시청자 여러분 안녕하십니까? <파워인터뷰 화제인> 엄수빈입니다. 최근 자동차 산업의 패러다임이 하드웨어에서 소프트웨어 중심으로 전환됨에 따라 차량에 탑재된 블루투스, 인포테인먼트, 디지털 키 등 다양한 연결 기능은 편의성을 높이는 동시에 사이버 공격에 취약하다는 불안감도 높아지고 있는데요. 자동차의 사이버 보안은 자동차 품질을 결정하는 새로운 기준으로 주목받고 있습니다.

​

오늘 <파워인터뷰 화제인>에서는 모빌리티 혁신을 선도하는 차량 통합 보안 플랫폼 전문기업 페스카로의 홍석민 대표를 모시고 자세한 이야기 나눠보도록 하겠습니다.

​

- 바쁘신 가운데 출연해주셔서 감사합니다. 시청자들을 위해 페스카로가 어떤 곳인지 소개 부탁드립니다.

​

▶ 안녕하세요? 자동차 사이버 보안 전문 전문기업 페스카로 대표 홍석민입니다. 저희 페스카로는 2016년 자동차 차량용 제어기 소프트웨어 개발자와 화이트해커 출신 보안 연구원들이 모여서 설립한 자동차 사이버 보안 전문기업입니다. 저희는 자동차 전체 보안을 위한 보안 솔루션 모두를) 독자 개발해 왔으며, 실제 차량 통합 환경에서 양산, 검증뿐만 아니라, 글로벌 인증까지 획득한 검증된 기술력을 보유하고 있습니다. 저희 페스카로의 가장 큰 차별성은 산업 밸류체인 내에서 단일 기술을 공급하는 보안 솔루션 벤더에 머무르지 않는다는 점입니다. 차량 전체 보안 아키텍처(Architecture)를 설계부터 구현, 그리고 운영까지 모두 가능한 통합 보안 플랫폼 기업으로서 고객에게 새로운 차원의 혁신적인 가치를 제공하고 있습니다.

​

- 사실은 차량 보안이라는 거 자체가 아직은 좀 생소한 개념인 것 같은데요. 차량용 보안 솔루션의 개념과 필요한 이유에 대해 좀 더 알기 쉽게 설명 부탁드립니다.

​

▶ 네. 자동차 사이버 보안 산업은 대표적인 규제 기반 시장입니다. 2022년 유럽, 일본을 시작으로 25년 한국, 26년 중국, 27년 인도 등 전 세계적으로 사이버 보안 규제가 확대 시행되고 있습니다. 사이버 보안 규제의 직접적인 대상은 완성차 제작사입니다. 그러나 실제 보안 기술은 자동차에 탑재되는 전장 부품에 적용되고 있기 때문에 부품 제조사들 역시 사실상 간접적인 규제 대상입니다. 결국, 제작사는 사이버 보안 인증을 획득하지 못한다면 해당 차량은 시장에서 판매 자체가 불가능한 것이다. 라고 이해하시면 될 것 같습니다. 많은 분들이 차량 보안이라고 하면, 전장 부품에 백신과 같은 소프트웨어 보안 기술을 적용하는 것만 생각하시는데, 사이버 보안 규제는 그렇게 단순한 방식으로 충족될 수 없습니다. 차량, 시스템, 부품 각 수준에서 체계적인 위협 분석과 위험도 기반 평가를 수행하고 이를 통해 어떤 보안 목표를 달성해야 하는지 명확하게 정의해야 합니다. 그리고 그 보안 목표를 달성하기 위해 보안 솔루션을 적용하고 검증하며 보안 위험이 합리적인 수준으로 충분히 낮아졌는지를 확인하는 과정이 개발 단계에서 양산 이후 운영 단계까지 지속적으로 관리 운영 되어야 합니다. 이러한 전반적인 체계를 통틀어 차량용 사이버 보안 솔루션이라고 보시면 될 것 같습니다.

​

- 자동차 전장 시스템 개발자와 화이트해커의 만남으로 설립 초기부터 많은 주목을 받은 거로 알고 있습니다. 페스카로의 시작은 어땠는지 궁금합니다.

​

▶ 페스카로의 시작은 제 개인적인 문제의식에서 시작됐습니다. 2012년 창업하기 전에 회사에 재직하면서 국내 최초로 차량용 제어기를 대상으로 한 보안 원천기술 개발업무를 담당했었습니다. 기존 레퍼런스가 전혀 없는 제로베이스 상태에서 보안 기술을 독자 개발하였고, 약 3년의 기간 동안 개발 끝에 실제 자동차에 양산 적용까지 완료하였습니다. 다만, 그 과정에서 한 가지 한계점을 분명히 느꼈습니다. 저는 소프트웨어 개발자로서 보안 기술을 구현하는 것은 가능했지만, 실제 해커의 공격 관점에서 이 기술이 과연 얼마나 유효한지에 대해서 확신하기는 좀 어려웠던 것 같습니다. 즉, 보안 기능은 구현했지만, 실제 공격이 얼마나 잘 막을 수 있는지 스스로 검증하는 데 한계가 있었다. 이렇게 보시면 될 것 같고요. 이러한 문제의식을 계기로 회사를 나와 화이트해커 양성 프로그램을 거쳐서 공격자 관점에서 해킹 기술을 본격적으로 이해하게 되었습니다. 그 과정에서 암호 알고리즘 중심의 이론적인 보안 기술과 실제 해커의 공격기법을 효과적으로 방어하는 실질적인 보안 기술 사이에는 분명한 차이가 있다는 점을 깨닫게 됐습니다. 이러한 경험을 바탕으로 전장 시스템 개발자의 시각과 화이트해커의 공격 관점을 결합한 실효성 있는 차량용 보안 기술을 만들고자 창업을 결심하게 되었습니다. 페스카로라는 이름 역시 공격 관점 기반의 차량용 임베디드 보안에 집중하겠다. 라는 철학에서 출발된 이름입니다.

​

- 2016년 설립 후 지금까지 페스카로가 만들어낸 성과 중 대표적인 성과는 어떤 것들이 있는지 설명 부탁드립니다.

​

▶ 2016년 설립 이후 페스카로의 가장 대표적인 성과를 한 가지 말씀드리자면, 2023년도에 저희가 독자 개발한 보안 솔루션만으로 유럽 자동차 사이버 보안 규제 관련 4대 인증을 모두 획득한 것입니다. CSMS(사이버보안 관리체계, Cybersecurity Management System), SUMS (소프트웨어 업데이트 관리체계, Software Update Management System) VTA (형식승인, Vehicle Type Approval), ISO/SAE 21434 (자동차 사이버보안 엔지니어링 국제표준)까지 이른바, 그랜드 슬램을 모두 달성하였습니다. 이 인증을 계기로 실제 양산 적용에서도 의미 있는 성과들을 이어갈 수 있었습니다. 현재까지 저희 페스카로의 보안 솔루션은 18개 자동차 제작사의 33개 차종들, 그리고 45개 부품사들의 213개 제어기 양산 프로젝트, 그리고 8개 반도체 회사들의 56종 반도체 대상에 실제 양산 적용이 되었습니다. 앞서 말씀드린 것처럼, 자동차 산업은 검증된 양산 레퍼런스 없이는 공급 자체가 어려운 진입장벽이 높은 매우 높은 시장입니다. 이 시장에서 기술 신뢰성을 확보하는 가장 중요한 기준은 바로 실제 양산에 적용된 경험이 얼마나 많이 있는가. 이 부분입니다. 그런 측면에서 저희 페스카로는 차량 수준, 그리고 제어기 수준, 그리고 반도체 수준까지 자동차 사이버 보안 전 영역에서 검증된 양산 레퍼런스를 확보한 기업이다. 라고 말씀드릴 수 있을 것 같습니다.

​

- 전 세계적으로 자동차 사이버 보안에 대한 규제가 강화되고 있다고 들었습니다. 우리나라는 현재 어느 단계라고 보면 될까요?

​

▶ 우리나라는 현재 자동차 사이버 보안 규제가 본격적으로 제도화 단계에 진입한 상황이라고 보시면 됩니다. 기존 자동차 관리법에 사이버 보안과 소프트웨어 업데이트 관리에 대한 내용이 새롭게 포함되었고, 2025년 8월부터는 신차를 대상으로 한 규제가 이미 시행되었습니다. 또한, 2027년 8월부터는 기존에 판매되고 있는 양산 차량까지 규제 적용 범위가 확대될 예정입니다. 규제 내용 측면에서도 유럽의 UN Regulation 155와 156을 기반으로 글로벌 규제 흐름과 상당 부분 호환성을 갖추고 있습니다. 다만, 국가별 자동차 인증 방식의 차이로 인해 일부 절차적 차이가 존재하고, 또 국내 규제가 비교적 최신에 도입된 만큼 일부 항목은 오히려, 좀 더 구체적이고 좀 더 강화된 부분이 있습니다. 중요한 점은 자동차 사이버 보안 규제가 한 번 인증을 받고 끝나는 단발성 규제가 아니라, 차량의 개발부터 양산, 판매 이후 운영 단계까지 지속적으로 관리하고 개선해야 하는 규제라는 점입니다. 이러한 특성 때문에 단기적인 제도 도입을 넘어 향후 관련 산업과 시장은 지속적으로 확대될 것으로 보고 있습니다.

​

​

- 이번에는 페스카로의 주요 사업 현황에 대해 본격적으로 알아보겠습니다. 페스카로가 진행 중인 주요 사업에 대해 분야별로 설명 부탁드립니다.

​

▶ 페스카로의 사업은 크게 사이버 보안과 전장 제어기 두 가지 축으로 구성되어 있습니다.

두 사업은 분리된 영역이 아니라, 사이버 보안 규제에 대응 과정에서 자연스럽게 연결되고 확장된 구조입니다. 좀 더 설명드리자면, 먼저 사이버 보안 사업은 제작사와 부품사를 대상으로 한 규제 대응 컨설팅과 인증, 그리고 화이트해커 기반의 위협 분석, 위험도 평가 및 모의 해킹, 그리고 차량용 반도체에 적용되는 소프트웨어 보안 솔루션, 그리고 보안 엔지니어링 자동화와 보안 관제 관련 IT 인프라 솔루션을 중심으로 전개되고 있습니다. 이와 함께 규제 대응의 핵심 요소인 보안 게이트웨이 제어기도 직접 개발, 양산하고 있습니다. 이 과정에서 실제 양산 환경의 제어기 개발과 이런 공급 과정에서 필요한 생산과 품질 관리 역량, 그리고 제작사의 Tier1 자격조건 등을 자연스럽게 확보하게 되었습니다. 현재는 이러한 역량을 기반으로 바디 컨트롤 통합 제어기, 그리고 정션 박스, 전력 분배 관리 제어기, SDV 환경을 고려한 도메인 제어기 등으로 전장 제어기 사업을 단계적으로 확장하고 있습니다. 정리하면, 페스카로의 전장 사업은 새로운 영역의 도전이 아니라, 사이버 보안 규제 대응을 통해 축적된 전장 역량을 기반으로 가장 자연스럽게 확장이 된 부분이다. 라고 말씀드릴 수 있을 것 같습니다.

​

- 현재 페스카로의 보안 솔루션이 적용되는 곳은 어디인지, 또 사용자들의 리뷰는 어떤지도 함께 이야기해주시면 좋을 것 같습니다.

​

▶ 자동차 산업에서 보안 솔루션은 일반적으로 부품사의 전장 제어기에 통합되어 완성차에 공급되는 구조입니다. 페스카로 역시 이러한 산업 구조 속에서 보안 솔루션을 공급하고 있습니다. 현재 페스카로의 보안 솔루션은 전 세계에 18개 자동차 제작사의 33개 양산 차종들에 실제 적용되고 있습니다. 또한, 현재 월평균 약 40여 개의 양산 프로젝트들이 지속적으로 수행되고 있으며, 고객사별 재계약률은 약 82% 수준으로 매우 높은 편입니다. 이는 단순한 기술 도입을 넘어 양산 환경과 규제 대응 관점에서 실질적인 신뢰를 확보하고 있다. 이렇게 보여주는 지표라고 보시면 될 것 같습니다.

​

- 최근 자동차 전장 제어기 개발사인 모트랩을 인수하셨다고 들었습니다. 모트랩이 어떤 회사인지, 또 앞으로 기대효과도 함께 설명 부탁드립니다.

​

▶ 최근 저희 페스카로가 인수한 모트랩은 2013년도에 설립된 전장 제어기 전문 개발 회사로 특히, 전기차를 중심으로 한 전력 제어 분야에 강점을 가진 회사입니다. 모트랩은 전기차용 고전압 전원 분배 제어기, DC-DC 컨버터 제어기, 스마트 정션 박스 제어기, 완속 충전용 제어기 등과 같이 전력 흐름과 안전이 중요한 제어기 영역에서 이미 양산 검증이 완료된 핵심 기술과 레퍼런스를 보유하고 있습니다. 이번 인수를 통해 페스카로는 기존에 강점을 가지고 있던 사이버 보안 기술과 규제 대응 역량에 더해 모트랩의 전력 제어 기술, 그리고 페스카로가 이미 보유한 생산 인프라, 품질 관리 체계, Tier 1 자격을 결합할 수 있게 되었습니다. 이를 바탕으로 향후에는 보안이 내재화된 전장 제어기를 중심으로 전장 사업에서 보다 경쟁력 있는 협업과 사업 확장을 기대하고 있습니다.

​

- 경기 불황 속에도 페스카로는 최근 5년간 흑자 경영을 쭉 이어오고 계신데 비결이 무엇인지 궁금합니다.

​

▶ 페스카로가 최근 5년간 흑자 경영을 이어갈 수 있었던 이유는 대표적으로 두 가지가 있을 것 같습니다. 먼저 첫 번째는, 자동차 사이버 보안 시장을 기술 경쟁 시장이 아니라, 규제 대응 시장으로 바라봤기 때문입니다. 자동차 사이버 보안은 차량의 부가가치를 높이기 위해 선택사항이 아니라, 규제를 충족하지 못하면 차량 판매 자체가 불가능해지는 필수 비용영역이기 때문입니다. 그래서 저희는 처음부터 보안 기술 그 자체를 과시하는 쪽으로 지향하기보다는 제작사, 그리고 부품사가 지금 당장 반드시 해결해야 하는 규제 대응 문제에 집중을 하였습니다. 두 번째 이유는 단순히 보안 솔루션을 공급하는 솔루션 벤더 포지션의 회사를 지향하는 것이 아니라, 제작사와 부품사의 규제 대응 업무를 실질적으로 줄여줄 수 있는 파트너로서 역할을 정의했다는 점입니다. 무엇을 해야 하는지 정의하고 인증과 양산, 그리고 운영 전 과정을 통해 협업하는 구조를 확보하려고 노력을 해왔습니다. 이러한 접근 덕분에 저희가 POC 검증이나 아니면, 단발성 프로젝트에 머무르지 않고 실제 양산과 지속적인 재계약으로 이어지는 안정적인 사업 구조를 구축할 수 있었습니다. 그 결과, 앞서 서두에 말씀드렸던 것처럼 5년 동안 꾸준한 흑자 경영을 유지하면서 성장을 해왔다. 라고 볼 수 있을 것 같습니다.

​

- 앞으로 자동차 보안 솔루션 시장의 경쟁은 더욱 치열해질 것 같은데요. 시장에서 우위를 점하기 위한 페스카로만의 차별화 전략은 무엇인가요?

​

▶ 자동차 산업의 공급망 구조를 보면 대부분의 기업들은 완성차, 제작사가 정의한 요구사항을 기반으로 어떻게 구현할 것인가. 즉, 구현 중심의 역할을 수행하고 있습니다. 하지만 자동차 사이버 보안 규제의 대응 관점에서는 단순한 구현보다도 무엇이 규제 리스크인지, 어디까지 대응해야 인증이 가능한지를 정의하는 역할이 훨씬 중요할 수 있습니다. 이 영역은 전통적으로 자동차 제작사의 역할이지만 실제 현장에서는 제작사의 부담이 매우 큰 부담이기도 합니다. 페스카로의 차별화 전략은 제작사 관점에서 무엇을 해야 하는지 즉, ‘What’을 함께 정의할 수 있는 0.5 티어 포지션에 있습니다. 저희는 규제 요구사항을 해석하고 대응 범위를 설정하며, 이를 개발, 양산, 운영까지 일관되게 연결하고 있습니다. 물론, ‘How’ 즉, 기술 구현 역시 직접 수행합니다만, 저희 페스카로의 진짜 강점은 기술제공을 넘어 문제 정의부터 실행까지 함께 협업할 수 있는 파트너라는 점입니다. 앞으로 시장 경쟁이 치열해질수록 단순한 솔루션 공급사보다는 제작사의 규제의 대응 부담을 실질적으로 줄여줄 수 있는 기업의 가치가 더 커질 것이라고 저희는 생각하고 있습니다.

​

​

- 이번에는 페스카로의 중장기 로드맵과 글로벌 전략에 대해 알아보겠습니다. 앞으로 페스카로가 추진하게 될 중장기 로드맵에 대해 설명 부탁드립니다.

​

▶ 사이버 보안 사업 분야에서는 자동차 사이버 보안에서 축적한 역량을 새로운 규제 시장으로 확장하는 것에 있습니다. 2024년 10월 유럽에서 Cyber Resilience Act, CRA라고 하는 규제 법안이 채택되었고 2027년 12월부터 본격적으로 시행될 예정입니다. CRA 규제는 소프트웨어를 포함하고 네트워크와 연결된 모든 제품을 대상으로 하고 있는 굉장히 광범위한 규제입니다. 여기에는 농업용 트랙터, 그리고 건설기계, 로봇, 드론 등 적용 범위가 매우 넓은 편입니다. 특히, 제품 중심의 사이버 보안 규제라는 점에서 기존 자동차 사이버 보안 규제와 구조적으로 유사하기 때문에 저희 페스카로는 자동차 산업에서 기존에 확보한 기술과 규제 대응 자산을 기반으로 CRA 규제 대응 사업으로 영역을 확장하고 있습니다. 최근 저희 기사에서도 소개가 되었던 게 저희는 지금 농업 분야에 무인 이동체에 관련된 로봇에 이 CRA 규제 대응을 위한 프로젝트를 진행을 하고 있는 상황입니다. 여기서 자동차 산업에서 적용되어 있던 부분들을 계속해서 재활용하는 부분도 있고 그리고 자동차 이후에 시행된 규제다 보니까, 조금 더 제품 사이버 보안에 대해 요구하는 부분들이 많이 있는 부분도 있습니다. 그래서 그런 부분들은 이 로봇에 대한 부분에, 환경에 맞춰서 좀 더 추가적으로 연구개발, 그리고 상용화 준비도 하고 있는 상황입니다. 그리고 두 번째 전장 제어기 사업 분야에서는 생산 인프라를 2026년 내에 확보하고 자회사인 모트랩과의 협업을 통해 전장 제어기 품목의 다각화를 하여 양산 규모를 단계적으로 확대할 계획입니다. 이를 통해 전장 사업에서도 안정적이면서 확장 가능한 성장 기반을 구축해나갈 계획입니다.

​

- 세계 시장 진출도 추진 중이라고 알고 있습니다. 세계 시장을 도약하기 위해 어떤 전략을 갖고 계시는지 알려주시죠.

​

▶ 페스카로의 글로벌 시장 진출 전략의 핵심은 바로 프로젝트 증가에 따라 인력과 비용이 비례적으로 증가하지 않는 제품 중심의 스케일업 구조를 구축하는 것입니다. 해외 시장에서는 프로젝트 수주가 증가함에 따라 현지 인력을 단순히 채용하는 늘리는 방식으로는 지속적인 대응과 확장이 어려운 상황입니다. 그래서 저희 페스카로는 기존에 사람 중심으로 규제를 대응하는 방식에서 IT 기반의 디지털 전환 솔루션을 통해 IT 시스템을 통해 규제 대응 업무를 사람이 아닌, IT 시스템 베이스로 효율화시키는 이러한 구조를 구축하였습니다. 이 구조를 통해 제작사와 다수의 부품사들이 동시에 참여하는 복잡한 환경에서도 확장성 있게 대응이 가능해졌고 실제로 과거 인력 기반으로 수행했던 것 대비해서 규제 대응 업무 생산성이 약 10배 이상 향상되는 성과를 거두었습니다. 이러한 기반을 바탕으로 페스카로는 해외 시장에서도 효율성과 확장성을 갖춘 방식으로 글로벌 성장을 지속적으로 추진해나갈 계획입니다.

​

- 2026년이 시작됐습니다. 올해 안에 꼭 이루고 싶은 목표가 있다면 무엇인지 궁금합니다.

​

▶ 2026년 올해 저희 페스카로가 가장 중요하게 보고 있는 목표는 사이버 보안 규제 대응 업무를 디지털로 전환하는 규제 대응 IT 솔루션, 이 제품을 사업 확장의 핵심 플랫폼으로 자리 잡게 하는 것입니다. 규제 대응 IT 솔루션은 단순한 단일 솔루션이 아니라 고객이 규제 대응 업무를 수행하는 과정에서 지속적으로 그리고 편리하게 사용할 수 있도록 설계된 첨병 역할의 제품입니다. 제작사 전용 버전은 이미 2025년도에 1차 버전이 출시가 완료됐고, 2026년 상반기에는 부품사 전용 버전 출시를 앞두고 있습니다. 올해는 이 규제 대응 IT 솔루션을 통해 고객 접점을 지속적으로 확보하고 이 플랫폼을 중심으로 저희 페스카로의 다양한 보안 솔루션과 서비스들이 자연스럽게 연계, 확장되는 크로스셀링 효과가 실제 실적으로 이어질 수 있도록 입증하는 데 집중할 계획입니다. 아울러, 글로벌 시장에서도 개별국에 현지 파트너사를 발굴하여 제품 중심의 글로벌 판매구조를 구축하고 규제 대응 IT 솔루션을 기반으로 한 해외 사업 확장도 본격적으로 추진할 예정입니다.

​

- 마지막으로, 페스카로의 리더로서 포부 한 말씀 부탁드립니다.

​

▶ 페스카로 대표로서 가장 중요하게 생각해온 것은 바로 기술의 완성도를 기본으로 갖추되, 그 기술이 실제 산업현장에서 얼마나 실질적인 가치를 창출하느냐. 이 부분이었던 것 같습니다. 자동차 사이버 보안은 고도의 기술이 요구되는 기술 분야이긴 하지만, 기술 자체만으로 기술 대응이 완성되지 않습니다. 저 역시 엔지니어로서 현장을 경험해왔기 때문에 아무리 기술적으로 뛰어난 보안이라 하더라도 현실적인 개발, 인증, 운영 과정에서 부담을 줄여주지 못한다면 고객에게는 또 다른 숙제를 만들어준다는 점을 너무 잘 알고 있습니다. 그래서 페스카로는 기술의 완성도를 전제로 실제 규제 대응 과정에서 발생하는 복잡한 업무와 부담을 실질적으로 줄여줄 수 있는 보안과 시스템을 구축하는 데 집중해 왔습니다. 이러한 접근이 고객과의 신뢰를 만들었고 지속적인 협업과 확장으로 이어질 수 있다고 생각하고 있습니다.

앞으로 페스카로는 고객과 함께 지속적으로 성장하는 파트너로서 신뢰를 기반으로 빠르게 성장하는 글로벌 기업을 목표로 하고 있습니다. 규제가 확대되고 시장이 커질수록 페스카로의 역할과 책임도 함께 커질 것이라고 생각하며, 그 중심에서 산업의 변화를 주도하는 기업으로 성장해나가고 싶습니다.

​

자동차 사이버 보안부터 SDV에 이르기까지 미래의 자동차가 요구하는 소프트웨어 솔루션에 필요한 모든 역량을 보유한 기업 페스카로에 대해 알아봤습니다. 모빌리티 혁신에 앞장서는 페스카로가 사이버 보안 사업은 물론, 전장 제어기 분야에서도 손꼽히는 기업으로 성장하길 응원하며 세계적 기업으로 비상할 미래를 기대하겠습니다. 오늘 함께 해주신 홍석민 대표님 고맙습니다.

​

​

<출처: MTN뉴스 ([파워인터뷰 화제人] 홍석민 페스카로 대표 “모빌리티 혁신을 선도하는 자동차 사이버 보안 전문기업”)>

엔드투엔드 솔루션 경쟁력...설계·구현·운영 일괄 공급

올해 목표 300억원

​

자동차 사이버 보안은 '기술 시장'이라기보다 '규제 시장'에 가깝다. 규제 대상은 완성차지만, 실제 취약점은 전장품 소프트웨어에서 발생한다. 미인증 차는 판매도 어렵다. 완성차가 책임지되, 부품사도 간접 규제 대상이 되는 셈이다.

​

이러한 생태계에서 보안 솔루션 업체는 통상 서드파티다. 완성차가 차량 수준의 보안 아키텍처와 요구사항을 정의하면, 서드파티는 그 요구사항을 구현하는 데 초점을 맞춰 부품사에 통합돼 납품하는 구조다.

​

페스카로는 이 구조와 다른 포지셔닝을 얘기한다. 자사를 완성차와 부품사에 위치한 '0.5 티어'로 규정하고, 차량 전체 보안 아키텍처 설계부터, 구현, 운영까지 통합한 솔루션을 일괄 공급할 수 있다는 것이다. 이를 통해 완성차는 벤더 조합 부담을 줄이고, 페스카로는 일부 프로젝트에 한해 완성차에 직접 공급할 수 있다는 주장이다.

​

홍석민 페스카로 대표는 23일 디일렉 인터뷰에서 "자동차 사이버 보안은 백신처럼 솔루션 하나를 적용했다고 끝나는 게 아니"라며 "규제 대응을 위해 엔지니어링 전 과정의 증적 자료를 체계적으로 만들고 관리하는 일이 더 큰 비중을 차지한다"고 말했다.

​

그는 "차량 한 대가 인증을 받을 때 2000건이 넘는 문서가 제출돼야 한다"며 "전체를 100으로 보면 기술적 방어는 30 정도이고, 나머지 70은 증적과 라이프사이클 관리에 가깝다"고 설명했다. 결국 보안 솔루션 업체에 완성차가 바라는 수요는 규제 대응 비용을 얼마나 덜어주느냐로 수렴한다는 게 페스카로의 문제의식이다.

​

이런 관점에서 홍 대표는 자사 솔루션을 '딥테크'가 아니라 '굿테크'라고 표현했다. 자동차 사이버 보안의 가치는 성능이 아니라 규제 대응 부담을 얼마나 줄이느냐로 평가된다는 판단에서다.

​

페스카로는 그 해법으로 '엔드투엔드'를 내세웠다. 전장부품 보안솔루션으로 차량의 전자제어장치(ECU)를 보호하고, 차량통신 보안솔루션으로 차량 내부 통신 전반을 보호·관리한다. 여기에 웹 기반 규제 대응 IT솔루션을 더해 보안 엔지니어링 전 과정을 관리한다는 설명이다. 한 회사가 설계부터 운영까지 묶어 지원하면 완성차의 규제 대응 비용을 낮출 수 있다는 것이다.

​

지난해 페스카로의 연 매출은 약 166억원이다. 외연 확장을 위해 지난해 12월 전장 전문기업 '모트랩'을 인수했고, 지난 1월에는 농업용 트랙터·스마트팩토리 제어기 업체 'GLINS'에 지분 투자했다. 홍석민 대표는 "올해는 300억 매출을 목표로 사업을 추진하고 있다"며 "목표 달성을 위해 저 포함 모든 구성원이 열심히 움직이고 있다"고 말했다.

​

-페스카로는 어떤 회사인가.

​

"페스카로는 2016년 설립한 자동차 사이버 보안 전문 기업이다. 자동차 전장 제어기(전자식 제어기, ECU)를 개발하는 개발자 그룹과 화이트해커 출신 보안 전문가 그룹이 함께 창업했다. 자동차 분야에 집중해 원천 기술을 준비해 왔고, 규제 시행 시점과 맞물리면서 기술을 제품화해 양산·사업화까지 진행해 온 회사다"

​

-자동차에 왜 사이버 보안이 필요한가.

​

"자동차 사이버 보안은 IT와 달리 규제 시장이다. 인증을 받지 못하면 차를 판매할 수 없다. 규제의 직접 대상은 완성차(제작사)다. 다만 사이버 보안 이슈는 소프트웨어 취약점에서 유발되고, 자동차에서 소프트웨어가 탑재되는 부분은 전장품(전자식 제어기 등)이다. 그래서 완성차가 직접 규제를 받지만, 전장품을 담당하는 부품사도 간접적으로 규제 대상이 된다."

​

-구체적으로 어떤 규제가 적용되나.

​

"유럽을 기준으로 크게 두 가지 요구사항이 있다. 첫째, 제작사가 사이버 보안 관련 조직과 절차를 갖춰야 한다는 '관리 체계' 인증이다. 둘째, 제작사가 신차를 개발·생산·출시할 때, 그 관리 체계를 준수해 개발했는지에 대한 증적 자료를 갖춰 신차별로 인증을 받는 절차다."

​

-한국만의 규제가 아니라 글로벌 규제인가.

​

"자동차는 사이버 보안 외에도 제동·자율주행·조향·에어백 등 많은 요소 기술이 규제로 구성된 규제 산업이다. 규제는 유럽의 유엔 유럽경제위원회(UNECE)에서 전 세계 표준처럼 먼저 만들어지고, 한국을 포함한 여러 국가가 멤버로 참여한다. 유럽에서 최초 규제가 진행되면 1~2년 텀을 두고 각국으로 확대되는 흐름이다. 사이버 보안도 유럽에서 2022년 7월 신차, 2024년 7월 양산차에 적용됐고, 국내는 2025년 8월 신차, 2027년 8월 양산차로 적용이 이어진다. 유럽·일본·한국·중국·인도 등 대부분 국가에서 규제화되고 있다."

​

-실제 해킹 사례가 있나.

​

"보안 패치로 해결된 사례를 기준으로 보면 스마트키 악용 차량 절도 사례가 대표적이다. 유럽에서는 스마트키를 현관문 근처에 두는 경우가 많아 2인 1조가 릴레이 장비를 활용해 RF 신호를 중계하고 차량 문을 열고 시동을 걸어 도난하는 방식이 있었다.

​

또 스마트폰 기반 디지털 키의 인증 토큰을 탈취해 인가되지 않은 사람이 차를 열고 시동을 켜는 시도도 있다. 자율주행 기능이 들어오면서 주행 중 원격 공격으로 조향·제동에 영향을 주려는 사례도 발견됐고, 많은 부분은 패치가 진행된 상태다."

​

-도난 외에 더 큰 리스크도 있나.

​

"주행 중에는 제동이나 조향 반응 속도가 1초만 지연돼도 심각한 인명 피해로 이어질 수 있다. 악의적 해커 공격뿐 아니라 내부자, 또는 일반 사용자에 의한 불법 튜닝도 문제 요인이 될 수 있다. 제작사는 내구성·배기가스 규제·승차감 등을 고려해 출력 등을 캘리브레이션해 세팅한다. 일부 사용자가 캘리브레이션 데이터를 불법 튜닝해 성능을 높이면, 제작사가 보증하는 조건과 달라지고 엔진·변속기 파손 등 문제가 생길 수 있다. 이후 튜닝 제어기를 빼고 순정 제어기를 다시 끼운 뒤 보증을 악용하려는 사례도 발생할 수 있다."

​

-페스카로는 어떤 보안 시스템을 제공하나.

​

"많은 사람들이 자동차 보안은 ECU마다 임베디드되는 '백신' 같은 솔루션이 핵심이라고 생각하지만, 그 비중이 생각보다 높지 않다. 자동차 사이버 보안은 규제 시장이어서, 기술적 보안 솔루션뿐 아니라 인증 대응을 위한 증적 자료가 핵심이다.

​

차량 레벨에서 통신 인터페이스와 위협을 식별하고, 위협의 공격 가능성과 영향도를 고려해 리스크를 평가한다. 리스크 우선순위를 정하고 보완 조치를 한 뒤 기존 기능 영향 여부와 위협 완화 여부를 검증해 증적을 쌓는다. 이 전 과정의 증적 자료를 인증 심사에 제출해야 한다. 차량 한 대가 인증을 받을 때 2000건이 넘는 문서가 제출돼야 한다."

​

-완성차는 사이버 보안을 어떻게 바라보나.

​

"사이버 보안 기술이 고도화된다고 해서 차 가격이 올라가거나 차가 더 팔리는 것은 아니다. 반면 인증을 못 받으면 차를 팔 수 없다. 제작사들은 사이버 보안 규제를 지속적으로 발생하는 비용으로 인식하는 경향이 있다. 그래서 제작사의 니즈는 매년 기하급수적으로 증가하는 규제 대응 비용을 얼마나 효과적으로 절감하고 유지·관리할 수 있느냐에 모인다."

​

-딥테크가 아니라 굿테크라고 한 이유는 무엇인가.

​

"모든 기술 스타트업이 딥테크는 아니다. 페스카로는 기술이 부족해서가 아니라, 시장 특성상 제작사의 니즈를 효과적으로 해소하는 방향이 더 맞다고 판단했다. 자동차 사이버 보안은 B2B이고, 하드웨어(ECU)의 컴퓨팅 파워 등 제작사 상황에 종속적이다. 기술을 고도화한다고 해서 사업과 제작사 니즈가 직선으로 맞물리는 구조가 아니다. 그래서 제작사의 부담을 줄이는 굿테크라는 표현을 썼다."

​

-페스카로의 제품 포트폴리오는 무엇인가.

​

"첫째, 개별 전장 제어기에 임베디드되는 소프트웨어 형태의 보안 솔루션(백신과 유사한 개념)이다. 둘째, 제어기와 센서·액추에이터 간 통신을 보호하는 네트워크 보안 기술을 제어기 형태로 구현한 보안 게이트웨이 제품이다. 셋째, 규제 대응 증적 자료를 라이프사이클 관점에서 관리할 수 있는 웹 기반 IT 솔루션이다."

​

-차량 보안 솔루션은 업데이트를 어떻게 하나.

​

"ECU에 임베디드되는 보안 솔루션의 업데이트 주기는 일반 IT처럼 빈번하지 않다. 자동차에서 가장 중요한 건 본연의 기능이고, 보안 적용이 기존 기능에 영향을 주면 안 된다. 업데이트를 하면 변경 사항이 기존 기능에 영향을 미치지 않는지 영향도 평가와 회귀 테스트 등 검증을 다시 수행해야 한다. 시간이 많이 들고 비용도 커서, 필드에서 보안 침해 사고가 나오지 않는 이상 업데이트가 쉽지는 않다. 다만 실시간 비정상 메시지를 탐지하는 IDS 계열 기술은 룰셋 기반이라, 고도화된 패턴이 나오면 룰셋 업데이트는 상대적으로 더 빈번하게 이뤄질 수 있다."

​

-업데이트는 정비소에서만 가능한가.

​

"온라인·오프라인 모두 가능하다. 무선 펌웨어 업데이트(OTA)를 지원하는 차량은 주차 시 업데이트 안내가 뜨고 사용자가 동의하면 차량이 업데이트 모드로 전환돼 진행될 수 있다. OTA 미지원 차량은 정비소에서 유선 업데이트를 한다."

​

-그렇다면 최신 공격 기법이 나와도 대응이 늦어지는 것 아닌가.

​

"보안 사고가 발생하면 대응은 빠르게 한다. 다만 업데이트·배포는 절차상 무겁다. 보안 회사가 패치를 만들어도 자체 검증을 거친 뒤, 부품사가 통합·검증하고, 완성차가 변경 사항이 기존 기능이나 규제에 영향이 없는지 확인해야 한다. 변경 사항이 있으면 재인증 또는 익스텐션도 필요하다. 이런 절차를 모두 거쳐야 업데이트가 이뤄진다."

​

-규제에서 특히 중요하게 보는 공격 유형이 있나.

​

"해커가 적은 노력으로 큰 효과를 내는 취약점이 원데이(이미 공개돼 패치가 존재하는 취약점)다. 자동차도 오픈소스를 많이 쓰는데, 오픈소스에서 패치가 나온 시점과 실제 차량에 반영되는 시점은 일치하지 않는다. 제작사마다 최소 3개월에서 길게는 1년까지 시차가 생길 수 있다. 해커는 패치 공개를 모니터링하다가 공격 코드 생성 도구 등을 활용해 시차 구간을 노릴 수 있다. 그래서 규제는 모든 취약점을 원천 제거하기보다, 최대한 방어하되 문제가 생겼을 때 빨리 발견하고 후속 피해 범위를 최소화하는 관리 체계를 갖추는 데 더 무게를 둔다."

​

-페스카로는 완성차에 직접 납품하나. 해외도 하는가.

​

"사이버 보안 솔루션은 밸류체인상 서드파티에 속해 완성차 직납 사례는 드물고, 보통 부품사에 통합돼 부품사를 통해 완성차에 공급된다. 페스카로도 글로벌 제작사에 직접 공급하는 프로젝트가 일부 있고, 국내 유수 부품사를 통해 다양한 제작사에 공급되는 구조도 있다."

​

-실적은 어떤가.

​

"2021년부터 5년 연속 매출 성장과 흑자 경영을 유지하고 있다. 2025년은 결산을 빠르게 진행해 매출 166억원을 달성했고 영업이익도 계속 만들며 성장 중이다."

​

-2026년 목표는.

​

"2026년은 매출 300억원을 목표로 사업 계획을 세우고 추진 중이다. 목표 달성을 위해 대표를 포함한 구성원이 움직이고 있다."

​

-M&A 계획은 있나.

​

"2025년 12월 모트랩을 약 8개월 설득해 인수했다. 2026년 1월에는 농업용 트랙터·스마트팩토리 제어기 업체인 GLINS에 지분 투자 형태로 협업 체계를 구축했다. 인수는 아니고 지분 투자로 협업 구조를 만든 사례다."

​

-페스카로의 차별점은 무엇인가.

​

"일반적인 자동차 사이버 보안 회사는 서드파티 솔루션 벤더로, 구현 중심으로 역할을 수행한다. 완성차는 차량 수준 보안 아키텍처를 설계하고 이해관계자별 요구 사항을 정의한 뒤 여러 벤더를 모아 대응하는 구조다. 이 경우 완성차 입장에서는 10여 개 벤더가 필요할 수 있다.

​

페스카로는 사이버 보안 A부터 Z까지 솔루션을 갖춰 엔드투엔드 공급이 가능하다는 점을 강점으로 내세운다. 페스카로는 서드파티가 아니라 완성차와 티어1 사이에서 양쪽과 함께 일한다는 의미로 '0.5티어'를 포지셔닝했다. 또한 완성차가 아니라도 차량 수준 보안 아키텍처와 요구사항 정의 역할을 수행할 수 있어 제작사의 급증하는 부담을 줄여줄 수 있는 플랫폼 회사라는 주장이다."

​

-사이버 보안 규제가 사업 확장에 어떤 영향을 줬나.

​

"자동차 산업은 폐쇄적이고 신생 기업이 양산 밸류체인에 들어가 티어1이 되는 경우가 흔치 않다. 하지만 사이버 보안 규제가 일종의 진입 틈을 만들었고, 페스카로는 보안 기술로 진입했다. 이후 사이버 보안을 더 효과적으로 달성한다는 목적에서 보안 게이트웨이(제어기) 등 전장 영역으로 확장된 측면이 있다."

​

<출처: 디일렉 ([Y인사이트] 페스카로 "우린 0.5티어"...완성차 규제시장 조준)>

시청자 여러분 안녕하십니까? <파워인터뷰 화제인> 엄수빈입니다. 최근 자동차 산업의 패러다임이 하드웨어에서 소프트웨어 중심으로 전환됨에 따라 차량에 탑재된 블루투스, 인포테인먼트, 디지털 키 등 다양한 연결 기능은 편의성을 높이는 동시에 사이버 공격에 취약하다는 불안감도 높아지고 있는데요. 자동차의 사이버 보안은 자동차 품질을 결정하는 새로운 기준으로 주목받고 있습니다.

​

오늘 <파워인터뷰 화제인>에서는 모빌리티 혁신을 선도하는 차량 통합 보안 플랫폼 전문기업 페스카로의 홍석민 대표를 모시고 자세한 이야기 나눠보도록 하겠습니다.

​

- 바쁘신 가운데 출연해주셔서 감사합니다. 시청자들을 위해 페스카로가 어떤 곳인지 소개 부탁드립니다.

​

▶ 안녕하세요? 자동차 사이버 보안 전문 전문기업 페스카로 대표 홍석민입니다. 저희 페스카로는 2016년 자동차 차량용 제어기 소프트웨어 개발자와 화이트해커 출신 보안 연구원들이 모여서 설립한 자동차 사이버 보안 전문기업입니다. 저희는 자동차 전체 보안을 위한 보안 솔루션 모두를) 독자 개발해 왔으며, 실제 차량 통합 환경에서 양산, 검증뿐만 아니라, 글로벌 인증까지 획득한 검증된 기술력을 보유하고 있습니다. 저희 페스카로의 가장 큰 차별성은 산업 밸류체인 내에서 단일 기술을 공급하는 보안 솔루션 벤더에 머무르지 않는다는 점입니다. 차량 전체 보안 아키텍처(Architecture)를 설계부터 구현, 그리고 운영까지 모두 가능한 통합 보안 플랫폼 기업으로서 고객에게 새로운 차원의 혁신적인 가치를 제공하고 있습니다.

​

- 사실은 차량 보안이라는 거 자체가 아직은 좀 생소한 개념인 것 같은데요. 차량용 보안 솔루션의 개념과 필요한 이유에 대해 좀 더 알기 쉽게 설명 부탁드립니다.

​

▶ 네. 자동차 사이버 보안 산업은 대표적인 규제 기반 시장입니다. 2022년 유럽, 일본을 시작으로 25년 한국, 26년 중국, 27년 인도 등 전 세계적으로 사이버 보안 규제가 확대 시행되고 있습니다. 사이버 보안 규제의 직접적인 대상은 현대차, KG 모빌리티와 같은 완성차 자동차 제작사입니다. 그러나 실제 보안 기술은 자동차에 탑재되는 전장 부품에 적용되고 있기 때문에 부품 제조사들 역시 사실상 간접적인 규제 대상입니다. 결국, 제작사는 사이버 보안 인증을 획득하지 못한다면 해당 차량은 시장에서 판매 자체가 불가능한 것이다. 라고 이해하시면 될 것 같습니다. 많은 분들이 차량 보안이라고 하면, 전장 부품에 백신과 같은 소프트웨어 보안 기술을 적용하는 것만 생각하시는데, 사이버 보안 규제는 그렇게 단순한 방식으로 충족될 수 없습니다. 차량, 시스템, 부품 각 수준에서 체계적인 위협 분석과 위험도 기반 평가를 수행하고 이를 통해 어떤 보안 목표를 달성해야 하는지 명확하게 정의해야 합니다. 그리고 그 보안 목표를 달성하기 위해 보안 솔루션을 적용하고 검증하며 보안 위험이 합리적인 수준으로 충분히 낮아졌는지를 확인하는 과정이 개발 단계에서 양산 이후 운영 단계까지 지속적으로 관리 운영 되어야 합니다. 이러한 전반적인 체계를 통틀어 차량용 사이버 보안 솔루션이라고 보시면 될 것 같습니다.

​

- 자동차 전장 시스템 개발자와 화이트해커의 만남으로 설립 초기부터 많은 주목을 받은 거로 알고 있습니다. 페스카로의 시작은 어땠는지 궁금합니다.

​

▶ 페스카로의 시작은 제 개인적인 문제의식에서 시작됐습니다. 2012년 창업하기 전에 회사에 재직하면서 국내 최초로 차량용 제어기를 대상으로 한 보안 원천기술 개발업무를 담당했었습니다. 기존 레퍼런스가 전혀 없는 제로베이스 상태에서 보안 기술을 독자 개발하였고, 약 3년의 기간 동안 개발 끝에 실제 자동차에 양산 적용까지 완료하였습니다. 다만, 그 과정에서 한 가지 한계점을 분명히 느꼈습니다. 저는 소프트웨어 개발자로서 보안 기술을 구현하는 것은 가능했지만, 실제 해커의 공격 관점에서 이 기술이 과연 얼마나 유효한지에 대해서 확신하기는 좀 어려웠던 것 같습니다. 즉, 보안 기능은 구현했지만, 실제 공격이 얼마나 잘 막을 수 있는지 스스로 검증하는 데 한계가 있었다. 이렇게 보시면 될 것 같고요. 이러한 문제의식을 계기로 회사를 나와 화이트해커 양성 프로그램을 거쳐서 공격자 관점에서 해킹 기술을 본격적으로 이해하게 되었습니다. 그 과정에서 암호 알고리즘 중심의 이론적인 보안 기술과 실제 해커의 공격기법을 효과적으로 방어하는 실질적인 보안 기술 사이에는 분명한 차이가 있다는 점을 깨닫게 됐습니다. 이러한 경험을 바탕으로 전장 시스템 개발자의 시각과 화이트해커의 공격 관점을 결합한 실효성 있는 차량용 보안 기술을 만들고자 창업을 결심하게 되었습니다. 페스카로라는 이름 역시 공격 관점 기반의 차량용 임베디드 보안에 집중하겠다. 라는 철학에서 출발된 이름입니다.

​

- 2016년 설립 후 지금까지 페스카로가 만들어낸 성과 중 대표적인 성과는 어떤 것들이 있는지 설명 부탁드립니다.

​

▶ 2016년 설립 이후 페스카로의 가장 대표적인 성과를 한 가지 말씀드리자면, 2023년도에 저희가 독자 개발한 보안 솔루션만으로 유럽 자동차 사이버 보안 규제 관련 4대 인증을 모두 획득한 것입니다. CSMS(사이버보안 관리체계, Cybersecurity Management System), SUMS (소프트웨어 업데이트 관리체계, Software Update Management System) VTA (형식승인, Vehicle Type Approval), ISO/SAE 21434 (자동차 사이버보안 엔지니어링 국제표준)까지 이른바, 그랜드 슬램을 모두 달성하였습니다. 이 인증을 계기로 실제 양산 적용에서도 의미 있는 성과들을 이어갈 수 있었습니다. 현재까지 저희 페스카로의 보안 솔루션은 18개 자동차 제작사의 33개 차종들, 그리고 45개 부품사들의 213개 제어기 양산 프로젝트, 그리고 8개 반도체 회사들의 56종 반도체 대상에 실제 양산 적용이 되었습니다. 앞서 말씀드린 것처럼, 자동차 산업은 검증된 양산 레퍼런스 없이는 공급 자체가 어려운 진입장벽이 높은 매우 높은 시장입니다. 이 시장에서 기술 신뢰성을 확보하는 가장 중요한 기준은 바로 실제 양산에 적용된 경험이 얼마나 많이 있는가. 이 부분입니다. 그런 측면에서 저희 페스카로는 차량 수준, 그리고 제어기 수준, 그리고 반도체 수준까지 자동차 사이버 보안 전 영역에서 검증된 양산 레퍼런스를 확보한 기업이다. 라고 말씀드릴 수 있을 것 같습니다.

​

- 전 세계적으로 자동차 사이버 보안에 대한 규제가 강화되고 있다고 들었습니다. 우리나라는 현재 어느 단계라고 보면 될까요?

​

▶ 우리나라는 현재 자동차 사이버 보안 규제가 본격적으로 제도화 단계에 진입한 상황이라고 보시면 됩니다. 기존 자동차 관리법에 사이버 보안과 소프트웨어 업데이트 관리에 대한 내용이 새롭게 포함되었고, 2025년 8월부터는 신차를 대상으로 한 규제가 이미 시행되었습니다. 또한, 2027년 8월부터는 기존에 판매되고 있는 양산 차량까지 규제 적용 범위가 확대될 예정입니다. 규제 내용 측면에서도 유럽의 UN Regulation 155와 156을 기반으로 글로벌 규제 흐름과 상당 부분 호환성을 갖추고 있습니다. 다만, 국가별 자동차 인증 방식의 차이로 인해 일부 절차적 차이가 존재하고, 또 국내 규제가 비교적 최신에 도입된 만큼 일부 항목은 오히려, 좀 더 구체적이고 좀 더 강화된 부분이 있습니다. 중요한 점은 자동차 사이버 보안 규제가 한 번 인증을 받고 끝나는 단발성 규제가 아니라, 차량의 개발부터 양산, 판매 이후 운영 단계까지 지속적으로 관리하고 개선해야 하는 규제라는 점입니다. 이러한 특성 때문에 단기적인 제도 도입을 넘어 향후 관련 산업과 시장은 지속적으로 확대될 것으로 보고 있습니다.

​

​

- 이번에는 페스카로의 주요 사업 현황에 대해 본격적으로 알아보겠습니다. 페스카로가 진행 중인 주요 사업에 대해 분야별로 설명 부탁드립니다.

​

▶ 페스카로의 사업은 크게 사이버 보안과 전장 제어기 두 가지 축으로 구성되어 있습니다.

두 사업은 분리된 영역이 아니라, 사이버 보안 규제에 대응 과정에서 자연스럽게 연결되고 확장된 구조입니다. 좀 더 설명드리자면, 먼저 사이버 보안 사업은 제작사와 부품사를 대상으로 한 규제 대응 컨설팅과 인증, 그리고 화이트해커 기반의 위협 분석, 위험도 평가 및 모의 해킹, 그리고 차량용 반도체에 적용되는 소프트웨어 보안 솔루션, 그리고 보안 엔지니어링 자동화와 보안 관제 관련 IT 인프라 솔루션을 중심으로 전개되고 있습니다. 이와 함께 규제 대응의 핵심 요소인 보안 게이트웨이 제어기도 직접 개발, 양산하고 있습니다. 이 과정에서 실제 양산 환경의 제어기 개발과 이런 공급 과정에서 필요한 생산과 품질 관리 역량, 그리고 제작사의 Tier1 자격조건 등을 자연스럽게 확보하게 되었습니다. 현재는 이러한 역량을 기반으로 바디 컨트롤 통합 제어기, 그리고 정션 박스, 전력 분배 관리 제어기, SDV 환경을 고려한 도메인 제어기 등으로 전장 제어기 사업을 단계적으로 확장하고 있습니다. 정리하면, 페스카로의 전장 사업은 새로운 영역의 도전이 아니라, 사이버 보안 규제 대응을 통해 축적된 전장 역량을 기반으로 가장 자연스럽게 확장이 된 부분이다. 라고 말씀드릴 수 있을 것 같습니다.

​

- 현재 페스카로의 보안 솔루션이 적용되는 곳은 어디인지, 또 사용자들의 리뷰는 어떤지도 함께 이야기해주시면 좋을 것 같습니다.

​

▶ 자동차 산업에서 보안 솔루션은 일반적으로 부품사의 전장 제어기에 통합되어 완성차에 공급되는 구조입니다. 페스카로 역시 이러한 산업 구조 속에서 보안 솔루션을 공급하고 있습니다. 현재 페스카로의 보안 솔루션은 전 세계에 18개 자동차 제작사의 33개 양산 차종들에 실제 적용되고 있습니다. 또한, 현재 월평균 약 40여 개의 양산 프로젝트들이 지속적으로 수행되고 있으며, 고객사별 재계약률은 약 82% 수준으로 매우 높은 편입니다. 이는 단순한 기술 도입을 넘어 양산 환경과 규제 대응 관점에서 실질적인 신뢰를 확보하고 있다. 이렇게 보여주는 지표라고 보시면 될 것 같습니다.

​

- 최근 자동차 전장 제어기 개발사인 모트랩을 인수하셨다고 들었습니다. 모트랩이 어떤 회사인지, 또 앞으로 기대효과도 함께 설명 부탁드립니다.

​

▶ 최근 저희 페스카로가 인수한 모트랩은 2013년도에 설립된 전장 제어기 전문 개발 회사로 특히, 전기차를 중심으로 한 전력 제어 분야에 강점을 가진 회사입니다. 모트랩은 전기차용 고전압 전원 분배 제어기, DC-DC 컨버터 제어기, 스마트 정션 박스 제어기, 완속 충전용 제어기 등과 같이 전력 흐름과 안전이 중요한 제어기 영역에서 이미 양산 검증이 완료된 핵심 기술과 레퍼런스를 보유하고 있습니다. 이번 인수를 통해 페스카로는 기존에 강점을 가지고 있던 사이버 보안 기술과 규제 대응 역량에 더해 모트랩의 전력 제어 기술, 그리고 페스카로가 이미 보유한 생산 인프라, 품질 관리 체계, Tier 1 자격을 결합할 수 있게 되었습니다. 이를 바탕으로 향후에는 보안이 내재화된 전장 제어기를 중심으로 전장 사업에서 보다 경쟁력 있는 협업과 사업 확장을 기대하고 있습니다.

​

- 경기 불황 속에도 페스카로는 최근 5년간 흑자 경영을 쭉 이어오고 계신데 비결이 무엇인지 궁금합니다.

​

▶ 페스카로가 최근 5년간 흑자 경영을 이어갈 수 있었던 이유는 대표적으로 두 가지가 있을 것 같습니다. 먼저 첫 번째는, 자동차 사이버 보안 시장을 기술 경쟁 시장이 아니라, 규제 대응 시장으로 바라봤기 때문입니다. 자동차 사이버 보안은 차량의 부가가치를 높이기 위해 선택사항이 아니라, 규제를 충족하지 못하면 차량 판매 자체가 불가능해지는 필수 비용영역이기 때문입니다. 그래서 저희는 처음부터 보안 기술 그 자체를 과시하는 쪽으로 지향하기보다는 제작사, 그리고 부품사가 지금 당장 반드시 해결해야 하는 규제 대응 문제에 집중을 하였습니다. 두 번째 이유는 단순히 보안 솔루션을 공급하는 솔루션 벤더 포지션의 회사를 지향하는 것이 아니라, 제작사와 부품사의 규제 대응 업무를 실질적으로 줄여줄 수 있는 파트너로서 역할을 정의했다는 점입니다. 무엇을 해야 하는지 정의하고 인증과 양산, 그리고 운영 전 과정을 통해 협업하는 구조를 확보하려고 노력을 해왔습니다. 이러한 접근 덕분에 저희가 POC 검증이나 아니면, 단발성 프로젝트에 머무르지 않고 실제 양산과 지속적인 재계약으로 이어지는 안정적인 사업 구조를 구축할 수 있었습니다. 그 결과, 앞서 서두에 말씀드렸던 것처럼 5년 동안 꾸준한 흑자 경영을 유지하면서 성장을 해왔다. 라고 볼 수 있을 것 같습니다.

​

- 앞으로 자동차 보안 솔루션 시장의 경쟁은 더욱 치열해질 것 같은데요. 시장에서 우위를 점하기 위한 페스카로만의 차별화 전략은 무엇인가요?

​

▶ 자동차 산업의 공급망 구조를 보면 대부분의 기업들은 완성차, 제작사가 정의한 요구사항을 기반으로 어떻게 구현할 것인가. 즉, 구현 중심의 역할을 수행하고 있습니다. 하지만 자동차 사이버 보안 규제의 대응 관점에서는 단순한 구현보다도 무엇이 규제 리스크인지, 어디까지 대응해야 인증이 가능한지를 정의하는 역할이 훨씬 중요할 수 있습니다. 이 영역은 전통적으로 자동차 제작사의 역할이지만 실제 현장에서는 제작사의 부담이 매우 큰 부담이기도 합니다. 페스카로의 차별화 전략은 제작사 관점에서 무엇을 해야 하는지 즉, ‘What’을 함께 정의할 수 있는 0.5 티어 포지션에 있습니다. 저희는 규제 요구사항을 해석하고 대응 범위를 설정하며, 이를 개발, 양산, 운영까지 일관되게 연결하고 있습니다. 물론, ‘How’ 즉, 기술 구현 역시 직접 수행합니다만, 저희 페스카로의 진짜 강점은 기술제공을 넘어 문제 정의부터 실행까지 함께 협업할 수 있는 파트너라는 점입니다. 앞으로 시장 경쟁이 치열해질수록 단순한 솔루션 공급사보다는 제작사의 규제의 대응 부담을 실질적으로 줄여줄 수 있는 기업의 가치가 더 커질 것이라고 저희는 생각하고 있습니다.

​

​

- 이번에는 페스카로의 중장기 로드맵과 글로벌 전략에 대해 알아보겠습니다. 앞으로 페스카로가 추진하게 될 중장기 로드맵에 대해 설명 부탁드립니다.

​

▶ 사이버 보안 사업 분야에서는 자동차 사이버 보안에서 축적한 역량을 새로운 규제 시장으로 확장하는 것에 있습니다. 2024년 10월 유럽에서 Cyber Resilience Act, CRA라고 하는 규제 법안이 채택되었고 2027년 12월부터 본격적으로 시행될 예정입니다. CRA 규제는 소프트웨어를 포함하고 네트워크와 연결된 모든 제품을 대상으로 하고 있는 굉장히 광범위한 규제입니다. 여기에는 농업용 트랙터, 그리고 건설기계, 로봇, 드론 등 적용 범위가 매우 넓은 편입니다. 특히, 제품 중심의 사이버 보안 규제라는 점에서 기존 자동차 사이버 보안 규제와 구조적으로 유사하기 때문에 저희 페스카로는 자동차 산업에서 기존에 확보한 기술과 규제 대응 자산을 기반으로 CRA 규제 대응 사업으로 영역을 확장하고 있습니다. 최근 저희 기사에서도 소개가 되었던 게 저희는 지금 농업 분야에 무인 이동체에 관련된 로봇에 이 CRA 규제 대응을 위한 프로젝트를 진행을 하고 있는 상황입니다. 여기서 자동차 산업에서 적용되어 있던 부분들을 계속해서 재활용하는 부분도 있고 그리고 자동차 이후에 시행된 규제다 보니까, 조금 더 제품 사이버 보안에 대해 요구하는 부분들이 많이 있는 부분도 있습니다. 그래서 그런 부분들은 이 로봇에 대한 부분에, 환경에 맞춰서 좀 더 추가적으로 연구개발, 그리고 상용화 준비도 하고 있는 상황입니다. 그리고 두 번째 전장 제어기 사업 분야에서는 생산 인프라를 2026년 내에 확보하고 자회사인 모트랩과의 협업을 통해 전장 제어기 품목의 다각화를 하여 양산 규모를 단계적으로 확대할 계획입니다. 이를 통해 전장 사업에서도 안정적이면서 확장 가능한 성장 기반을 구축해나갈 계획입니다.

​

- 세계 시장 진출도 추진 중이라고 알고 있습니다. 세계 시장을 도약하기 위해 어떤 전략을 갖고 계시는지 알려주시죠.

​

▶ 페스카로의 글로벌 시장 진출 전략의 핵심은 바로 프로젝트 증가에 따라 인력과 비용이 비례적으로 증가하지 않는 제품 중심의 스케일업 구조를 구축하는 것입니다. 해외 시장에서는 프로젝트 수주가 증가함에 따라 현지 인력을 단순히 채용하는 늘리는 방식으로는 지속적인 대응과 확장이 어려운 상황입니다. 그래서 저희 페스카로는 기존에 사람 중심으로 규제를 대응하는 방식에서 IT 기반의 디지털 전환 솔루션을 통해 IT 시스템을 통해 규제 대응 업무를 사람이 아닌, IT 시스템 베이스로 효율화시키는 이러한 구조를 구축하였습니다. 이 구조를 통해 제작사와 다수의 부품사들이 동시에 참여하는 복잡한 환경에서도 확장성 있게 대응이 가능해졌고 실제로 과거 인력 기반으로 수행했던 것 대비해서 규제 대응 업무 생산성이 약 10배 이상 향상되는 성과를 거두었습니다. 이러한 기반을 바탕으로 페스카로는 해외 시장에서도 효율성과 확장성을 갖춘 방식으로 글로벌 성장을 지속적으로 추진해나갈 계획입니다.

​

- 2026년이 시작됐습니다. 올해 안에 꼭 이루고 싶은 목표가 있다면 무엇인지 궁금합니다.

​

▶ 2026년 올해 저희 페스카로가 가장 중요하게 보고 있는 목표는 사이버 보안 규제 대응 업무를 디지털로 전환하는 규제 대응 IT 솔루션, 이 제품을 사업 확장의 핵심 플랫폼으로 자리 잡게 하는 것입니다. 규제 대응 IT 솔루션은 단순한 단일 솔루션이 아니라 고객이 규제 대응 업무를 수행하는 과정에서 지속적으로 그리고 편리하게 사용할 수 있도록 설계된 첨병 역할의 제품입니다. 제작사 전용 버전은 이미 2025년도에 1차 버전이 출시가 완료됐고, 2026년 상반기에는 부품사 전용 버전 출시를 앞두고 있습니다. 올해는 이 규제 대응 IT 솔루션을 통해 고객 접점을 지속적으로 확보하고 이 플랫폼을 중심으로 저희 페스카로의 다양한 보안 솔루션과 서비스들이 자연스럽게 연계, 확장되는 크로스셀링 효과가 실제 실적으로 이어질 수 있도록 입증하는 데 집중할 계획입니다. 아울러, 글로벌 시장에서도 개별국에 현지 파트너사를 발굴하여 제품 중심의 글로벌 판매구조를 구축하고 규제 대응 IT 솔루션을 기반으로 한 해외 사업 확장도 본격적으로 추진할 예정입니다.

​

- 마지막으로, 페스카로의 리더로서 포부 한 말씀 부탁드립니다.

​

▶ 페스카로 대표로서 가장 중요하게 생각해온 것은 바로 기술의 완성도를 기본으로 갖추되, 그 기술이 실제 산업현장에서 얼마나 실질적인 가치를 창출하느냐. 이 부분이었던 것 같습니다. 자동차 사이버 보안은 고도의 기술이 요구되는 기술 분야이긴 하지만, 기술 자체만으로 기술 대응이 완성되지 않습니다. 저 역시 엔지니어로서 현장을 경험해왔기 때문에 아무리 기술적으로 뛰어난 보안이라 하더라도 현실적인 개발, 인증, 운영 과정에서 부담을 줄여주지 못한다면 고객에게는 또 다른 숙제를 만들어준다는 점을 너무 잘 알고 있습니다. 그래서 페스카로는 기술의 완성도를 전제로 실제 규제 대응 과정에서 발생하는 복잡한 업무와 부담을 실질적으로 줄여줄 수 있는 보안과 시스템을 구축하는 데 집중해 왔습니다. 이러한 접근이 고객과의 신뢰를 만들었고 지속적인 협업과 확장으로 이어질 수 있다고 생각하고 있습니다.

앞으로 페스카로는 고객과 함께 지속적으로 성장하는 파트너로서 신뢰를 기반으로 빠르게 성장하는 글로벌 기업을 목표로 하고 있습니다. 규제가 확대되고 시장이 커질수록 페스카로의 역할과 책임도 함께 커질 것이라고 생각하며, 그 중심에서 산업의 변화를 주도하는 기업으로 성장해나가고 싶습니다.

​

자동차 사이버 보안부터 SDV에 이르기까지 미래의 자동차가 요구하는 소프트웨어 솔루션에 필요한 모든 역량을 보유한 기업 페스카로에 대해 알아봤습니다. 모빌리티 혁신에 앞장서는 페스카로가 사이버 보안 사업은 물론, 전장 제어기 분야에서도 손꼽히는 기업으로 성장하길 응원하며 세계적 기업으로 비상할 미래를 기대하겠습니다. 오늘 함께 해주신 홍석민 대표님 고맙습니다.

​

​

<출처: MTN뉴스 ([파워인터뷰 화제人] 홍석민 페스카로 대표 “모빌리티 혁신을 선도하는 자동차 사이버 보안 전문기업”)>

2026년 1월 페스레터

1월 페스레터에서는 사이버보안 테스트 및 검증을 중심으로 콘텐츠를 구성했습니다. 실무자를 위한 매뉴얼과 리포트, 칼럼 등을 공유합니다.

​

1. [리포트] ISO/SAE 21434 기반 자동차 사이버보안 테스트 및 검증 매뉴얼

2. [리포트] SW공급망보안 현황 및 SBOM 도구 실증 결과보고서

3. [칼럼] 2026 글로벌 사이버보안 전망: AI, 지정학, 사이버복원력의 시대

4. [전시회] Automotive Testing Expo Korea 2026

1. [리포트] ISO/SAE 21434 기반 자동차 사이버보안 테스트 및 검증 매뉴얼

by 한국인터넷진흥원(KISA), 자동차안전연구원(KATRI), 자동차융합기술원(JIAT)

​

제어기 개발사(Tier) 실무자를 위한 자동차 사이버보안 테스트 및 검증 가이드라인을 공유합니다. 차량제작사(OEM) 요구사항과 국내외 사이버보안 규제 대응을 목표로, 보안테스트의 주요 절차와 범위·요구사항 해석·테스트 방법론 등을 확인할 수 있습니다.

[참고] 본 문서는 완성도가 높아 SNS를 통해 활발히 공유되고 있습니다. 사업수행사인 '페스카로'는 프로젝트 경험을 기반으로 보안테스트 및 검증의 실무노하우를 가득 담았습니다. (지난해 2월에 발간된 위협분석 및 위험평가(TARA) 매뉴얼은 여기에서 확인하실 수 있습니다.)

​

2. [리포트] SW공급망보안 현황 및 SBOM 도구 실증 결과보고서

by 한국정보보호산업협회 (KISIA)

​

소프트웨어 의존도가 높아지며 사이버보안 위협은 공급망 전반으로 확산되고 있습니다. 미국, EU 규제에서는 소프트웨어 구성 요소의 체계적인 관리를 위해 SBOM(Software Bill of Materials)을 요구하고 있습니다. 본 문서에서는 SBOM 개념과 동향, 국내외 공급망보안 정책 및 전략을 확인할 수 있습니다.

3. [칼럼] 2026 글로벌 사이버보안 전망: AI, 지정학, 사이버복원력의 시대

by 보안뉴스

​

세계경제포럼(WEF) 산하 사이버보안 센터(Centre for Cybersecurity)가 발간한 연례 보고서 'Global Cybersecurity Outlook 2026'에서는 2026년을 ‘사이버 위험이 가속화되는 해’로 규정했습니다. 사이버보안의 미래를 규정하는 7가지 핵심 축을 확인해 보세요.

​

1. AI: 위험의 재편과 공방의 가속화
   

2. 지정학: 사이버보안의 결정적 변수
   

3. AI 기반 사이버 범죄와 사기의 폭증
   

4. 핵심은 ‘완벽한 방어’가 아니라 ‘사이버 복원력’
   

5. 공급망은 구조적 취약점이 되었다
   

6. 더욱 확대되는 사이버 격차와 불평등
   

7. 보이지 않는 위협: 미래의 공격 벡터
   

​

4. [전시회] Automotive Testing Expo Korea 2026

▶ 2026년 3월 18일(수) ~ 20일(금)

▶ 일산 킨텍스 한국국제전시장 10B홀

​

자동차 부품의 테스트·개발·검증 기술을 한자리에서 확인할 수 있는 '오토모티브 테스팅 엑스포 코리아’가 오는 3월 개최됩니다. ADAS, EV 파워트레인 테스트, 배터리 성능, NVH, 시뮬레이션 등 100개 이상의 산업 솔루션이 전시되며, 4,000명 이상의 업계 전문가와 30명 이상의 연사가 참여해 최신 기술과 인사이트를 공유할 예정입니다.

​

▶ 놓치면 아쉬운 페스카로 인기 콘텐츠를 소개합니다!

​

• [인터뷰] 자동차 사이버보안 규제 본격화...페스카로, 통합보안 플랫폼 공급 - 홍석민 대표
  

• [인터뷰] "車 보안 넘어 로봇·드론까지 공략" - 홍석민 대표
  

• [인터뷰] 페스카로가 ‘올인원 보안’ 전략을 내세우는 이유 - 구성서 상무
  

• [웨비나] 보안솔루션 & KMS 200% 활용 전략
  

• [인터뷰] 사이버보안! 모빌리티 걸림돌 아닌 성장엔진으로 - 홍석민 대표
  

모빌리티 사이버보안 대표기업으로 ‘페스카로’ 초청

차량 통합보안 플랫폼 전문기업 페스카로(FESCARO, 대표 홍석민)가 용인대학교에서 열린 ‘모빌리티, AI, 반도체 첨단기술 보호 전략 콘퍼런스’에서 모빌리티 사이버보안 규제 대응 전략을 발표했다.

​

이번 행사는 산업·연구·정책 연계를 강화하는 지역혁신 사업(RISE)의 일환으로 단국대학교·강남대학교·용인대학교가 공동 주최하고, 경기도·경기도경제과학진흥원·한국산업기술보호협회·보안뉴스가 후원했다. 마이크로소프트, 삼성전자, 서울대학교, 페스카로 등 주요 기업 및 기관이 연사로 참여했으며, 국내외 G7 분야의 CISO(정보보호 최고 책임자) 및 지자체 관계자들이 참석해 첨단기술 보호 전략을 논의했다.

​

페스카로는 모빌리티 사이버보안 분야를 대표하는 기업으로 연사에 초청됐다. SDV(소프트웨어 정의 차량)를 중심으로 차량 기술 환경이 급변하면서, 사이버보안은 기술 신뢰성과 안전을 좌우하는 핵심 요소로 부상하고 있다.

​

발표를 맡은 구성서 페스카로 최고사업책임자(CSO, 상무)는 차량의 연결성과 소프트웨어 비중이 확대되면서, 사이버보안 위협이 개별 시스템을 넘어 차량과 산업 생태계로 확장되고 있음을 짚었다. 이에 따라 UN R155, 한국 자동차관리법, EU 사이버복원력법(CRA) 등 모빌리티 전반에 사이버보안 규제가 본격화되고 있다. 구 상무는 규제 대응을 위해서 차량 생애주기 전반에 계층적 보안(Defense in Depth)을 적용해 보안 설계·운영·모니터링을 유기적으로 연결하는 기술적 대응 체계의 중요성을 강조했다.

​

이어 “모빌리티 기술이 고도화될수록 사이버보안은 일회성 대응이 아닌 지속적인 관리와 운영의 영역”이라며, “결국 사이버보안을 내재화할 수 있는 기업이 중장기 경쟁력을 확보하게 될 것”이라고 강조했다.

​

한편 페스카로는 소프트웨어 중심으로 전환되는 모빌리티 산업과 사이버보안 규제 확산에 대응해 전장부품 보안 솔루션·차량 통신 보안 솔루션·규제 대응 IT 솔루션(CSMS 포털)을 제공하고 있다. 차량 라이프사이클 전반을 아우르는 ‘사이버보안 통합플랫폼’을 기반으로 자동차를 넘어 농기계, 로봇 등 모빌리티 전반으로 사업을 적극 확장 중이다. 이를 토대로 2025년 매출 166억 원을 달성하며 기술 경쟁력과 재무적 안정성을 동시에 갖춘 기업으로 평가받고 있다.

​

<출처: 디일렉 (페스카로, “SDV 시대, 사이버보안은 경쟁력” 첨단기술 보호 전략 콘퍼런스서 전략 제시)>

엔드투엔드 솔루션 경쟁력...설계·구현·운영 일괄 공급

올해 목표 300억원

​

자동차 사이버 보안은 '기술 시장'이라기보다 '규제 시장'에 가깝다. 규제 대상은 완성차지만, 실제 취약점은 전장품 소프트웨어에서 발생한다. 미인증 차는 판매도 어렵다. 완성차가 책임지되, 부품사도 간접 규제 대상이 되는 셈이다.

​

이러한 생태계에서 보안 솔루션 업체는 통상 서드파티다. 완성차가 차량 수준의 보안 아키텍처와 요구사항을 정의하면, 서드파티는 그 요구사항을 구현하는 데 초점을 맞춰 부품사에 통합돼 납품하는 구조다.

​

페스카로는 이 구조와 다른 포지셔닝을 얘기한다. 자사를 완성차와 부품사에 위치한 '0.5 티어'로 규정하고, 차량 전체 보안 아키텍처 설계부터, 구현, 운영까지 통합한 솔루션을 일괄 공급할 수 있다는 것이다. 이를 통해 완성차는 벤더 조합 부담을 줄이고, 페스카로는 일부 프로젝트에 한해 완성차에 직접 공급할 수 있다는 주장이다.

​

홍석민 페스카로 대표는 23일 디일렉 인터뷰에서 "자동차 사이버 보안은 백신처럼 솔루션 하나를 적용했다고 끝나는 게 아니"라며 "규제 대응을 위해 엔지니어링 전 과정의 증적 자료를 체계적으로 만들고 관리하는 일이 더 큰 비중을 차지한다"고 말했다.

​

그는 "차량 한 대가 인증을 받을 때 2000건이 넘는 문서가 제출돼야 한다"며 "전체를 100으로 보면 기술적 방어는 30 정도이고, 나머지 70은 증적과 라이프사이클 관리에 가깝다"고 설명했다. 결국 보안 솔루션 업체에 완성차가 바라는 수요는 규제 대응 비용을 얼마나 덜어주느냐로 수렴한다는 게 페스카로의 문제의식이다.

​

이런 관점에서 홍 대표는 자사 솔루션을 '딥테크'가 아니라 '굿테크'라고 표현했다. 자동차 사이버 보안의 가치는 성능이 아니라 규제 대응 부담을 얼마나 줄이느냐로 평가된다는 판단에서다.

​

페스카로는 그 해법으로 '엔드투엔드'를 내세웠다. 전장부품 보안솔루션으로 차량의 전자제어장치(ECU)를 보호하고, 차량통신 보안솔루션으로 차량 내부 통신 전반을 보호·관리한다. 여기에 웹 기반 규제 대응 IT솔루션을 더해 보안 엔지니어링 전 과정을 관리한다는 설명이다. 한 회사가 설계부터 운영까지 묶어 지원하면 완성차의 규제 대응 비용을 낮출 수 있다는 것이다.

​

지난해 페스카로의 연 매출은 약 166억원이다. 외연 확장을 위해 지난해 12월 전장 전문기업 '모트랩'을 인수했고, 지난 1월에는 농업용 트랙터·스마트팩토리 제어기 업체 'GLINS'에 지분 투자했다. 홍석민 대표는 "올해는 300억 매출을 목표로 사업을 추진하고 있다"며 "목표 달성을 위해 저 포함 모든 구성원이 열심히 움직이고 있다"고 말했다.

​

-페스카로는 어떤 회사인가.

​

"페스카로는 2016년 설립한 자동차 사이버 보안 전문 기업이다. 자동차 전장 제어기(전자식 제어기, ECU)를 개발하는 개발자 그룹과 화이트해커 출신 보안 전문가 그룹이 함께 창업했다. 자동차 분야에 집중해 원천 기술을 준비해 왔고, 규제 시행 시점과 맞물리면서 기술을 제품화해 양산·사업화까지 진행해 온 회사다"

​

-자동차에 왜 사이버 보안이 필요한가.

​

"자동차 사이버 보안은 IT와 달리 규제 시장이다. 인증을 받지 못하면 차를 판매할 수 없다. 규제의 직접 대상은 완성차(제작사)다. 다만 사이버 보안 이슈는 소프트웨어 취약점에서 유발되고, 자동차에서 소프트웨어가 탑재되는 부분은 전장품(전자식 제어기 등)이다. 그래서 완성차가 직접 규제를 받지만, 전장품을 담당하는 부품사도 간접적으로 규제 대상이 된다."

​

-구체적으로 어떤 규제가 적용되나.

​

"유럽을 기준으로 크게 두 가지 요구사항이 있다. 첫째, 제작사가 사이버 보안 관련 조직과 절차를 갖춰야 한다는 '관리 체계' 인증이다. 둘째, 제작사가 신차를 개발·생산·출시할 때, 그 관리 체계를 준수해 개발했는지에 대한 증적 자료를 갖춰 신차별로 인증을 받는 절차다."

​

-한국만의 규제가 아니라 글로벌 규제인가.

​

"자동차는 사이버 보안 외에도 제동·자율주행·조향·에어백 등 많은 요소 기술이 규제로 구성된 규제 산업이다. 규제는 유럽의 유엔 유럽경제위원회(UNECE)에서 전 세계 표준처럼 먼저 만들어지고, 한국을 포함한 여러 국가가 멤버로 참여한다. 유럽에서 최초 규제가 진행되면 1~2년 텀을 두고 각국으로 확대되는 흐름이다. 사이버 보안도 유럽에서 2022년 7월 신차, 2024년 7월 양산차에 적용됐고, 국내는 2025년 8월 신차, 2027년 8월 양산차로 적용이 이어진다. 유럽·일본·한국·중국·인도 등 대부분 국가에서 규제화되고 있다."

​

-실제 해킹 사례가 있나.

​

"보안 패치로 해결된 사례를 기준으로 보면 스마트키 악용 차량 절도 사례가 대표적이다. 유럽에서는 스마트키를 현관문 근처에 두는 경우가 많아 2인 1조가 릴레이 장비를 활용해 RF 신호를 중계하고 차량 문을 열고 시동을 걸어 도난하는 방식이 있었다.

​

또 스마트폰 기반 디지털 키의 인증 토큰을 탈취해 인가되지 않은 사람이 차를 열고 시동을 켜는 시도도 있다. 자율주행 기능이 들어오면서 주행 중 원격 공격으로 조향·제동에 영향을 주려는 사례도 발견됐고, 많은 부분은 패치가 진행된 상태다."

​

-도난 외에 더 큰 리스크도 있나.

​

"주행 중에는 제동이나 조향 반응 속도가 1초만 지연돼도 심각한 인명 피해로 이어질 수 있다. 악의적 해커 공격뿐 아니라 내부자, 또는 일반 사용자에 의한 불법 튜닝도 문제 요인이 될 수 있다. 제작사는 내구성·배기가스 규제·승차감 등을 고려해 출력 등을 캘리브레이션해 세팅한다. 일부 사용자가 캘리브레이션 데이터를 불법 튜닝해 성능을 높이면, 제작사가 보증하는 조건과 달라지고 엔진·변속기 파손 등 문제가 생길 수 있다. 이후 튜닝 제어기를 빼고 순정 제어기를 다시 끼운 뒤 보증을 악용하려는 사례도 발생할 수 있다."

​

-페스카로는 어떤 보안 시스템을 제공하나.

​

"많은 사람들이 자동차 보안은 ECU마다 임베디드되는 '백신' 같은 솔루션이 핵심이라고 생각하지만, 그 비중이 생각보다 높지 않다. 자동차 사이버 보안은 규제 시장이어서, 기술적 보안 솔루션뿐 아니라 인증 대응을 위한 증적 자료가 핵심이다.

​

차량 레벨에서 통신 인터페이스와 위협을 식별하고, 위협의 공격 가능성과 영향도를 고려해 리스크를 평가한다. 리스크 우선순위를 정하고 보완 조치를 한 뒤 기존 기능 영향 여부와 위협 완화 여부를 검증해 증적을 쌓는다. 이 전 과정의 증적 자료를 인증 심사에 제출해야 한다. 차량 한 대가 인증을 받을 때 2000건이 넘는 문서가 제출돼야 한다."

​

-완성차는 사이버 보안을 어떻게 바라보나.

​

"사이버 보안 기술이 고도화된다고 해서 차 가격이 올라가거나 차가 더 팔리는 것은 아니다. 반면 인증을 못 받으면 차를 팔 수 없다. 제작사들은 사이버 보안 규제를 지속적으로 발생하는 비용으로 인식하는 경향이 있다. 그래서 제작사의 니즈는 매년 기하급수적으로 증가하는 규제 대응 비용을 얼마나 효과적으로 절감하고 유지·관리할 수 있느냐에 모인다."

​

-딥테크가 아니라 굿테크라고 한 이유는 무엇인가.

​

"모든 기술 스타트업이 딥테크는 아니다. 페스카로는 기술이 부족해서가 아니라, 시장 특성상 제작사의 니즈를 효과적으로 해소하는 방향이 더 맞다고 판단했다. 자동차 사이버 보안은 B2B이고, 하드웨어(ECU)의 컴퓨팅 파워 등 제작사 상황에 종속적이다. 기술을 고도화한다고 해서 사업과 제작사 니즈가 직선으로 맞물리는 구조가 아니다. 그래서 제작사의 부담을 줄이는 굿테크라는 표현을 썼다."

​

-페스카로의 제품 포트폴리오는 무엇인가.

​

"첫째, 개별 전장 제어기에 임베디드되는 소프트웨어 형태의 보안 솔루션(백신과 유사한 개념)이다. 둘째, 제어기와 센서·액추에이터 간 통신을 보호하는 네트워크 보안 기술을 제어기 형태로 구현한 보안 게이트웨이 제품이다. 셋째, 규제 대응 증적 자료를 라이프사이클 관점에서 관리할 수 있는 웹 기반 IT 솔루션이다."

​

-차량 보안 솔루션은 업데이트를 어떻게 하나.

​

"ECU에 임베디드되는 보안 솔루션의 업데이트 주기는 일반 IT처럼 빈번하지 않다. 자동차에서 가장 중요한 건 본연의 기능이고, 보안 적용이 기존 기능에 영향을 주면 안 된다. 업데이트를 하면 변경 사항이 기존 기능에 영향을 미치지 않는지 영향도 평가와 회귀 테스트 등 검증을 다시 수행해야 한다. 시간이 많이 들고 비용도 커서, 필드에서 보안 침해 사고가 나오지 않는 이상 업데이트가 쉽지는 않다. 다만 실시간 비정상 메시지를 탐지하는 IDS 계열 기술은 룰셋 기반이라, 고도화된 패턴이 나오면 룰셋 업데이트는 상대적으로 더 빈번하게 이뤄질 수 있다."

​

-업데이트는 정비소에서만 가능한가.

​

"온라인·오프라인 모두 가능하다. 무선 펌웨어 업데이트(OTA)를 지원하는 차량은 주차 시 업데이트 안내가 뜨고 사용자가 동의하면 차량이 업데이트 모드로 전환돼 진행될 수 있다. OTA 미지원 차량은 정비소에서 유선 업데이트를 한다."

​

-그렇다면 최신 공격 기법이 나와도 대응이 늦어지는 것 아닌가.

​

"보안 사고가 발생하면 대응은 빠르게 한다. 다만 업데이트·배포는 절차상 무겁다. 보안 회사가 패치를 만들어도 자체 검증을 거친 뒤, 부품사가 통합·검증하고, 완성차가 변경 사항이 기존 기능이나 규제에 영향이 없는지 확인해야 한다. 변경 사항이 있으면 재인증 또는 익스텐션도 필요하다. 이런 절차를 모두 거쳐야 업데이트가 이뤄진다."

​

-규제에서 특히 중요하게 보는 공격 유형이 있나.

​

"해커가 적은 노력으로 큰 효과를 내는 취약점이 원데이(이미 공개돼 패치가 존재하는 취약점)다. 자동차도 오픈소스를 많이 쓰는데, 오픈소스에서 패치가 나온 시점과 실제 차량에 반영되는 시점은 일치하지 않는다. 제작사마다 최소 3개월에서 길게는 1년까지 시차가 생길 수 있다. 해커는 패치 공개를 모니터링하다가 공격 코드 생성 도구 등을 활용해 시차 구간을 노릴 수 있다. 그래서 규제는 모든 취약점을 원천 제거하기보다, 최대한 방어하되 문제가 생겼을 때 빨리 발견하고 후속 피해 범위를 최소화하는 관리 체계를 갖추는 데 더 무게를 둔다."

​

-페스카로는 완성차에 직접 납품하나. 해외도 하는가.

​

"사이버 보안 솔루션은 밸류체인상 서드파티에 속해 완성차 직납 사례는 드물고, 보통 부품사에 통합돼 부품사를 통해 완성차에 공급된다. 페스카로도 글로벌 제작사에 직접 공급하는 프로젝트가 일부 있고, 국내 유수 부품사를 통해 다양한 제작사에 공급되는 구조도 있다."

​

-실적은 어떤가.

​

"2021년부터 5년 연속 매출 성장과 흑자 경영을 유지하고 있다. 2025년은 결산을 빠르게 진행해 매출 166억원을 달성했고 영업이익도 계속 만들며 성장 중이다."

​

-2026년 목표는.

​

"2026년은 매출 300억원을 목표로 사업 계획을 세우고 추진 중이다. 목표 달성을 위해 대표를 포함한 구성원이 움직이고 있다."

​

-M&A 계획은 있나.

​

"2025년 12월 모트랩을 약 8개월 설득해 인수했다. 2026년 1월에는 농업용 트랙터·스마트팩토리 제어기 업체인 GLINS에 지분 투자 형태로 협업 체계를 구축했다. 인수는 아니고 지분 투자로 협업 구조를 만든 사례다."

​

-페스카로의 차별점은 무엇인가.

​

"일반적인 자동차 사이버 보안 회사는 서드파티 솔루션 벤더로, 구현 중심으로 역할을 수행한다. 완성차는 차량 수준 보안 아키텍처를 설계하고 이해관계자별 요구 사항을 정의한 뒤 여러 벤더를 모아 대응하는 구조다. 이 경우 완성차 입장에서는 10여 개 벤더가 필요할 수 있다.

​

페스카로는 사이버 보안 A부터 Z까지 솔루션을 갖춰 엔드투엔드 공급이 가능하다는 점을 강점으로 내세운다. 페스카로는 서드파티가 아니라 완성차와 티어1 사이에서 양쪽과 함께 일한다는 의미로 '0.5티어'를 포지셔닝했다. 또한 완성차가 아니라도 차량 수준 보안 아키텍처와 요구사항 정의 역할을 수행할 수 있어 제작사의 급증하는 부담을 줄여줄 수 있는 플랫폼 회사라는 주장이다."

​

-사이버 보안 규제가 사업 확장에 어떤 영향을 줬나.

​

"자동차 산업은 폐쇄적이고 신생 기업이 양산 밸류체인에 들어가 티어1이 되는 경우가 흔치 않다. 하지만 사이버 보안 규제가 일종의 진입 틈을 만들었고, 페스카로는 보안 기술로 진입했다. 이후 사이버 보안을 더 효과적으로 달성한다는 목적에서 보안 게이트웨이(제어기) 등 전장 영역으로 확장된 측면이 있다."

​

<출처: 디일렉 ([Y인사이트] 페스카로 "우린 0.5티어"...완성차 규제시장 조준)>