페스카로 실무자 인터뷰 #1 : 전략기획팀 엄선현 팀장 글로벌 대기업을 마다하고 스타트업만 찾는 사람이 있습니다. 도전을 통해 성공사례를 만드는 도파민에 취해(?)있다는 페스카로 전략기획팀 엄선현 팀장님입니다. 엄팀장님은 리브랜딩 프로젝트를 총괄하며, 페스카로의 새 정체성과 방향성을 정립했습니다. 페스카로의 슬로건 ‘핵 더 모빌리티(Hack the Mobility)’의 숨은 창시자, 엄선현 팀장님을 만나보겠습니다. (출처 = 페스카로) 팀장님, 안녕하세요. 첫 번째 게스트로 모시게 되어 정말 기쁩니다. 진솔한 이야기 나누는 시간이 되면 좋겠어요. 간단히 본인 소개와 팀 소개 부탁드립니다.  안녕하세요. 14년차 마케터, 엄선현입니다. 도전 과제가 명확한 곳을 따라 커리어를 만들어 왔습니다. 첫 직장은 유럽의 아날로그 카메라 제조업체 로모그래피(Lomography)로, 수년간의 매출 하향세를 상승 커브로 전환시키며 한국지사를 총괄하게 되었습니다. 코로나 팬데믹 시기에 유학에 대한 수요가 급감했을 때는 주한영국문화원(British Council)에서 B2B2C 마케팅을 담당하며 영국 유학 관심도와 비즈니스 리드를 3배 이상 증가시켰습니다. 저는 도전적인 환경에서 판도를 바꾸는 경험을 추구해 왔습니다. 탑독보다는 언더독의 성공이 더 짜릿하거든요. 페스카로에도 그런 기대를 안고 합류했습니다. 입사 첫날, 대표님과의 티타임에서 페스카로를 ‘자동차 계의 게임 체인저(Game changer)’로 만들자고 이야기했던 기억이 나네요. 팀원들과 회식 날 (출처 = 엄선현 개인소장) 전략기획팀의 업무는 크게 두 가지로 구분됩니다. 현 사업 기회를 극대화하기 위한 국내외 마케팅 커뮤니케이션을 전담하고 있으며, 페스카로의 미래 가치 제고와 새로운 기회 창출을 위한 신사업 및 브랜딩 전략의 구심점 역할도 하고 있습니다. 페스카로에 2년 반 정도 근무하셨는데 커리어상 최장 근무 기록이라고 들었어요. 주변에서 많이 놀라신다고요? 페스카로에서 장기근속(?)이 가능했던 이유가 궁금합니다. 사실입니다. 조금 민망하지만 프로이직러로 유명했습니다. 처음 페스카로에서 제안이 왔을 때는 정중히 사양하려고 했어요. 집에서 왕복 3시간이 걸리고, 환승을 3번이나 하거든요. 페스카로에 혹했던 부분은 미래지향적인 기술이었지만, 입사와 근속을 가능하게 한 결정적 요소는 두 가지였습니다. 우선, 내실이 단단한 게 좋았습니다. 본질이 부실하면 포장하는 사람도 현타가 올 수밖에 없거든요. 페스카로의 실력과 실용주의적 가치관이 마음에 들었습니다. 실제로, 치열한 수주 경쟁에서 고객사 실무진의 선호도가 유독 높은 이유라고 생각합니다. 그리고 경영진의 인품과 가치관도 중요했습니다. 어차피 100% 내 입맛에 맞는 사람은 없으니, 의견 차이를 조율하는 과정이 중요하다고 생각합니다. 경영진이 권위적이지 않고 합리적인 대화가 가능하다는 점이 매우 좋았습니다. 의견이 다를 뿐, 일을 잘 되게 하려는 마음은 같다는 것을 서로 아는 거죠. 이런 부분에서 아직 실망을 하지 않았기 때문에 잘 다니고 있고, 드디어 다음 달에!!!!!! 도보 거리로 이사를 옵니다. 출퇴근에 지친 현재의 나... (출처 = 구글 '출근길 짤') 페스카로를 다니면서 어떤 프로젝트가 가장 기억에 남으셨나요? 기술 콘퍼런스 발표를 기획하고 추진한 것들이 기억나네요. 페스카로의 가장 큰 자산은 실력인데, 눈에 보이지 않는 이 알맹이를 어떻게 시장에 알릴까 많이 고민했습니다. 우리 리더십이 지닌 기술 전문성과 산업에 대한 통찰력, 기존의 문법과는 다른 창의적인 접근으로 만들어낸 기술적 돌파구까지. 페스카로의 사고적 리더십을 각인시킬 방법을 고민했어요. 이전까지는 칼럼과 인터뷰 기사 등을 중심으로 이런 메시지를 전달하며 업계 관계자들과 접점을 확대해왔지만, 이제는 임팩트 있는 ‘한 방’이 필요한 시점이었습니다. 바로, 홍 대표님께서 'Automotive Innovation Day 2024(AID 2024)' 기조연설로 공식 데뷔(?)하게 된 배경이죠.  홍석민 대표님의 기조연설 데뷔 무대 (출처 = 페스카로) 이어서 중국 최대 규모의 자동차 사이버보안 콘퍼런스 ‘오토섹(Autosec)’, 미국 오토아이삭(Auto-ISAC)의 연례 ‘사이버보안 서밋(Cybersecurity Summit)’ 등 글로벌 유수 기술 콘퍼런스를 순회하며 업계 관계자들에게 페스카로의 사고적 리더십을 알리고 있습니다. 누구나 이야기할 수 있는 ‘why’, ‘what’보다는 실제로 우리가 직접 경험한 레슨런, 노하우를 바탕으로 한 ‘how’를 중심으로 다루기 때문에 확실히 실무진의 관심도가 높은 편입니다. AID 기조연설 당시 업계에서 ‘페스카로가 기조연설을?’이라는 반응이 있었다고 들었어요. 대표님도 처음에는 기조연설을 부담스러워하셨다고요? 그럼요. 한 산업에 대한 통찰력을 바탕으로 미래 방향성을 제시하는 역할을 하잖아요. 책임이 가볍지 않죠. 극단적인 예로, 지난 CES 2025(세계 최대 IT ·가전 박람회)에서 엔비디아(NVIDIA)의 CEO 젠슨 황(Jensen Huang)의 기조연설 직후 특정 산업과 기업들의 주가에 희비가 갈리기도 했으니까요. AID는 국내 최대의 첨단 모빌리티 기술 콘퍼런스입니다. 웬만한 자동차 기술 분야 관계자들은 다 만날 수 있죠. 당시 첫 번째 기조연설자가 독일 보쉬(Robert Bosch GmbH)의 부사장인 디르크 슬래마(Dirk Slama)였고, 저희가 두 번째였어요. AID 2024 기조연설자 라인업 (출처 = 페스카로) SDV(소프트웨어 중심 차량)는 아무도 가보지 않은 길이에요. 정해진 답이 없으니 누가 잘하는지 아무도 모르죠. 이제는 업계가 마주한 문제를 기존의 문법이 아닌, 창의적으로 접근해서 해결하는 것이 중요한데, 기조연설을 통해 페스카로의 기술문제해결력을 보여주고 싶었어요. 홍 대표님은 ‘SDV 시대에는 차량뿐만 아니라 일하는 방식 또한 소프트웨어 중심으로 전환해야 한다’는 SDO(Software-Defined Operation, 소프트웨어 중심 운영관리시스템)라는 새로운 접근법을 제시했습니다. 이후 페스카로에 좋은 인상을 받았다는 분들이 많았고, 실제로 더 많은 사업 기회가 열린 것을 체감하고 있습니다. 사실 이때가 페스카로의 AID 첫 참석이었는데, AID에서 자주 봤다고 하시는 분들도 계세요. (ㅋㅋㅋㅋ 임팩트가 강했나봐요.) 인상적이었던 이유에는 리브랜딩도 있었을 것 같아요. 자동차 산업에서 보기 쉽지 않은 톤앤매너 영향도 있었을 것 같고요. 사람은 스스로를 재정비하는 시기가 필요하잖아요. 걸어온 길을 돌아보고, 앞으로 어떻게 살아갈지. 회사도 마찬가지라고 생각합니다. 사업을 하는 본질적인 목적을 돌아보고, 지향점을 설정하고, 더 큰 동력을 얻기 위해 마음이 맞는 사람들을 배에 더 태우는 거죠. 페스카로의 성장에 속도가 붙기 시작한 이때가 정체성을 재정립할 적기라고 판단했습니다. 사실 처음에는 자동차 산업의 보수적인 분위기를 많이 신경 썼습니다. 튀거나 거부감이 들지 않게 하는 것에 초점을 맞췄더니 페스카로만의 개성이 드러나지 않아 아쉬웠어요. 오히려 대표님께서 엄팀장이 ‘진짜 하고 싶은 방향’으로 해보라며 내부 구성원들이 공감할 수 있는 게 우선이라고 힘을 실어 주셨습니다. 덕분에 본질에 집중할 수 있었고, 리브랜딩 방향성이 더욱 선명해졌습니다. 페스카로의 세 가지 핵심가치 (출처 = 페스카로) 페스카로에는 겉포장보다 내실을 중요하게 생각하고, 안되는 이유보다 되게 하는 방법에 집중하는 사람들이 모였으면 했습니다. 자동차 산업은 지금 소프트웨어 중심으로의 패러다임 대전환을 겪고 있어요. 엄청난 진통을 겪고 나면 이 거대한 시장의 판도가 완전히 바뀌겠죠. 앞으로 모빌리티 산업이 마주할 새로운 도전 과제에 대해 창의적인 접근과 실리적인 돌파구를 제시하는 역할이 필요할 겁니다. 바로 이것이 페스카로의 존재 가치이자 지향점입니다. 약 4개월간 임직원들을 괴롭히며 정체성을 재정립했고, 그 중심에 페스카로의 지향점을 의미하는 비전이자 슬로건, ‘핵 더 모빌리티(Hack The Mobility)’가 있습니다. (출처 = 페스카로) ‘핵 더 모빌리티’, 참신하면서도 파격적인 슬로건처럼 느껴지기도 하는데요. 비하인드 스토리가 있다고요? 사실 순탄하지만은 않았습니다. 팀원들과 함께 수십 개의 시안을 개발했지만, 이거다 싶은 게 없었어요. 그러다 대표님이 지나가듯 뱉으신 ‘핵 더 모빌리티’에 꽂혔고, 다른 것은 성에 차지 않았죠. 제가 그리고 있던 페스카로의 새로운 정체성을 관통하는 메시지로 찰떡이었어요. 그렇게 ‘핵 더 모빌리티’가 페스카로의 비전이자 슬로건이 되었습니다. 중간에 반대 의견도 있었어요. ‘Hack(핵)’이 ‘컴퓨터 해킹’과 연관되어 부정적인 인상을 줄 수 있다는 이유였죠. 하지만, 우리에게 생소할 뿐이지 Hack은 ‘창의적인 기술적 문제 해결’의 의미로도 많이 쓰이고 있어요. 유튜브에 Hack을 검색하면 생산성과 효율성을 높이는 팁 영상들이 많이 나와요. 실제로 ‘라이프 핵(Life Hack)’이라는 용어는 옥스포드 사전에도 등재되었습니다. (출처 = 넷플릭스) 마침 이때 제가 즐겨보던 넷플릭스의 ‘핵(Hack) 마이 홈’이라는 리모델링 콘텐츠도 운명적이죠. 기발하고 정교한 공학적 아이디어를 통해 공간 활용을 극대화하는 해법을 제시하거든요. 페스카로가 추구하는 ‘핵(Hack)’의 의미와 가장 근접하다고 볼 수 있습니다. 이런 것들을 내부 관계자들에게 설득하는 과정을 거쳤습니다. 기업의 철학은 결국 의사결정의 기준이 되는 것이기에, 내부 구성원들이 공감하지 못하면 빈 껍데기에 불과하거든요. 페스카로의 로고도 B2B 기업에서 쉽게 보지 못하는 비주얼이에요. 어떤 의미를 담고 있나요? 페스카로 로고 (출처 = 페스카로) ‘핵 더 모빌리티’를 시각화한 거예요. 기존 자동차 산업의 유산을 기반으로 미래 모빌리티 산업에 새 가치를 창조하겠다는 의미를 담고 싶었어요. 기존의 판의 변형(패러다임 전환)을 통해 새로운 판으로 재창조되는 것을 표현했습니다.  심볼 개발 과정 (출처 = 페스카로)어떻게 보면 기존의 틀이 분해되는 것 같기도 하고, 새로운 틀이 맞춰지는 과정 같기도 하죠. 중의적으로 해석되면서도, 담백하게 구현해달라고 디자인 에이전시를 오랫동안 괴롭혔습니다. 실제로 임직원들은 물론 고객사에게도 반응이 좋다고 알고 있어요. 내·외부적인 공감을 얻는 브랜딩 과정도 쉽지 않았을 것 같아요. 2023년 종무식 때 전 직원 앞에서 새 브랜드 아이덴티티를 처음 소개했습니다. 왜 기업 브랜딩이 중요한지 가벼운 퀴즈로 시작해서, 미션 · 비전과 로고 등이 개발된 과정을 심도 있게 소개했어요. 리브랜딩 발표자료 발췌 (출처 = 페스카로) 구색으로만 남지 않고 생명력을 갖기 위해, 브랜딩이 오피스 라이프에 자연스럽게 녹아드는 전략이 필요했습니다. 직원들이 일상에서 사용하는 다양한 오피스 소품에 페스카로의 아이덴티티를 담아서 핵심가치나 비전 등이 자연스럽게 내재화(세뇌)되도록 노력했습니다. (삼성이 파란 피를 만드는 것처럼 페스카로는 주황 피를 만드는 거죠.) 페스카로 2025 달력 (출처 = 페스카로) 그럼 이 대목에서 질문을 드리겠습니다. 페스카로가 진짜 ‘핵 더 모빌리티’한다고 생각하시나요? 물론입니다. 기술 분야에서 혁신이라고 하면 ‘세계 최초 기술!’ 같은 것을 기대하는 경향이 있지만, 저는 실질적인 변화를 가져오는 것 또한 혁신이 될 수 있다고 생각합니다. 그런 관점에서 페스카로는 모빌리티 산업의 당면 과제인 ‘사이버보안 규제’에 대해 혁신적으로 대응해왔죠. 기존 방법론을 적용하는 쉬운 길도 있지만, 고객사 환경과 리소스에 최적화된 엔지니어링 전략을 통해 실리적인 돌파구를 제시해왔습니다. 소프트웨어 기반 가상화 보안솔루션(vHSM), 자동차 산업 최적화 키관리시스템(KMS) 등을 통해 업계 실무진의 고민을 해소하며 품질 제고와 비용 절감 두 마리 토끼를 잡는 다양한 성공 사례를 만들어 냈습니다. 페스카로에서는 새로운 접근법, 집요한 디테일, 해결지향적 마인드를 가진 사람들이 머리를 맞대고 ‘앞으로 이 산업에는 무엇이 필요할까, 우리가 할 수 있는 것은 무엇일까’를 치열하게 고민하고 실제 행동으로 옮깁니다. 그 과정에서 페스카로의 템포가 누군가에게는 조금 빠르게 느껴질 수도 있습니다. 어떤 아이템은 무덤으로 보내지기도, 창고에 갇히기도 하지만, 결실을 맺는 녀석도 있습니다. (나중에 기회가 되면 구글 무덤처럼 페스카로 무덤을 만드는 날도 있지 않을까요?) (출처 = 구글 '오은영 짤') 이 전투에서 살아남아, 현재 막바지 개발 단계에 있는 ‘CSMS 포털(Portal)’이라는 플랫폼은 SDV를 위한 디지털 전환에 필수적인 솔루션이 될 거라고 자부합니다. 게임체인저가 될 수 있을지 지켜봐주세요. 그러면 이제 슬슬 인터뷰를 종료해도 될 것 같은데 마지막 한마디가 있으실까요? 함께 ‘핵 더 모빌리티’하고 싶은 분들은 페스카로로 오세요. SW 개발자 상시 채용 중입니다. ▶ 페스카로 채용공고 확인하기 (출처 = 구글 '플루토 짤')

페스카로는 구성원의 성장과 복지향상에 힘쓰고 있습니다. 빠르게 성장하고 있는 페스카로의 최고 자산은 구성원인 만큼 직원의 DAY / LIFE / SPECIAL DAY까지 모두 책임지고 케어합니다. 페스카로 입사 지원자들은 채용공고에 기재된 다양한 복지제도에 대해, "정말 이 많은 복지를 모두 지원해 주나요?"라고 질문하곤 합니다. 오늘은 이러한 페스카로의 다양한 복지 프로그램을 하나씩 소개해 드리겠습니다. PART1 : 직원의 DAY를 케어합니다 ⦁ 행복한 점심시간 연간 240만 원, 법인카드로 마음껏 긁자! 페스카로는 모두에게 개인형 법인카드를 지원하여​ 동료들과 회사 근처 맛집 도장 깨기에 도전하고 있습니다. 주변에 호수공원이 위치해 있어 날씨 좋은 날이면 김밥을 싸들고 피크닉도 할 수 있어요. 출처 = 페스카로 ⦁ 조식 운영 “조식 먹기 위해 일찍 출근해요” 인기 만점 페스카로 조식. 든든하게 드실 수 있는 주먹밥, 핫도그, 햄버거와 간편하게 드실 수 있는 시리얼, 베이커리, 계란 등이 준비되어 있습니다. 이외에도 다양한 맛의 우유, 두유, 과일 주스, 요거트 등 신선 제품 또한 상시 구비되어 있기에, 아침 거르지 말고 든든한 한 끼 식사 후 업무를 시작해 보아요! 출처 = 페스카로 ⦁ 스낵바 운영 관리본부가 직접 진행하는 큐레이팅 서비스, 스낵바. 업무에 너무 집중한 나머지, 실시간으로 당이 떨어지는 느낌이 들거나, 배에서 꼬르륵 소리가 울리는 경험.. 한 번쯤은 있으시죠? 매일 먹어도 질리지 않는 스테디셀러와 처음 보는 신상 과자들까지, 모두가 만족할 만한 스낵바를 제공하고 있습니다. 쿠키, 스낵, 캔디, 차, 커피 등 '열심히 일하는 당신'을 위한 다양한 간식들이 준비되어 있어요. 출처 = 페스카로 ⦁ 교통비 지원 점점 비싸지는 대중교통 이용 요금, 부담된 적 있으신가요? 직원들의 교통비 걱정을 줄이기 위해 페스카로는 연간 교통비 120만 원을 지원하고 있습니다. 자차로 출퇴근하시는 분들은 주차비로 이용하세요. ​ ⦁ 통신비 지원 업무하면서 고객사와 연락하다 보니, 쌓여가는 통화와 문자 내역들... 한 달 동안 쌓이면 만만치 않은 양이 되죠. 통화 & 데이터 요금 걱정을 덜어드리기 위해 통신비를 연간 60만 원 지원해 드립니다. PART 2 : 직원의 LIFE를 케어합니다 ⦁ 일과 삶의 균형을 위한 제도 페스카로는 시차출퇴근제, 반반차, 외출 제도 등을 통해 주도적으로 업무 시간을 계획할 수 있는 근무 환경을 조성합니다. 시간에 끌려다니지 말고 셀프리더십을 발휘해 업무 스케줄을 주도합시다! ⦁ 페스카로와의 의리! 장기근속자 포상제도 직원들의 장기 재직과 자산 형성을 응원합니다. 5년 재직 시 회사로부터 총 1,440만 원 포상금을 받을 수 있는 재직자 내일채움공제를 운영합니다 (매월 24만 원, 60개월간 총 1,440만 원). 우리 오래오래 함께 해요. ⦁ 건강검진 지원 업무에 대한 열정도 중요하지만 가장 중요한 것은 건강입니다. 페스카로는 임직원 건강을 지속적으로 체크하고 케어하기 위한 종합건강검진 서비스와 유급 건강검진 반차 제도를 운영하고 있습니다. 직원의 건강을 위해 검진에 드는 비용, 시간을 모두 아낌없이 지원하고 있어요. ⦁ 소노호텔앤리조트 콘도 회원권 페스카로를 위해 열심히 일한 당신, 삶은 쉼표도 필요하죠! 페스카로는 임직원의 휴식 관련 복지제도를 확장하기 위해 2024년 여름부터 소노호텔앤리조트 (구 대명리조트) 콘도 회원권을 준비했습니다. 희망하는 임직원은 해당 리조트와 호텔을 회원가에 저렴하게 이용할 수 있습니다. 출처 = 소노호텔앤리조트 ​ ⦁ 가족에게 자랑스러운 페스카로 임직원의 가족까지 살뜰하게 챙겨요! 자녀가 초/중/고등학교 입학 시에는 입학 선물을, 수능 응시생인 경우 응원 선물을 챙겨드립니다. 자녀가 대학에 진학하면, 연 최대 600만 원 등록금도 지원합니다! 가족에게 자랑스러운 페스카로가 될게요. ​ PART3 : 직원의 SPECIAL LIFE를 케어합니다 ⦁ 명절 귀향 여비 보조금 지원 풍요로운 명절, 먼 길 귀향 여비 걱정을 덜어드립니다. 매년 명절(설·추석)에는 고향 귀경길을 위한 귀향 여비 보조금을 30만 원씩 지원해 드립니다. ​ ⦁ 스페셜데이 스페셜데이에는 다 같이 휴식을! 창립기념일에는 축하하는 마음으로 전사에 전일 유급휴가를 지급하며, 명절(설·추석) 연휴 전날과 12월의 마지막 영업일에는 오전 근무 진행 후 조기퇴근을 진행합니다. 가족, 친구, 연인과 즐거운 시간을 보내요. ⦁ HAPPY BIRTHDAY 페스카로에게 직원의 생일은 소중합니다. 임직원의 생일을 축하하는 마음으로 생일 당일 10만 원 상당의 기프트카드를 선물해 드립니다. ⦁ 근로자휴가지원사업 즐거운 휴가를 위한 지원! 페스카로는 정부에서 시행하는 근로자휴가지원사업에 참여 중입니다 ✈️. “내가 20만 원 내면, 회사와 정부에서 각 10만 원씩 지원해 주는 제도가 있다고?!” 총 40만 원의 포인트로 다양한 여행 상품을 이용해 보세요! ⦁ 경조사비 및 경조휴가 지원 경조사에 연차 사용하지 마세요! 경조 규정에 따른 경조사 휴가를 부여해 드려요. 결혼 시에는 회사가 누구보다 먼저 축의금을 드릴게요 (2년 미만 재직자 30만 원 / 2년 이상 재직자 50만 원 / 4년 이상 재직자 100만 원). 지금까지 페스카로에서 제공하는 다양한 복지 프로그램에 대해 자세히 소개해 드렸습니다. 페스카로가 빠르게 성장하는 만큼, 복지 프로그램 및 혜택도 계속해서 업그레이드될 예정입니다. 정말 이 모든 복지제도를 제공하는지 물으신다면, 자신 있게 "네!"라고 답할 수 있습니다. 다양한 복지를 누리면서 페스카로와 함께 성장해 나가고 싶으신 분들은, 현재 진행 중인 채용공고를 확인해 주세요. ​

300억 투자받은 ‘페스카로’, 코스닥 입성 초읽기

페스카로는 '흑자', 투심 아우토크립트 넘을까

지난해에 이어 올해도 한국인터넷진흥원(KISA)과 페스카로(FESCARO)가 함께하는 <자동차 사이버보안 테스트 무료 지원 사업>이 시작됩니다. 자동차 제어기 개발사(Tier)를 대상으로 세 건의 보안테스트 및 보안 컨설팅을 진행할 예정입니다. 유관 기업의 많은 관심과 참여를 기다립니다.

■ 왜 보안취약점 점검이 필요할까요?

자율주행차와 커넥티비티 기술 등 차량 소프트웨어 발전은 차량 외부 통신을 활발하게 만들고 있습니다. 이에 따라 자동차의 사이버보안 위협이 커지자, 유럽연합(EU) UN R155, 국내 자동차관리법 개정안, 중국 GB 44495-2024 등은 사이버보안을 법적으로 의무화하고 있습니다. 이제 차량의 사이버보안 및 위협 대응 역량은 필수입니다. 이에 따라 제어기 개발사 역시 보안 요구사항을 체계적으로 충족해야 할 필요성이 커지고 있으며, 제어기의 보안 취약점을 사전에 점검하고 대응하는 것은 완성차 제작사(OEM) 수주 경쟁력 확보와 브랜드 신뢰 제고를 위한 핵심 전략으로 자리잡고 있습니다.

■ 이런 “제어기 개발사(Tier)”에 추천합니다!

•  사이버보안 테스트 진행 및 대응 방안 수립이 어려운 기업
•  제어기(ECU, Electronic Control Unit)의 사이버보안 이슈를 사전 점검하고자 하는 기업
•  OEM이 요구하는 보안 테스트 대응이 필요한 기업

■ 참여 기업에 제공되는 지원 사항

•  ECU 소프트웨어의 알려진 취약점 점검
•  ECU 소프트웨어 대상 퍼징(Fuzzing) 테스트
•  전 과정 무상 제공 / 결과보고서 제공

■ 테스트는 어떻게 진행되나요?

페스카로의 전문 레드팀이 테스트를 직접 수행합니다. 참여 기업의 ECU를 대상으로 실제 침투 관점에서의 테스트 및 보안 취약점 분석을 포함한 실무 중심 평가로 진행됩니다.

해당 사업에 관심 있다면 아래 담당자에게 이메일 혹은 전화로 신청 부탁드립니다. 

* 본 사업은 선착순 3개사 한정으로 조기 마감될 수 있습니다. 

▶ 페스카로 류승준 매니저 : seungjoon.ryu@fescaro.com | 010-6693-2295

2025년 5월 페스레터

---

​

2027년 시행되는 CRA(사이버복원력법, Cyber Resilience Act), 어떻게 준비하고 계신가요? 5월 페스레터에서는 CRA에 최적화된 사이버보안 대응 전략을 다룬 웨비나 녹화본을 공유합니다. 또한 자동차의 핵심 경쟁력으로 떠오른 HMI(사람-기계 인터페이스, Human-Machine Interface)와 UX(사용자 경험, User Experience)에 대한 최신 인사이트도 담았으니, 재밌게 읽어주세요. 

1. [페스카로 웨비나 다시보기] 농기계·건설기계 제작사를 위한 사이버보안 대응 전략
2. [모빌리티 인사이트] 자동차 경쟁의 새로운 장, HMI·UX (by 한국자동차연구원)
3. [페스카로 인터뷰] 사이버보안! 모빌리티 걸림돌 아닌 성장엔진으로 (by 홍석민 대표)

---

1. [페스카로 웨비나 다시보기] 농·건설기계 제작사를 위한 사이버보안 대응 전략

유럽 연합(EU)은 CRA(사이버복원력법, Cyber Resilience Act)를 제정해 디지털 전환이 가속화되고 있는 모빌리티 산업 전반에 사이버보안을 적용할 예정입니다. 2027년 시행을 앞두고 업계 대응이 시급한 가운데, 페스카로는 웨비나를 통해 농기계, 건설기계 등 주요 고객사의 공통적인 궁금증을 다뤘습니다. CRA 대응을 위한 필승 전략, 지금 확인해 보세요. 




■ 질문 List

1. 2027년에 시행된다는 CRA, 어떤 내용인지 궁금해요.
2. CRA 인증 획득 프로세스는 어떻게 되나요?
3. CRA를 준수하지 않을 경우 어떤 패널티가 있는지 알고 싶어요.
4. CRA는 어떤 기업들이 준수해야 하나요?
5. 등급(Class)에 따라 평가 방식이 달라지나요?
6. CRA 인증을 위해 준비해야 할 산출물을 알고 싶어요.
7. CRA 인증만 획득하면 CRA 대응 업무는 끝인가요?
8. 인증 획득 이후, 사이버보안 업무의 효율적인 운영관리 방법이 궁금해요.

2. [모빌리티 인사이트] 자동차 경쟁의 새로운 장, HMI·UX


   by 한국자동차연구원

한국자동차연구원이 격월로 발간하는 <모빌리티 인사이트>를 소개합니다. 최근호에서는 자동차 HMI와 UX를 주제로, 다양한 업계 전문가들의 인사이트를 담은 커버스토리와 칼럼이 수록되었습니다. 주제별로 핵심만 간추려 공유드립니다. 

보고서에 따르면 자율주행차 시대의 자동차 경쟁력은 속도나 성능이 아닌 탑승자 경험과 맞춤형 서비스에 의해 좌우될 것이라 전망합니다. 이에 HMI와 UX는 AI, 음성·제스처 인식, 대형 디스플레이 등을 중심으로 더 직관적이고 개인화된 인터페이스로 빠르게 진화하고 있습니다. 자동차는 이제 '사용자 맞춤형 디지털 서비스 공간'으로 재정의되고 있으며, 이는 브랜드 차별화의 핵심 전략으로 부상하고 있습니다. 

모빌리티 인사이트 4월호 (출처 = 한국자동차연구원)

2-1. 커버스토리 요약

• 자동차 HMI·UX란 무엇이며, 다른 분야 UX와 차이점은? (5p)

HMI는 인간과 기계 간 유기적이고 원활한 상호작용 시스템을 의미하며, UI는 HMI 시스템 내에서 사용자와 기계가 상호작용하는 수단(터치, 음성, 제스처 등)을, UX는 사용자가 제품 및 서비스를 사용하며 느끼는 총체적인 경험(기능적, 성능적, 감성적)을 의미합니다. 자동차 UX에서 가장 중요한 요소는 ‘안전’이며  운전자 뿐만 아니라 탑승자의 관점, 그리고 차량 내부와 외부까지 고려해야 합니다. 

• 자동차의 HMI 역할과 업계가 UX에 집중하는 이유는? (7p)

차량 간 품질 격차가 줄어들면서 HMI와 UX가 강조되고 있습니다. 소비자의 요구가 정교해짐에 따라 이제 제작사는 '경험의 가치'를 설계해야 합니다. 유럽은 HMI 발전을 단계를 ▲1.0(안전하고 직관적인 인터페이스), ▲2.0(AI 및 모바일 친화적인 기술 적용), ▲3.0(정교한 UX 및 감성적 인터랙션)으로 구분합니다. 중국은 BYD, 니오(NIO) 등을 중심으로 3.0 단계에 빠르게 진입하며 UX 혁신을 선도하고 있습니다. 

• 한국 HMI·UX 시장 현주소와 경쟁력 강화를 위한 방안은? (10p)

HMI·UX는 단순한 편의 기능이 아니라, 사용자의 인지·반응에 직접 관여하고 사고 예방과 연결될 수 있는 중요한 안전 요소입니다. 미국, 유럽연합(EU), 일본은 산업 경쟁력 차원에서 활발한 연구·투자를 이어가고 있습니다. 국내의 학계·산업계·정부도 HMI의 본질적 가치에 대한 인식을 공유하고, 생태계 확장을 위한 체계적인 투자와 정책적 지원이 필요합니다.




  2-2. 칼럼 요약

• HMI와 UX 혁신: 자동차 브랜드의 새로운 경쟁력 (13p)

by 홍익대학교 기계·시스템디자인공학과 박기철 교수

2023년 전 세계 자동차 HMI 시장은 약 230억 달러 규모이며, 향후 10년간 연평균 성장률이 13.1%로 전망됩니다. 자율주행 기술이 고도화될수록 차량이 ‘경험 플랫폼’으로 변모하여 HMI 중요성이 더욱 부각되자, 글로벌 자동차 제작사들은 HMI와 UX를 핵심 경쟁력으로 삼고 있습니다. 현대차그룹, 토요타(Toyota), GM, 테슬라(Tesla) 등 주요 제작사의 HMI·UX 특징과 동향을 살펴보세요.  

• 미래 모빌리티 핵심 가치 키워드, HMI・UX 전략은? (17p)

by 한국자동차연구원 자율주행기술연구소 박선홍 책임연구원 

중국의 자동차 제작사들은 혁신적인 기술을 통해 사용자 경험을 극대화하는 HMI·UX 전략을 추구하며, 9개 특징(AI 기반 스마트 내비게이션, 탑승객의 엔터테인먼트 등)을 보이고 있습니다. 한편, 터치스크린 남용에 따른 안전성 문제로 자동차 제작사들은 물리적 버튼을 다시 도입하고 있으며, 2026년부터 유럽 신차 평가 프로그램(Euro NCAP)은 필수 안전 기능에 물리적 버튼 사용을 의무화할 예정입니다.
​

• For better experience, 자동차 HMI의 새로운 도전 (21p)

by 현대자동차 박당희 책임연구원

자동차 산업에서 차세대 HMI의 전략적인 개발을 위해서는 사용자 행동과 경험을 제한하지 않고, 언제 어디서나 호출하여 즉각적인 의사결정을 할 수 있어야 합니다. 사용자 유형과 모빌리티 경험을 고려할 때 단일 인터페이스로는 한계가 있어 '통합인터랙팅시스템'을 활용해야 합니다. 통합인터랙팅시스템에 대한 기술(핸드트래킹 기반 포인팅 기술 등), 시나리오 테스트 결과 등을 확인해 보세요.  


  
2-3. 페스카로 코멘트 

미래 모빌리티 경쟁의 본질은 '소비자가 인정하고 기꺼이 지불하는 가치'를 지속적으로 극대화하는 데 있으며, 그 중심에는 소프트웨어가 있습니다. 진정한 서비스 혁신을 실현하려면 차량 자체뿐 아니라, 이를 '개발하고 운영하는 방식' 또한 소프트웨어 중심으로의 전환이 필요합니다. 이 과정에서 비즈니스 사용자 경험(UX)은 실무자의 업무 성과를 혁신하는 전략적 수단으로 활용될 수 있습니다. 효과적으로 설계된 UX는 생산성 향상 및 업무 효율 개선으로 이어지며, 기업의 제한된 리소스를 최적화하여 더 핵심적인 역량에 집중할 수 있도록 돕습니다. 결과적으로 더 나은 서비스와 가치를 제공하는 선순환 구조를 만들 수 있습니다.

자동차 사이버보안을 예로 들겠습니다. 관련 규제에 대응하려면 차종별로 수백 건의 산출물을 작성하고, SW 업데이트 시 전체 시스템에 대한 유기적 영향도 등을 관리해야 합니다. 복잡성, 반복성, 지속성이 모두 혼합된 업무인 만큼 시간이 흐를수록 휴먼 에러(Human Error)의 위험과 운영 부담이 기하급수적으로 증가합니다. 이러한 경우, 디지털 전환(DX)을 통해 업무를 자동화하면 문제를 해결할 수 있습니다. 특히 직관적·효율적인 UX가 뒷받침되면 사이버보안 운영의 복잡성과 인적 부담을 근본적으로 해소하는 데 큰 도움이 됩니다.

소비자를 위한 UX 혁신만큼이나, 실무자를 위한 UX 혁신도 미래 모빌리티 경쟁력을 좌우하는 핵심 요소입니다. 페스카로는 'CSMS 포털(Portal)'을 통해 복잡하고 반복적인 규제 대응 업무를 자동화하고 운영 효율을 극대화할 수 있도록 지원합니다. 업계에서는 이를 통해 사이버보안 규제 대응 업무에 매몰되지 않으면서도 보안 수준을 고도화하고, 제품 개발 등 본연의 업무에 더 집중하여 품질 경쟁력까지 확보할 수 있습니다.

홍석민 대표 (출처 = 페스카로)

페스카로는 자동차를 넘어, 2027년 시행 예정인 CRA에 대응해 농기계·건설장비 등 모빌리티 전 분야로 사업을 확장하고 있습니다. 또한 사이버보안 규제 대응 업무를 자동화하는 'CSMS 포털'을 기반으로 글로벌 시장 진출에도 박차를 가하고 있습니다. 자세한 내용은 아래 링크에서 확인해 주세요.

---

■ 놓치면 아쉬운 페스카로 인기 콘텐츠를 소개합니다! 

• [웨비나] 보안솔루션 & KMS 200% 활용 전략
  
• [웨비나] 자동차관리법 개정안이 OEM과 Tier에 미치는 영향은?
  
• [보안뉴스 칼럼] 제어기 개발사에 최적화된 사이버보안 필수 전략 feat. KMS
  

---

국내 자동차 사이버보안 법규 8월 시행…페스카로, 주요 학회서 대응 전략 발표

[인터뷰] 보안! 모빌리티 걸림돌 아닌 성장엔진으로

(출처 = 페스카로)

- 페스카로 홍석민 대표 인터뷰

페스카로는 다양한 완성차 업체와 부품사를 아우르며 폭넓은 기술 사양과 양산 경험을 축적해 이를 바탕으로 기술 중심의 기업에서 제품 중심, 고객 중심의 기업으로 전환을 가속화하고 있다. 이제 페스카로의 핵심 전략은 ‘페스카로 CSMS 포털(Portal)’을 중심으로 글로벌 시장에 본격 진출하는 것이다. CSMS 포털은 말 그대로, 자동차 사이버보안과 관련된 모든 것을 해결할 수 있도록 만든 통합 플랫폼이다. 규제 대응이 막막한 고객에게 ‘여기로 들어오면 된다’는 관문 같은 역할을 할 것이다. 

 

1년 만에 다시 찾은 페스카로. 홍석민 대표는 지난 1년간 페스카로에 있었던 가장 큰 변화로 규제 확대로 인한 시장 확장과 글로벌 진출을 위한 기반 마련이라는 두 가지 흐름을 짚었다.

우선, 자동차 사이버보안에 집중해왔던 페스카로의 사업 영역이 농업용 트랙터, 건설 장비 등 특수 차량 분야로까지 확장되고 있다. 이는 유럽을 중심으로 추진되고 있는 ‘사이버 리질리언스 액트(Cyber Resilience Act, CRA) 규제의 영향이 크다. CRA는 기존의 자동차 사이버보안 규제인 UNR 155와 유사하면서도, 그보다 더 강화된 내용을 담고 있다. 즉, CRA는 유럽 내에서 판매되는 대부분의 디지털 제품이 일정 수준 이상의 보안 요건을 충족하도록 법적으로 의무화하고 있다. 

홍 대표는 “이제 저희의 주요 시장이 자동차에 국한되지 않는다”며 새로운 시장의 등장이 사업 확장에 중요한 전환점이 되었다고 강조했다.

두 번째 변화는 글로벌 진출에 대한 본격적인 준비다. 홍 대표는 “회사가 설립된 지 어느덧 10년이 되어 가는 시점에서, 국내 시장에만 머물 것인지, 해외로 나아갈 것인지에 대한 고민이 컸다”고 털어놨다. 그간 투자사나 업계 관계자들로부터 “페스카로도 해외로 나아가야 하지 않겠냐”는 권유를 지속적으로 받아왔지만, 엔지니어링 중심의 사이버보안 업무 특성상 해외 고객사와의 긴밀한 협업이 필요한 구조라는 점에서 쉽게 결정하기 어려웠다는 것이다.

그러나 최근 CRA 규제를 계기로 글로벌 수요가 더욱 명확해졌고, 이에 대응하기 위한 혁신적인 제품도 출시를 앞두고 있다. 홍 대표는 “사람 기반의 서비스 방식에서 벗어나, 이제는 제품 기반의 글로벌 확장 모델을 준비하고 있다”면서 “지난 1년간 기획하고 개발해온 혁신적인 제품이 곧 출시를 앞두고 있다”고 밝혔다. 홍 대표는 이 제품이야말로 세계 시장에서 페스카로가 경쟁력을 가질 수 있는 핵심이 될 것이라고 강조했다. 페스카로는 이 제품을 오는 7월 2일 열리는 AID 2025에서 공식적으로 선보일 예정이다.

퍼스트 무버로 선도적 역할 

---

글로벌 진출을 위한 준비는 단순한 구상에 그치지 않았다. 페스카로는 지난 1년 동안 주요 해외 시장에 대한 집중적인 조사와 검토 작업을 진행해 왔다. 홍 대표는 “저희 스타일이 원래 철저하게 준비하는 편이라 중국, 미국, 일본 등 여러 국가를 대상으로 시장 조사를 진행했다”며 “짧게는 6개월, 길게는 1년 가까이 각 시장의 상황과 진입 가능성을 따져본 결과, 충분한 가능성이 있다고 판단했다”라고 밝혔다.

그는 이러한 준비 과정이 단순한 수출 전략을 넘어, 페스카로가 해외 시장에서 어떤 방식으로 자리를 잡을 수 있을지에 대한 깊은 고민과 전략 수립의 시간이었다고 덧붙였다. 이를 바탕으로 페스카로는 글로벌 진출 계획을 구체화하고 있다. 

홍 대표는 “자동차 사이버보안 분야에서 쌓은 경험을 바탕으로, 아직 본격 시행 전인 CRA 규제에 대해 선제적으로 대응 전략을 제시하고 있다”며 “전면 시행이 2027년 12월로 아직 시간이 남아 있는 상황에서 제작사들이 굉장히 혼란스러워할 시기에, 우리의 차별화된 방향성 제시가 시장에서 좋은 반응을 얻고 있다”고 말했다.

그는 이어 “곧 출시할 신제품은 기존 자동차 사이버보안 시장을 바라보는 관점을 근본적으로 바꿔놓을 수 있는, 감히 ‘혁신적’이라 부를 수 있는 제품”이라며, “우리가 확인한 바로는, 전 세계 어디에서도 이 같은 접근 방식은 찾아보기 어렵다”라고 강조했다. 기존의 대응 방식에서 벗어나 새로운 시각과 전략을 제시하는 만큼, 퍼스트 무버(First Mover)로서 시장을 선도하겠다는 포부도 덧붙였다.

홍 대표는 글로벌 진출 전략에 대해 구체적인 방향성을 제시했다. “사이버보안 규제 대응에는 반드시 엔지니어링 지원이 동반돼야 하는데, 저희 혼자서 모든 시장을 직접 커버하기는 어렵습니다. 미국이나 중국에 인력을 계속 파견하거나 지사를 통한 즉각 대응은 현실적으로 한계가 있습니다.”

이러한 배경에서 페스카로는 우선 현지 파트너십 기반의 확장 전략을 추진 중이다. 본사에서 혁신 제품을 공급하고, 현지 파트너들이 이를 기반으로 엔지니어링과 고객 지원을 수행하는 구조다. 홍 대표는 “협업 모델은 단기 프로젝트가 아닌, 상생 가능한 장기 글로벌 협업 체계를 구축하는 것이 핵심”이라며, “해외 지사는 직접적인 영업이나 기술 지원보다는 파트너 발굴과 브랜딩, 마케팅, 기술 백업에 집중할 계획”이라고 밝혔다. 

해외 파트너십 전략과 관련해, 홍 대표는 글로벌 인증 및 컨설팅 기업들과의 협업 가능성에 주목했다. “규제 대응은 컨설팅과 인증 심사가 긴밀히 연결되는 구조입니다. 다행히 전 세계적으로 관련 전문 업체들이 있고, 이들 역시 지속 가능한 비즈니스 모델을 찾고 있어 저희와 니즈가 잘 맞는 상황입니다.”

현재 일부 인증 기관과 초기 협업 체계를 구축 중이며, 독일의 티유브이 노르트(TÜV NORD)와는 양해각서(MOU)를 체결해 중장기적인 협업 채널을 열었다. “아직 제품 중심의 협력까지는 아니지만, 규제 및 인증 대응에 대한 협력을 시작으로 협업을 확대해 나갈 계획입니다.” 그는 이 외에도 세계 유수의 해외 인증기관 및 컨설팅 업체들과 파트너십을 단계적으로 논의 중이라고 덧붙였다.

중국 시장 진출 ‘시동’

---

홍 대표는 최근 가장 주목할 만한 글로벌 진출 성과로 중국 시장 진출과 현지 반도체 업체와의 협력을 꼽았다. “작년 한 해 동안 중국 시장을 집중적으로 조사하고 고객사와의 관계 형성에 주력해왔으며, 그 결과 올 1월 중국 법인을 공식 오픈했습니다.”

이와 함께 홍 대표는 페스카로의 소프트웨어 기반 HSM (Hardware Security Module) 솔루션을 활용한 ‘vHSM (virtual HSM)’ 성공 사례를 언급했다. 

“자율주행 제어기처럼 보안 요구 수준이 높은 곳엔 당연히 HSM이 필요하지만, 시트나 트렁크 제어기 등에는 비용 대비 효과를 고민하게 됩니다. 저희는 HSM이 없는 기존 반도체에 HSM을 소프트웨어로 가상화하여 HSM 수준의 보안 기능을 구현해 실제 유럽 사이버보안 규제를 만족한 사례가 있습니다. 이는 비교적 보안 요구사항이 ‘라이트’한 제어기에 대해서 충분히 실용적인 대안이 될 수 있습니다.”

홍 대표는 vHSM 기술의 핵심 가치를 “비용과 시간 측면에서 현실적인 대안”이라고 강조했다. “자동차 부품 하나에서 100원만 절감돼도 연간 수백만 대 기준으로 어마어마한 비용 차이가 발생합니다. HSM을 위해 기존 반도체를 바꾸면, 하드웨어부터 소프트웨어까지 전면 재개발이 필요한데, vHSM은 이런 현실적인 부담을 줄여줄 수 있는 솔루션입니다.”

이 기술을 바탕으로, 최근에는 중국 로컬 반도체 업체 지신(ZHIXIN)과 솔루션 공급 계약을 체결, 1차 개발을 마치고 제품까지 배포한 상태다. 홍 대표는 “보다 유연한 협업이 가능하며 vHSM을 가장 최적화할 수 있는 기업을 찾고자 했다”며 “중국은 자국 반도체 사용 확대 흐름과 맞물려 우리와 접점이 잘 맞았다”라고 말했다. 그는 이어 “vHSM이 일시적인 브리지 역할만 하는 게 아닙니다. 특정 니치마켓(틈새시장)에선 강력한 무기가 될 수 있고, 이를 통해 초기 고객과의 신뢰를 쌓아 다른 제품군으로 확장할 수 있을 것으로 기대하고 있습니다.”라고 덧붙였다.

직접적인 해외 비즈니스는 이제 막 궤도에 진입한 단계이지만, 국내 주요 완성차 및 부품사들이 글로벌 진출을 활발히 하면서 페스카로 솔루션도 미국, 유럽 등지에 상당수 공급되고 있다. 현재 적용된 제어기만 150종 이상이다. 글로벌 공급 확장 기반은 이미 마련된 셈이다.

(출처 = 페스카로)

투 트랙 전략

---

홍 대표는 글로벌 시장에서의 고객 대응 방식에 대해 기존과는 다른 전략이 필요하다고 강조했다.

“고객은 여전히 전통적인 방식으로 접근합니다. 인력을 얼마나 배정해줄 수 있는지, 현지 파견은 가능한지, 얼마나 빠르게 대응할 수 있는지를 가장 먼저 묻죠. 하지만 페스카로는 이런 방식으로는 글로벌 확장이 어렵습니다.”

이에, 페스카로는 혁신적인 제품을 활용하여 사이버보안 관리체계를 아웃소싱 형태로 최초 구축하고, 이후에는 고객이 자체적으로 운영할 수 있도록 '내재화' 모델을 제안하고 있다. 

“사이버보안 관리체계는 제로베이스에서 최초 구축하는 것은 아웃소싱을 활용할 수 있지만, 구축 이후에는 고객이 직접 사이버보안 관리체계를 운영하는 것이 필요합니다. 그래서 저희 제품을 통해 고객이 내재화할 수 있는 구조를 제공하려는 것입니다.”

페스카로는 기술 지원이 필요한 경우를 대비해 현지 파트너사와 협력하는 방식으로 상생 구조를 구축하고 있다. 국내 시장과 해외 시장에 대한 접근 방식도 다르게 가져가고 있다.

“국내는 고객의 요구나 환경 변화에 직접적으로 대응하는 경험이 중요하다고 판단해 직접 대응하고 있습니다. 반면, 해외는 파트너십을 통해 확장하는 전략을 취하고 있습니다.”

홍 대표는 지금이 글로벌 시장 공략을 위한 아주 좋은 타이밍이라고 했다. 그는 “저희가 전 세계적으로도 선도적인 포지션에 있고, 실제 업무 경험 면에서도 ‘전 영역’을 커버한 회사는 저희밖에 없다”라며 강한 자신감을 드러냈다.

페스카로는 초기에는 제작사가 인증을 받는데 필요한 보안 체계를 구축하는 데 집중했지만, 이 과정에서 시장의 본질적인 니즈가 다른 데 있다는 점을 인식했다. “이 부분은 우리 말고도 대체 가능한 업체들이 있습니다. 하지만 정말 중요한 것은 그 이후입니다. 자동차 사이버보안은 양산으로 끝나는 게 아니라, 최소 10~15년간 운영과 사고 대응이 필수인 영역입니다.”

홍 대표는 특히 대규모 완성차 업체일수록 해마다 누적되는 차종과 판매 대수로 인해 관리 포인트가 눈덩이처럼 불어난다는 점을 강조했다. “해킹 공격은 계속 진화해 보안 사고를 100% 막을 수는 없습니다. 현 수준에서 가장 강력한 보안 솔루션을 적용하되, 지속적으로 잠재 취약점 파악 및 선제적인 대응이 필요합니다. 만약 한 부품에서 보안 문제가 생기면 그 부품이 쓰인 모든 차종에 영향을 끼치기 때문에, 누적된 차량 수가 많아질수록 자체적으로 감당하기 어려운 상황이 생깁니다.”

이러한 복잡성과 장기 운영의 필요성은 기존의 솔루션만으로는 해결할 수 없다. 이에 페스카로는 지속 가능한 운영 관리 체계를 중심으로 한 ‘소프트웨어 디파인드 오퍼레이션(Software-Defined Operation, SDO)’ 개념을 정의하게 됐고, 1년 전부터 본격적인 제품 기획에 들어갔다. 홍 대표는 “지금처럼 이슈가 명확히 드러나기 전부터 준비해왔고, 이제는 충분한 경쟁력과 경험치를 갖췄다고 판단돼 시장에 공개할 준비가 된 상태”라고 밝혔다.

홍 대표는 각국의 자동차 사이버보안 규제 대응에 있어 핵심은 ‘운영의 복잡성’과 ‘관리의 지속성’에 있다고 강조했다. “한 번 들으면 생소하지만, 여러 번 들으면 이해되는 게 사이버보안 시장입니다. 제작사들도 우리의 얘기에 크게 공감하면서 ‘어떻게 그걸 아느냐?’고 되묻습니다. 그만큼 이건 실무에서 직접 경험해봐야 알 수 있는 복잡한 구조입니다.”

특히, 홍 대표는 대형 완성차 기업일수록 부서 간 조율이 어려워, 사이버보안 대응은 단순히 솔루션을 적용하는 ‘기술적 문제’가 아니라 부서 간 이해관계가 얽힌 ‘복잡한 문제’라고 지적했다. “30개 넘는 부서가 각자 권한과 역할이 있어서 하나로 통합해서 보안 대응 체계를 구축하는 게 현실적으로 어렵습니다.”

또한, 그는 보안 대응은 단발성으로 끝나는 것이 아닌 개발부터 양산 이후까지 계속해서 반복되는 사이클이라는 점을 강조했다. “TARA(Threat Analysis and Risk Assessment: 위협 분석 및 위험 평가)는 보안 대응의 시작과 끝입니다. 단순히 솔루션을 적용하고 끝나는 게 아니라, 위협을 분석하고 리스크를 평가한 뒤, 그에 맞는 대응과 검증을 반복해야 합니다.”

홍 대표는 이 과정에서 차량 하나당 1,500개 이상의 문서가 산출되고, 하나의 변경사항이 문서 전체를 연쇄적으로 수정해야 하는 구조라고 설명했다. 이러한 반복적이고 복잡한 사이버보안 관리가 시간이 지날수록 기업에 큰 부담으로 작용한다. 

“사이버보안은 해가 갈수록 복리처럼 부담이 쌓이는 영역입니다. 그래서 처음엔 개별적으로 대응하던 제작사들도 이제는 전체를 아우를 수 있는 솔루션의 필요성을 체감하고 있습니다.” 

홍 대표는 이미 글로벌 선도 제작사들과의 협업이 진행되고 있다면서, “이제야 비로소 우리가 준비해 온 방향성이 시장에서 요구하는 흐름과 맞아떨어지고 있다”고 강조했다.

홍 대표가 가장 중요하게 생각하는 것은 고객사의 성공이다. 그는 단기 수익성보다 고객의 성공 가능성을 높이는 방향으로 결정을 내렸고, 수익성에 영향을 줄 수 있는 선택도 기꺼이 감수했다.

“소프트웨어 업계에서는 요구사항이 한 번 확정되면 그대로 진행하고, 변경 시 재산정하는 게 일반적입니다. 하지만 우리는 고객이 요청하기도 전에 스스로 최적화해 변경하기도 합니다.” 그는 이를 “상식 밖의 일”이라 표현하며, 그럼에도 고객의 성공을 위해 고객의 시각에서 문제를 풀어왔다고 했다.

실전 경험과 ‘널리지 베이스’

---

홍 대표는 자사의 가장 큰 차별화 요소로 ‘What을 정의할 수 있는 능력’을 꼽았다. “자동차 밸류체인에서 ‘What’을 정의하는 건 제작사고, 서드파티는 주로 ‘How’를 수행합니다. 대부분의 경쟁사는 요구사항을 받아서 실행하지만, 우리는 그 이전 단계인 ‘무엇을 해야 하는가’를 함께 고민하고 제안할 수 있는 역량이 있습니다.”

그는 이런 능력이 고객과의 신뢰를 쌓는 기반이 되었다며, “규제 대응이 필요한데 무엇을 해야 할지 모르는 상황에서, 우리가 먼저 방향을 제시해줄 수 있는 점이 페스카로의 가장 큰 강점”이라고 강조했다.

홍 대표는 페스카로의 경쟁력이 단순한 기술력에 그치지 않는다고 했다. 

“전 세계 어느 기업보다 더 많은 사이버보안 레퍼런스를 보유하고 있는 회사가 바로 페스카로입니다. 시간이 지나도 저희보다 더 많은 경험을 쌓을 수 있는 곳은 없을 것입니다.”

완성차 업체가 연 수백만 대의 차량을 생산하더라도 차종과 보안 사양은 제한적인 반면, 페스카로는 다양한 완성차 업체와 부품사를 아우르며 폭넓은 기술 사양과 양산 경험을 축적해왔다. 그는 이를 “널리지 베이스(Knowledge Base)”라 말하며, 이 축적된 지식이 자사 제품의 경쟁력으로 이어지고 있다고 했다.

이처럼 축적된 레퍼런스를 바탕으로 페스카로는 기술 중심의 기업에서 제품 중심, 고객 중심의 기업으로 전환을 가속화하고 있다. 홍 대표는 앞으로의 핵심 전략으로 ‘페스카로 CSMS 포털(Portal)’을 중심에 두고, 이를 글로벌 시장에 본격 확산시키는 데 주력하겠다고 밝혔다.

“지난 10년이 기술 개발에 집중했던 시기였다면, 앞으로는 그 기술이 고객에게 실제로 유용하고 널리 쓰일 수 있도록 제품의 편의성과 품질을 높이는 데 더 많은 에너지를 쏟을 계획입니다. CSMS 포털은 말 그대로, 자동차 사이버보안과 관련된 모든 것을 이곳에서 해결할 수 있도록 만든 통합 플랫폼입니다. 규제 대응에 막막함을 느끼는 고객에게, ‘여기로 들어오면 된다’는 관문 같은 역할을 하게 될 것입니다.”

홍 대표는 특히 이 포털이 단순한 제품을 넘어 고객사의 부담을 실질적으로 덜어줄 수 있는 ‘솔루션’이 되기를 기대하고 있다. 사이버보안 규제는 한 번만 대응한다고 끝나지 않으며, 지속적인 운영과 갱신이 필요하다. 하지만 이를 전담할 인력을 갖추기도 쉽지 않다. 이에 페스카로는 CSMS 포털을 통해 초기 세팅부터 운영까지의 전 과정을 지원하며, 고객이 본연의 업무에 집중할 수 있는 환경을 제공하겠다는 전략이다.

“처음 제로에서 시작해 시스템을 세팅하는 데는 시간과 비용이 많이 듭니다. 하지만 일단 워킹 상태로 만들어 놓으면, 이후 운영은 초기 대비 10분의 1 수준의 리소스로도 가능합니다. 저희의 역할은 고객이 이 초기 허들을 빠르게 넘을 수 있도록 돕는 것이고, 나아가 사이버보안이 걸림돌이 아닌 비즈니스에 힘을 실어주는 부스터가 되게끔 하는 것입니다.”

한편, 페스카로는 사업 확장과 함께 기업 성장의 다음 단계인 상장도 준비 중이다. 현재 기술특례 상장 트랙을 밟고 있으며, 지난해 12월에는 상장 요건을 충족했다는 평가를 받았다. 홍 대표는 “오는 6월 예비심사를 청구하고, 일정이 순조롭게 진행된다면 올 4분기에 상장이 가능할 것”이라고 밝혔다. 

홍 대표는 상장을 단순한 자금 조달의 수단이 아니라, 페스카로의 비전을 실현하기 위한 중요한 디딤돌로 보고 있다. 그는 “회계 프로그램 하면 SAP가 떠오르듯, 사이버보안 규제 대응이라는 키워드에서 ‘페스카로’가 가장 먼저 연상되는 회사가 되고 싶다”고 했다. 그만큼 명확하고 직관적인 브랜드로 자리 잡겠다는 포부다.

“SAP를 안 쓰는 기업이 없듯, 사이버보안 규제 대응이 필요한 모든 고객이 페스카로를 자연스럽게 떠올릴 수 있게 만드는 것, 그것이 우리가 지향하는 궁극적인 비전입니다.”

문제의 본질을 직시하고, 누구보다 먼저 해답을 제시하려는 홍 대표의 시선은 단단하고도 날카로웠다. 불가능해 보이는 일조차 “고객의 성공을 위해서라면”이라는 단순하지만 강한 신념으로 밀어붙여온 그의 도전은, 페스카로를 단순한 기술 기업이 아닌 변화의 중심으로 이끌고 있다. 페스카로의 도전이 만들어낼 다음 챕터가 기대되는 이유다.  

​<출처 : AEM ("보안! 모빌리티 걸림돌 아닌 성장엔진으로 - AEM")>

5월 21일(수) 개최된 페스카로의 <농기계·건설기계 제작사​를 위한 사이버보안 대응 전략> 웨비나가 성황리에 마무리되었습니다.

사이버보안의 필요성이 전범위적으로 강조됨에 따라 디지털 요소가 들어간 제품에 대해 적용되는 법규 CRA(Cyber Resilience Act)가 제정되어 2027년 시행을 앞두고 있습니다. 농기계, 건설기계 등 다양한 산업 분야의 고객사에서 겪고 계신 공통적인 궁금증을 해소하기 위해 페스카로가 웨비나를 준비했습니다. 농기계·건설기계 제작사​를 위한 사이버보안 대응 전략을 지금 확인해 보세요. 

■ 전문가 패널 소개

• ​고객의 니즈를 정확히 파악해 맞춤형 솔루션을 제시하는 CRA 전문 BM, 최병국 과장
  

• 페스카로 자동차 사이버보안 법규 그랜드슬램 주역 인증 전문가, 최광묵 전문기술위원
  

• 화이트해커 출신, 보안 전용 시스템을 설계하는 IT 인프라 전문가, 이현정 상무
  

■ 질문 LIST

1. 2027년에 시행된다는 CRA, 어떤 내용인지 궁금해요.

2. CRA 인증 획득 프로세스는 어떻게 되나요?

3. CRA를 준수하지 않을 경우 패널티가 있는지 알고 싶어요.

4. CRA는 어떤 기업들이 준수해야 하나요?

5. 등급(Class)에 따라 평가 방식이 달라지나요?

6. CRA 인증을 위해 준비해야 할 산출물을 알고 싶어요.

7. CRA 인증만 획득하면 CRA 대응 업무는 끝인가요?

8. 인증 획득 이후, 사이버보안 업무의 효율적인 운영관리 방법이 궁금해요.

■ 영상 Ver.

■ 텍스트 Ver.

1. 2027년에 시행된다는 CRA, 어떤 내용인지 궁금해요.

CRA 적용 대상 (출처 = 페스카로)

먼저 CRA에 대한 개념부터 설명드리겠습니다. CRA는 Cyber Resilience Act로 사이버복원력법입니다.

증가하는 사이버보안 위협에 대응하여, 유럽 내 디지털 생태계를 안전하고 회복력 있게 만들기 위한 필수적인 법적 프레임워크입니다. EU에서는 해당 법안을 통해 기존의 사이버 보안 격차를 해소하고, 회원국 간 규제를 통합하며, 소비자 보호와 기업 운영의 안정성을 높이는 데 기여할 것으로 기대하고 있습니다.

CRA는 유럽연합의 시장에 제품을 수출하는 기업들에 적용되는 EU Regulation이며, 법규 적용 대상은 ‘디지털 요소가 내장된 제품’입니다. 디지털 요소가 내장된 제품이란 소프트웨어(SW) 또는 하드웨어(HW) 제품, 그리고 해당 원격 데이터 처리 솔루션을 의미합니다. 해당 제품의 용도에는 네트워크 또는 장치에 대해 직간접적, 물리적 또는 논리적 데이터 연결이 포함됩니다. 즉, 포괄적인 의미의 직·간접적인 연결성을 갖는 제품이 해당됩니다.

디지털 요소가 있는 제품을 유럽연합(이하 EU) 시장에 출시하려는 기업들은 CRA를 준수해야 합니다. CRA 적합성 평가를 수행하고, 제품에 CE 마크를 부착해야 하는 것입니다.

CRA 시행 일정 (출처 = 페스카로)

CRA의 시행 일정은 크게 세 단계로 구분되어 진행될 예정입니다.

첫째, 26년 6월 11일부터 Notified Body(적합성 공인 평가기관)을 통보합니다. CRA 요구사항 준수 여부를 평가할 수 있는 기관들을 지정하고 공식 통보하는 절차로 해당 통보로 선정된 기관들이 제품 및 제조사에 대한 CRA 평가를 수행하게 됩니다.

둘째, 26년 9월 11일부터는 취약점 및 심각한 사고 보고에 대한 의무가 시행됩니다. 사이버보안은 완벽할 수 없고 지속 관리가 필요하다는 것은 모두 잘 아실 것입니다. CRA 또한 Cyber resilience act '사이버회복력법'으로 사이버보안 문제를 인지하고 빠르게 회복하자는 취지를 담고 있습니다. 이로 인해 CRA 법안 전체를 시행하기 이전 취약점 및 심각한 사고 보고에 대한 의무를 먼저 시행하게 됩니다.

취약점 및 중대한 사고에 대한 보고 방법은 다음과 같습니다. 제조업체는 자사의 제품의 디지털 요소에 영향을 미치거나 악용될 취약점 및 심각한 사고 발견 시 ENISA(유럽연합 사이버보안청)를 통해 국가 당국에 보고를 해야 합니다.

발견 또는 인지시점으로부터 24시간 이내 기본적인 정보(무엇이, 어디서 발생)를 신고해야 하며 72시간 이내(사고 원인 영향, 완화 조치 등) 상세한 통보가 필요합니다. 사후 대응 종료 후 최종 후속보고(복구 조치 결과, 향후 예방 계획 등)를 통해 보고 절차가 마무리됩니다.

마지막 세 번째 단계를 설명드리면, 27년 12월 11일부터 CRA 법안이 전체 시행됩니다. 유럽에서 판매되는 CRA에 해당하는 제품들의 경우 CE 마크 부착이 의무화됩니다.

2. CRA 인증 획득 프로세스는 어떻게 되나요?

CRA 인증 획득 프로세스 (출처 = 페스카로)

CRA의 인증 획득 프로세스는 크게 3가지의 대상자가 있습니다. 제조사, 적합성 공인 평가기관(Notified Body), 통보 당국(정부기관, Notifying Authority)입니다.

먼저, 통보 당국에서는 적합성 공인 평가기관을 지정합니다. 그러면 제조사는 CRA에서 요구하는 사항에 맞춰 사이버보안이 준수되었을 때 적합성 공인 평가기관(적합성 공인 평가기관)을 통해 평가를 받습니다.

적합성 공인 평가기관은 제출된 자료와 심사를 바탕으로 CRA 적합성 인증서를 발급하며 제조사는 이를 기반으로 제품에 CE 마크를 부착하여 판매하게 됩니다.

마지막으로, 통보 당국은 적합성 공인 평가기관이 잘 수행하고 있는지를 평가하고 감독합니다.

그럼 제품에 대해서 CRA 규제관련 적합성 평가 인증을 획득해도 추가적인 대응이 필요합니다. 시장에 나와 있는 제품이 법을 지키는지 단속하고 제재하는 기관인 시장감시 당국(Market Surveillance Authority)에선 ‘정당한 사유’가 있는 경우 제조사에게 사이버보안 관련 내부 문서를 요구할 수 있습니다. 즉, 평가 인증 이후에도 지속적으로 사이버보안 관리 업무를 수행해야만 합니다.

3. CRA를 준수하지 않을 경우 어떤 패널티가 있는지 알고 싶어요.

CRA 미준수 시의 패널티 (출처 = 페스카로)

CRA 미준수 시, 위반 사항에 따라 차등으로 벌금을 부과합니다. 먼저, 필수 사이버보안 요구사항 및 Articles 13, 14에는 보안 설계 및 취약점·사고 보고 의무에 대한 핵심 조항을 다룹니다. 다음의 예를 확인하겠습니다.

• 제품 설계 및 개발 단계에서 보안 설계 내재화(Security by Design)
  

• 보안 업데이트 시스템 확보
  

• 지원 기간(Support Period) 명시
  

• 기술 문서 작성 및 보관
  

• 자체 시장 감시 체계 구축
  

이 내용을 위반할 경우 최대 1,500만 유로 또는 전년도 글로벌 매출 2.5% 중 높은 금액을 부과합니다.

그리고 Articles 18-23, 28, 30 등 기타 의무에는 다음의 예가 있습니다.

• 경제 주체별 책임 확장 사항
  

• CE 마크 및 기술문서 관련 조항
  

• 시장감시 관련 정보
  

이 내용을 위반할 경우 최대 1,000만 유로 또는 전년도 글로벌 매출의 2% 중 높은 금액을 부과합니다.

또한 통보기관(Notified Body) 및 시장 감시 당국에 기술문서나 EU 적합성 선언서, 시험 보고서 등의 내용에 있어 부정확한 정보를 제공할 경우 최대 500만 유로 또는 전년도 글로벌 매출의 1% 중 높은 금액을 부과하게 됩니다.

패널티를 받지 않기 위해서라도 인증을 잘 획득하는 게 중요합니다. 페스카로는 자동차 사이버보안 법규 대응 성공 사례를 보유하고 있습니다. 자동차 사이버보안 법규(UN R155, ISO/SAE 21434)와 CRA는 유사한 부분이 많습니다. 큰 공통점은 기업이 보안 리스크를 관리하기 위한 조직적 사이버보안 관리 체계를 구축해야 하며, 동시에 제품 차원에서 기술적 보안 기능이 구현되어야 한다는 점입니다. 페스카로는 사이버보안 법규에 대한 전문 역량을 기반으로 최근 CRA 프로젝트들도 성공적으로 수주한 바 있습니다. CRA 대응이 필요하다면 페스카로에 연락주시면 좋을 것 같습니다.

4. CRA는 어떤 기업들이 준수해야 하나요?

CRA 적용 기업 (출처 = 페스카로)

디지털 요소가 있는 제품을 EU 시장에 2027년 12월 이후에 출시하려는 기업들은 CRA를 준수해야 합니다. 대상이 광범위하기 때문에, 오늘 웨비나에서는 ‘모빌리티‘ 분야에 집중하여 설명드리겠습니다.

1. 승용차 또는 상용차를 판매하는 기업은 해당 CRA 규제가 적용되지 않습니다. 기존처럼 UN Regulation 155 사이버보안 규제만 준수하면 됩니다.
   

2. CRA에 준하는 사이버보안 규제가 시행되지 않았던 제품을 EU 시장에 판매하였던 기업들은 CRA 규제의 적용을 받습니다. 예를 들면, 트랙터를 포함하는 농기계를 판매하는 기업, 건설기계를 판매하는 기업, 로봇을 판매하는 기업 등은 CRA 규정을 준수해야 합니다. 그리고 IoT 제품을 판매하는 기업들도 CRA 규정 준수를 고려해야 합니다.
   

수입사와 유통사도 CRA를 준수해야 합니다. CRA는 제조사가 준수해야 하는 의무사항뿐만 아니라, 수입사와 유통사가 준수해야 하는 의무사항들도 별도 조항으로 명기하고 있습니다. 즉, CRA 규제는 EU 시장에 제품을 판매하는 제조사뿐만 아니라 수입사와 유통사들도 준수해야 합니다.

다음으로 CRA 규제가 적용되는 제품군에 대한 ‘구체적인’ 등급 기준을 설명드리겠습니다. CRA 규제에서는 제품을 4가지로 구분하고 있습니다.

1. 디지털 요소가 있는 제품군
   

2. 클래스 1등급의 제품군
   

3. 클래스 2등급의 제품군
   

4. 크리티컬 등급의 제품군
   

CRA Regulation에서 Annex Ⅲ과 Ⅳ에 명기된 기준에 따라서 두 번째 등급부터인 클래스 1등급과 2등급, 크리티컬 등급을 구분합니다. 그리고 모든 분류의 제품들은 CRA 규정에서 정의된 모든 사이버보안 필수 요구사항을 준수해야 합니다.

해당 Annex Ⅲ, Ⅳ에 나열된 CRA 규제가 강제 적용되는 클래스 1, 2, 크리티컬 제품군 목록은 2025년 12월에 시행법안으로써 최종 확정되어 업데이트 공시될 예정입니다.

CRA 적용 제품군 (출처 = 페스카로)

각 그룹에 대한 정의를 소개해 드리고, 제품군 예시도 함께 보여드리면서 규제 대상의 등급별 차이를 설명드리겠습니다.

먼저 디지털 요소가 있는 제품군은 CRA 규제 적용 대상이 되는 모든 제품들로써 첫 번째 등급에 해당됩니다.

클래스 1, 2 제품군에는 다음과 같은 특성을 가진 제품이 포함됩니다. 해당 제품이 연결된 다른 제품, 네트워크, 또는 서비스의 보안에 중요한 기능을 수행하거나, 침해될 경우 연결된 제품이나 사용자의 건강, 보안, 안전에 중대한 영향을 미칠 수 있는 기능을 갖춘 제품입니다.

이 기준에 따라서, CRA Regulation의 제정을 담당하는 EU 위원회는 해당 Annex Ⅲ의 제품군 목록을 지속적으로 업데이트하도록 규정되어 있습니다. EU 위원회는 클래스 1, 2 및 크리티컬 제품 목록을 차츰 확대해 나갈 것입니다.

크리티컬 등급 제품군은 CRA Regulation Annex Ⅳ에 나열된 제품군의 핵심 기능을 포함하는 제품들이 해당됩니다.

CRA에서 크리티컬 제품군을 규정하는 기준은 EU 지역(Zone)의 주요 기관이 해당 제품에 대해 종속성이 중대하게 있거나, 또는 해당 제품에 대한 침해가 발생하면 EU 시장 전체의 핵심 공급망이 중단될 수 있는 경우, 둘 중에 하나라도 해당되면 크리티컬 제품군으로 설정될 수 있습니다.

5. 등급(Class)에 따라 평가 방식이 달라지나요?

제품 및 제조사에 대한 적합성 평가 방법 (출처 = 페스카로)

제품을 EU 시장에 출하하려면 제품 및 제조사에 대한 적합성 평가를 사전에 통과해야 합니다. 제품군 등급별로 평가 방법을 설명드리기 전에 네 가지의 평가 방법에 대해 간략히 설명드리겠습니다.

1. 제조사가 적합성 평가를 자체 관리하는 것입니다. CE 마크 제도에서는 이 방식을 모듈 A 라 지칭합니다.
   

2. 제품은 EU 공인기관으로부터 형식 검사 인증을 받고 생산은 자체 관리하는 것입니다. 이 방식은 모듈 B+C 라 지칭합니다.
   

3. EU 공인기관으로부터 제조사의 전체 품질보증 체계를 인증받고, 제조사에서 개발 및 생산되는 모든 제품에 일괄 적용하는 방식입니다. 이는 모듈 H 라 지칭합니다.
   

4. EU에서 공식적으로 시행하는 ‘유럽 사이버보안 인증 제도’를 통해 제품 인증을 받는 방식입니다. 이 제도는 EU의 ENISA 기관에서 주관하는 사이버보안 인증 제도입니다.
   

제품군 등급별로 적용 가능한 적합성 평가 방법은 다음과 같습니다.

1. 첫 번째 분류인 디지털 요소가 있는 제품군에는 모듈 A 자체관리 방식이 가능합니다. 물론, 모듈 B+C 와 모듈 H 도 가능합니다.
   

2. 클래스 1 등급 제품군에는 모듈 A 자체관리 방식이 적용될 수 없습니다. 기본적으로 EU 공인기관의 적합성 평가 인증이 요구됩니다. 모듈 B+C 방식은 제품 설계만 EU 공인기관의 평가를 받고 생산 공정은 자체 관리하는 방식입니다. 모듈 H 도 가능합니다.
   

3. 클래스 2 등급 제품군에는 모듈 B+C 와 모듈 H, 그리고 ENISA에서 주관하는 유럽 사이버보안 인증 제도가 적용될 수 있습니다. EU 공인기관은 클래스 1 등급 제품 보다 더 까다로운 기준을 갖고 심사를 진행할 것입니다.
   

4. 크리티컬 등급 제품군은 기본적으로 EU ENISA 기관이 주관하는 유럽 사이버보안 인증 제도가 요구됩니다. EU 위원회의 추가적인 CRA 위임 법안 채택이 늦어지는 경우, 클래스 2 등급의 적합성 평가 기준이 적용될 수도 있습니다.
   

지금까지 설명드린 네 가지 등급 모든 제품군에 대해 적합성 평가를 실행할 때 공통적으로 적용되는 기준은, CRA Regulation AnnexⅠ에 명기되어 있는 필수 사이버보안 요구사항들입니다. 즉, 평가 방법은 다를 수 있어도 평가 기준은 모두 동일합니다.

AnnexⅠ에 명시된 필수 사이버보안 요구사항 (출처 = 페스카로)

AnnexⅠ에 명시된 필수 사이버보안 요구사항에 대해 보다 구체적으로 설명드리겠습니다. AnnexⅠ은 PartⅠ과 PartⅡ로 구성되어 있습니다.

PartⅠ 필수 사이버보안 요구사항에는 제품 설계 시 준수되어야 하는 요구사항들이 나열되어 있습니다. 제품 설계 시 반드시 수행해야 하는 사이버보안 위험 평가 – TARA 관련 요구사항과, 제품 설계 시 반드시 적용되어야 하는 기술적인 사이버보안 기능 요구사항들로 구성되어 있습니다.

PartⅡ 필수 사이버보안 요구사항에는 제작사가 프로세스적으로 준수해야 하는 요구사항들이 나열되어 있습니다. SW BOM을 포함하여 제품 설계 및 취약점에 대한 문서화 관련 요구사항과, 제품에서 보안 취약점 발생했을 때 대응하기 위한 취약점 처리 및 교정조치 절차, 보안 업데이트 제공 관련 요구사항들과, 안전한 보안 업데이트 시행을 위한 관련 요구사항들로 구성되어 있습니다.

페스카로는 CRA와 거의 유사한 유럽의 자동차 사이버보안 법규를 기반으로 사이버보안 관리체계 인증과 VTA에 대한 성공 사례를 보유하고 있습니다. CRA 대응이 필요하시다면, 사이버보안 법규에 대한 이해도가 높은 페스카로에 연락주시면 좋을 것 같습니다.

6. CRA 인증을 위해 준비해야 할 산출물을 알고 싶어요.

CRA 인증을 위한 적합성 평가 모듈 (출처 = 페스카로)

CRA 인증 대응을 위해서 준비해야 하는 산출물은 CRA Regulation Annex Ⅶ 에 명기되어 있습니다.

CRA 인증 과정은 제품 특성을 고려한 적합성 평가 방법에 따라 진행됩니다. 앞서 소개한 것과 같이 모듈 A, 모듈 B+C, 모듈 H 3가지 선택지가 있습니다. 적합성 평가 모듈은 여러 선택지가 있지만, 적합성 평가 자체를 수행하는 절차 및 기준은 동일합니다.

제품에 대한 적합성 평가를 수행할 때 적용되는 평가 기준은 CRA AnnexⅠ에 명기된 필수 사이버보안 요구사항들입니다. 적합성 평가를 할 때, 대상 산출물은 CRA Annex Ⅶ 에 명기된 기술 문서 목록입니다.

즉, 제품에 대한 CRA가 요구하는 기술 문서를 대상으로 AnnexⅠ의 필수 사이버보안 요구사항을 준수하는지 여부를 평가하는 것이 적합성 평가 과정입니다.

CRA 인증을 위한 구체적인 산출물 (출처 = 페스카로)

구체적으로 준비해야 하는 산출물에 대해 설명하겠습니다. CRA Annex Ⅶ 에 명기된 ‘기술 문서’로써 요구되는 산출물을 살펴보겠습니다. 산출물은 총 9건을 준비해야 합니다.

 1. 제품에 대한 일반 사양 정보를 기술한 문서- 제품의 용도

        - CRA 필수 사이버보안 요구사항과 관련이 있는 SW의 버전 정보

        - HW 제품인 경우 외부 기능 및 표시, 레이아웃 사진·그림

        - 사용자에게 제공되어야 하는 보안 관련 제품 정보 및 지침 (해당 사항은 CRA Annex Ⅱ에 명기됨)

 2. 제품 설계 및 개발에 필요한 기본 정보

 3. 취약점 발생 시 대응을 위한 오픈 소스 라이브러리 정보 (오픈 소스 정보는 SW BOM 형식으로 문서화 필요)

 4. 생산 공정과 시장에 판매된 제품에 대한 보안 모니터링 프로세스에 대한 정보

 5. 제품에 대한 사이버보안 위험 평가 결과 (TARA 산출물)

 6. 제품에 대한 사이버보안 지원기간 및 관련 정보

 7. CRA AnnexⅠ필수 사이버보안 요구사항을 대응하기 위해서, 제품에 채택된 보안 솔루션들에 대한 정보

 8. 해당 제품이 CRA AnnexⅠ필수 사이버보안 요구사항을 충족하는지 여부를 시험한 결과 보고서

 9. 적합성 평가 완료 시 생산된 제품에 CE 마크를 부착 후 적합성 선언문 작성 (해당 적합성 선언문 사본이 이 기술 문서에 포함됨)

적합성 평가 대상 제품에 대한 기술 문서가 준비되면, 적합성 평가를 수행하고 그 결과를 기록하게 됩니다. 적합성 평가가 완료되면 생산되는 제품에 CE 마크를 부착하게 되고 해당 제품에 대한 EU 적합성 선언문을 작성하게 됩니다. 해당 적합성 평가 결과를 포함하는 제품에 대한 기술 문서는 최소 10년간 보관되어야 하며, 정부 당국에서 요청한 경우 제공될 수 있어야 합니다.

7. CRA 인증만 획득하면 CRA 대응 업무는 끝인가요?

CRA 인증 이후의 대응 업무 (출처 = 페스카로)

CRA는 제품의 전체 수명 주기 동안 지속적인 사이버보안 관리와 유지보수를 요구하는 규제이기 때문에 인증을 획득한다고 끝나지 않습니다.

보안 업데이트 및 패치 관리, 취약점 관리 및 보고, 기술 문서 및 리스크 평가 유지(최신화), 지속적인 규제 준수, 지원 종료 시 사용자에게 알림 등 인증을 획득한 이후에도 제품에 대한 서비스가 종료될 때까지 이러한 다양한 의무를 지속적으로 이행해야 합니다.

또한, 인증은 회사가 받는 것이 아닌 제품 단위로 받아야 하기 때문에 새로운 제품이 출시될 때마다 관리 대상이 누적적으로 증가하여 업무 오버헤드가 급격히 증가하게 됩니다. 정확한 수치는 제품을 구성하는 하위 제어기 수에 따라 달라지겠지만, 일반적으로 제품 1개 당 사이버보안 규제 대응을 위한 문서 산출물 개수가 1000 여개 수준입니다.

수 천개 문서 산출물들 간의 일관성, 정확성, 완전성을 만족시켜야 규제 대응이 가능하지만 이를 일일이 사람이 수작업으로 대응하기에는 많은 어려움이 존재합니다.

자동차 업계에서도 사이버보안 규제에 대응할 때, 지속적인 대응과 산출물 준비하는 부분을 가장 어려워하셨고 인증 획득 이후에 대한 대응도 쉽지 않았습니다.

CRA 인증 이후의 수행 업무 (출처 = 페스카로)

특히, 제품에 대한 사이버보안 엔지니어링 업무뿐만 아니라 사이버보안 규제 대응 업무도 수행해야 하여 제품을 확대 전개할 때마다 추가 인력의 투입이 불가피한 구조입니다. 사이버보안 엔지니어링 업무의 예시를 설명드리면, 위험분석 및 위협평가인 TARA, 보안 요구사항 정의, 보안 어플리케이션 설계 및 개발, 취약점 분석 및 펜테스트 등 제품 개발 과정에서 보안을 기능으로 구현하는 일이 있습니다.

또 사이버보안 규제 대응 업무의 예시로는 규제 해석 및 요구사항 도출, 제3자 인증 대응, 감사 및 평가 준비 등 법·규정을 준수하는지를 증명하는 일이 있습니다. (거버넌스적인 측면)

이에 제품이 확대될 때마다 사이버보안 엔지니어링 업무뿐만 아니라 사이버보안 규제 대응 업무도 지속되어야 합니다.

8. 인증 획득 이후, 사이버보안 업무의 효율적인 운영관리 방법이 궁금해요.

사이버보안 업무의 효율적인 운영관리 방법 (출처 = 페스카로)

사람 중심의 업무 체계에서 시스템 중심의 업무 체계로 전환하면 됩니다.

실제 사례로 설명을 드리면, 페스카로는 이미 시스템 중심의 업무 체계를 구축하고 사이버보안 유럽 인증 획득 및 획득 이후 지속적인 대응에 성공했습니다.

지속 순환형 운영 관리 시스템과 업무 간 자동 연계 시스템을 구축한 실제 사례를 조금 더 구체적으로 설명드리겠습니다.

1) 제품 생명주기 전반에 걸친 지속 순환형 운영 관리 시스템 구축

개발 단계부터 생산 및 출시 단계, 필드 운영 단계까지 사이버보안 및 소프트웨어 업데이트 규제 대응을 위한 모든 업무들을 전산화했습니다. 또한 OEM의 생산라인이나 정비소, 커넥티비티 차량과도 연계가 되어 각 단계 별로 차량의 상태와 차량에서 발생한 보안 이벤트들을 수집하고, 보안 이벤트 발생 원인을 분석하고, 분석한 결과에 따라 다시 개발 단계로 진입하는 순환형 업무 시스템을 구축하여 운영하고 있습니다.

이 ‘지속 순환형 운영 관리 시스템’을 통해 두 가지 효과를 얻을 수 있었습니다. 첫째, 조직 자산화가 가능했습니다. 시스템에 지속적으로 업무 이력이 쌓이면서 개인 경험 중심에서 조직 자산으로의 전환이 이루어졌습니다. 즉 지속적 내재화와 고도화가 가능합니다. 둘째, 제품의 지속적 품질 고도화가 가능했습니다. 사이버보안 관련 필드 이슈 발생 시 신속하게 대응할 수 있었고, 대응 사례가 축적됨에 따라 제품의 지속적인 품질 향상이 가능했으며, 이는 신규 모델 개발 시에도 유용한 참고자료로 활용될 수 있었습니다.

많은 기업이 지속적으로 추구하는 목표 '내재화'와 '품질 고도화'를 달성할 수 있었습니다.

2) 업무 간 자동 연계 시스템 구축

‘업무 간 자동 연계 시스템’ 구축 사례는 다음과 같습니다. 업무 간의 종속성을 사전에 분석하여 자동 연계 시스템을 구축함으로써, 사람이 특정 한 부분만 변경하면 관련 있는 모든 업무들이 시스템에 일관되게 자동으로 반영될 수 있도록 하였습니다. 예를 들어, 요구사항이 변경되면, 요구사항과 연관된 기능 테스트 항목, 보안 테스트 항목, 규제 대응 문서 등이 자동으로 변경됩니다.

마찬가지로 두 가지 효과가 있었습니다. 첫째, 생산성 향상 & 업무 리소스와 비용을 절감했습니다. 반복 업무와 문서 관리에 대한 부담을 시스템에게 넘김으로써, 사람의 업무 투입 리소스를 획기적으로 절감했습니다. 둘째, 규제 대응 일관성을 확보했습니다. 담당자의 업무 스타일에 영향받지 않고 일관된 품질 수준을 유지하며 조직적으로 일관된 규제 대응이 가능했습니다.

(출처 = 페스카로)

페스카로는 이러한 사이버보안 규제 대응에 대한 성공 사례를 활용해서, ‘CSMS 포털(Portal)'을 개발하고 있습니다. 사이버보안 업무를 자동화해 인증 획득 프로세스에 대한 편의성을 높이고, 인증 획득 이후에도 지속적인 운영 관리의 효율성을 극대화했습니다. 간편하게 사이버보안을 지속적으로 고도화하고 싶다면, CSMS 포털을 검토해 보시는 것을 추천드립니다.

---

■ 보너스 질문

이렇게 끝내기 아쉬운 분들을 위하여 웨비나 사전 등록 시 문의주신 내용을 추가로 다뤘습니다. 위에서 다룬 내용들 외에 가장 궁금해하시는 질문 5개를 선정했습니다. 전문가 패널의 답변이 궁금하신 분들은 영상을 통해 확인해 주세요. (40:35 부터~)

1. 건설기계용 부가 작업장치(option)도 CRA를 준수해야 하나요?
2. 물리적으로 접근 가능한 네트워크포트가 있다면 CRA 대응을 고려해야 하나요?
3. ISO/SAE 21434 이상으로 어떤 활동들을 해야 할까요?
4. RED 규제와 CRA 규제 차이점은 뭔가요?
5. 사이버보안 대응을 위해 비용을 최적화할 수 있는 방법이 있나요?

---

• 백*익 상무   "시간이 짧아 아쉬웠지만, 유사업종 담당자들의 고민을 서로 나누고 파악할 수 있어 의미있었습니다."
• 전*규 책임   "건설기계도 사이버보안이 필요하다는 걸 깨달았고, 실제 현업에서 도움이 될만한 내용이 많아 좋았습니다."
• 정*름 대리   "CRA가 다소 광범위한데, 다양한 분야와 계층의 사람들이 듣기에 유익했습니다."

페스카로, 자동차 사이버보안 국가 인증제 위한 '평가 시스템' 구축 완료

페스카로, 농기계·건설기계 제작사 대상 사이버보안 무료 웨비나 개최