복잡한 사이버보안 규제 대응 업무를 자동화하려면? ‘CSMS 포털’의 등장
자동차 사이버보안 승부처, 규제 인증 아닌 ‘지속적인 운영 관리’
반복적인 사이버보안 규제 대응 업무 (출처 = 페스카로)
자동차가 소프트웨어 중심으로 진화하면서, 사이버보안이 새로운 안전장치로 자리 잡고 있다. 유럽, 한국, 중국 등 주요국은 사이버보안을 법제화하며 대응하고 있다. 하지만 승부처는 인증 그 자체가 아닌, 차량이 도로 위를 달리는 수년 동안의 ‘지속 가능한 운영’에 있다. 업계는 수많은 차종과 반복되는 규제 대응 업무의 효율성을 높이기 위해 체계적인 운영 플랫폼이 필요해졌다. 이에 페스카로(FESCARO)는 사이버보안의 업무를 통합 관리하고 지속적으로 운영 관리할 수 있는 자동화 플랫폼 ‘CSMS 포털’을 개발했다. CSMS 포털은 인증 획득을 넘어, 사이버보안의 ‘고도화’를 가능케 하는 실질적인 대안이자 해법이다.
새로운 안전장치 : 자동차 사이버보안 규제 인증
한때 자동차는 ‘철과 기름의 예술’이라 불렸지만, 지금은 ‘달리는 컴퓨터’에 가깝다. 자율주행 기술, 무선 소프트웨어 업데이트(OTA) 등으로 빠르게 디지털화되고 있기 때문이다. 동시에 차량을 겨냥한 사이버공격이 현실적인 위협으로 부상하자, 이에 대응하기 위한 법적 규제가 전 세계적으로 강화되고 있다.
유럽연합(EU)은 자동차 사이버보안 규제를 2020년 제정했으며, 2022년부터 본격적으로 시행했다. UN Regulation 155(사이버보안 관리체계)와 156(소프트웨어 업데이트 관리체계)을 준수하지 못한 차량은 유럽에서 판매할 수 없게 되었다. 국내에서도 자동차관리법을 개정하며 사이버보안을 의무화했으며, 오는 8월부터 시행될 예정이다. 중국은 ‘GB 44495-2024’, 인도는 ‘AIS-189’로 규제에 뛰어들었다. 전 세계적으로 자동차 산업 전반에 사이버보안 인증 없는 차량은 ‘판매 불가’한 시대가 도래한 것이다. 여기에 유럽연합이 제정한 사이버복원력법(CRA, Cyber Resilience Act)은 디지털 요소가 포함된 모든 제품에 적용된다. 농기계와 건설기계 등 모빌리티 산업 전반에 사이버보안이 적용될 예정이다.
안전벨트가 생명을 지키듯, 사이버보안이 또 하나의 안전장치가 되고 있다. 이제 사이버위협에 대한 대응이 기업의 신뢰도와 시장 경쟁력을 좌우하게 될 것으로 보인다.
자동차 사이버보안 인증은 출발선, 본 게임은 ‘운영 관리’
EU가 선제적으로 자동차 사이버보안 규제를 본격화하면서, 완성차 제작사(OEM)들은 앞다투어 보안 인증을 획득하기 위한 체계 구축에 나섰다. 그러나 제작사들은 사이버보안의 진정한 과제가 인증 취득이 아닌 그 이후의 ‘운영·관리’라는 것을 깨달았다.
차 한 대가 출시되면 그 생애주기는 최소 10년에서 길게는 15년에 이른다. 이 기간 동안 해킹 기법은 끊임없이 진화하기 때문에 보안 대응도 지속 가능한 운영 체계로 전환돼야 한다. 인증을 위한 일회성 대응이 아니라, 실시간으로 보안 취약점을 모니터링하고, 신속하고 지속적인 대응이 가능한 체계가 뒷받침되어야 한다는 의미다.
특히 연간 수백만대를 출고하는 대규모 제작사일수록 상황은 복잡해진다. 차종이 늘고 판매량이 쌓일수록 각기 다른 전장 구성과 보안 환경을 가진 차량을 동시에 관리해야 하는 ‘운영 난이도’가 눈덩이처럼 불어난다. 하나의 부품에서 발견된 보안 취약점이 수십개 차종, 수백만대 차량에 연쇄적으로 영향을 미치는 사례는 결코 이론적 우려에 그치지 않는다.
사이버공격은 100% 차단이 불가능하다는 점에서, 자동차 산업은 ‘지속적인 사이버보안 운영 및 관리’를 중시하는 방향으로 패러다임이 전환되고 있다.
차량 수명주기를 관통하는 사이버보안, ‘CSMS 포털’로 통합 관리
신규 차종은 계속 출시되고, 소프트웨어 업데이트는 수시로 이루어지며, 보안 프로세스는 수백명의 이해관계자와 연결돼 복잡하게 얽혀 있다. 이 과정에서 다양한 보안 산출물과 검토 작업이 수작업으로 이루어지면 ‘휴먼 에러(Human Error)’가 발생하고, 운영 부담은 시간이 지날수록 증가한다. 페스카로는 이러한 시장의 흐름에 대응해 자동차 사이버보안 운영 업무를 효율적으로 관리할 수 있는 ‘CSMS 포털(Portal)’을 개발했다.
CSMS 포털은 인증을 준비하는 초기 단계부터 차량 양산 이후 수년간의 운영까지 전 과정을 통합 관리할 수 있다. 먼저 TARA(위협분석 및 위험평가), 보안 솔루션, 보안 테스팅 등 법규 대응에 필요한 업무를 자동화할 수 있다. 또한 인증 획득 이후에도 산출물 업데이트 및 이력 관리, 보안 취약점 모니터링, 보안 점검 관리 등을 체계적으로 수행할 수 있다.
CSMS 포털은 단순한 인증 획득을 넘어, 사이버보안의 지속 운영과 체계적 고도화를 가능하게 한다. 차량 수명주기 전반을 아우르는 이 플랫폼을 통해, 사이버보안 운영의 복잡성과 인적 부담을 근본적으로 해소할 수 있다. 궁극적으로 고객이 사이버보안 대응에 매몰되지 않고, 본연의 제품 개발과 비즈니스에 집중할 수 있기를 기대한다.
자동차 사이버보안 규제 대응에 특화된 자동화 플랫폼 ‘CSMS 포털(Portal)’
CSMS 포털은 자동차 사이버보안을 ‘지속 가능한 운영 체계’로 관리해야 한다는 관점에서 설계된 플랫폼이다. 컴플라이언스와 운영 현장의 요구를 연결해 실효성을 높였으며, 보안 규제의 본질부터 운영까지 전 과정을 체계적으로 지원하다. 또한 업계에서 유일하게 프로세스 정립(추상화), 프로젝트 협업(ALM), 보안 운영(vSOC) 기능을 단일 플랫폼에서 통합 제공한다. 단순히 문서화, 감사 대응, 모니터링을 하는 도구를 넘어 개발부터 양산, 유지보수까지 보안을 일관되게 관리할 수 있는 데브섹옵스(DevSecOps) 콘셉트를 구현했다. 이로써 차량 생애주기 전반을 아우르며 운영 효율성과 사이버보안 지속성 및 고도화를 동시에 실현할 수 있다.
[2025 자동차 보안 솔루션 리포트] 성공 3박자 갖춰진 자동차 보안 산업")>