 심사와 등록료 추가 감면, 특허청 등 정부 지원 사업의 우대 가점 등 다양한 혜택을 받을 수 있다.

올해 하반기 기술특례상장을 앞둔 페스카로는 기술 및 제품 로드맵과 연계된 IP '해자(Moat)'를 통해 경쟁우위를 강화하겠다는 전략을 내세웠다. 김 변리사는 단기적으로는 핵심 기술 아이디어의 신속한 권리화를 통해 특허 포트폴리오를 확장하고, 사업 성과와 직결되는 고부가가치 특허를 확보할 계획이다. 또한, 장기적으로는 신사업 진출을 위한 핵심 특허와 해외 특허 포트폴리오를 선제적으로 구축하여 IP 자산의 수익화를 추진할 방침이다.

페스카로는 '차량 통합보안플랫폼'기업이다. 부품 단위의 보안솔루션 공급을 넘어 차량 전체 시스템과 생애주기를 아우르는 보안플랫폼을 제공한다. 최근 글로벌 자동차 사이버보안 협의체 '오토아이삭(Auto-ISAC)'의 이노베이터(Innovator) 파트너로 선정되며 사이버보안 기술력을 입증한 바 있다.

<출처: 전자신문 (페스카로, 기술특허 전략가 김제나 변리사 영입… 독자 기술로 글로벌 경쟁력 강화)>