![]()
구성서 페스카로 상무 (사진 = 페스카로)
[공학저널 전찬민 기자] 차량은 이제 소프트웨어로 움직이는 거대한 컴퓨터, 즉 SDV(Software Defined Vehicle)로 진화하고 있으며, 차량 간 연결성, 무선 업데이트(OTA), 자율주행 기능이 확대될수록 해커가 노릴 수 있는 공격 표면도 함께 늘어나고 있다. 특히 자동차에 대한 사이버 공격은 단순한 개인정보 유출에 그치지 않고 차량 기능의 오작동이나 안전사고로 직결될 수 있다는 점에서 그 위험성이 다른 산업과 다르다고 볼 수 있다.
실제로 2015년 해외에서는 주행 중인 차량을 원격으로 해킹해 제동과 조향을 제어하는 시연이 이뤄졌고, 이로 인해 약 140만 대가 리콜되는 사건이 발생했다. 이는 사이버보안이 곧 안전의 문제임을 보여준 상징적 사례다.
차량 한 대에는 수많은 전자제어기와 소프트웨어가 탑재돼 있어 하나의 위협이 차량 전체, 나아가 제작사 전체의 리스크로 확대될 수 있다. 이 때문에 사이버보안을 일회성이 아닌 체계적으로 관리하고 지속적으로 고도화하는 ‘관리체계’의 구축이 필요해졌으며, 이제 사이버보안은 선택이 아니라 차량의 품질과 안전성을 결정하는 핵심 요소가 됐다.
이에 유엔 유럽경제위원회(UNECE)는 유럽 자동차 사이버보안 법규로 UN R155를 제정해 자동차 제작사가 개발부터 양산·운용 전 단계에 걸쳐 사이버보안 관리체계(CSMS)를 갖추고 인증을 취득하도록 의무화하고 있다. 국내에서도 UN R155를 참고해 자동차관리법을 개정함으로써 자동차 사이버보안 규제를 의무화했다.
지난해 8월에는 신규 차종에 대해 자동차 사이버보안 인증을 의무 적용했고, 2027년 8월부터는 기존 양산차까지 적용 범위가 확대될 예정이다. 해당 인증을 획득해야만 차량 판매가 가능하기 때문에 자동차 제작사들이 규제 준수를 위해 적극적으로 대응에 나서고 있다.
또한 차량 전체의 안전성을 확보하려면 차량에 탑재된 개별 전장제어기에도 사이버보안이 적용돼야 한다. 이에 따라 자동차 제작사는 제어기 개발사에 대해 개발 단계부터 생산, 운영, 양산 이후 사고 대응까지 생애 전 주기에 걸친 사이버보안 관리체계를 요구하는 추세이며, 이를 통해 산업 생태계 전반의 사이버보안 수준이 함께 강화되고 있다.
다만 국내 부품·소프트웨어 기업 상당수가 아직 체계적 보안 역량을 충분히 갖추지 못한 것이 현실이다. 바로 이 지점에서 ㈜페스카로와 같은 전문기업의 역할이 중요해지고 있다.
페스카로는 자동차 사이버보안 규제 및 표준 대응 과정에서 발생하는 모든 업무를 하나의 체계로 통합 관리하는 플랫폼 ‘CSMS Portal’을 개발하며 차량 사이버보안 엔지니어링 AI 전환을 선도하고 있다. CSMS Portal은 특히 사이버보안 요구사항 관리, TARA(위협 분석 및 위험 평가), 검증, 산출물 관리, 그리고 양산 이후 보안 이벤트 대응에 이르기까지 그동안 분산돼 있던 업무들을 하나의 흐름으로 연결한다는 것이 특징이다.
고객사는 CSMS Portal이 안내하는 프로세스대로 업무를 진행하기만 하면 규제와 표준에 체계적으로 대응할 수 있으며, 동시에 업무의 효율성과 추적성(Traceability)도 높일 수 있도록 설계됐다. 즉, CSMS Portal은 사이버보안 운영 체계 자체를 디지털화한 플랫폼이라는 점에서 차별성을 가지고 있으며, 표준화된 가이드와 산출물 관리 기능을 통해 보안 전담 조직을 갖추기 어려운 기업도 국제 규제 수준의 운영 역량을 단계적으로 확보할 수 있다.
페스카로 구성서 상무(사진)는 “과거에는 자동차 사이버보안 인증을 획득하는 것이 목표였다면, 이제는 인증 이후의 지속적인 운영과 관리가 더욱 중요해지고 있다”며 “사이버 위협은 끊임없이 진화하고 있고, 재인증과 사후 점검 또한 정기적으로 이뤄지기 때문에 CSMS Portal은 반복되는 규제 대응 업무를 표준화해 차종 확대나 플랫폼 변경 시에도 효율적으로 대응할 수 있도록 지원한다”고 말했다.
그는 이어 “이를 통해 고객사는 보안 수준을 높이는 동시에 개발, 운영 비용을 절감할 수 있다”며 “나아가 사이버보안 운영과 관리를 외부에 의존하지 않고 내부에서 직접 수행하게 되면서 궁극적으로 사이버보안 역량을 조직 내부에 내재화할 수 있다는 것을 기대할 수 있다”고 덧붙였다.
자동차 전자제어기 개발자와 화이트해커가 함께 설립된 페스카로는 보안 기술뿐 아니라 차량 개발 프로세스와 양산 환경을 깊이 이해하고 있다는 점이 가장 큰 강점이다. 이 두 가지 전문성을 모두 갖춘 기업은 국내뿐만 아니라 해외에서도 흔치 않은 사례다.
특히 페스카로는 유럽의 자동차 사이버보안 규제가 도입되던 초기부터 자동차 제작사와 함께 대응 체계를 구축하고 실제 인증 획득까지 지원해 왔다. 이 과정에서 차량 전체의 보안 전략 수립부터 수십 개에 이르는 개별 제어기의 위협 분석, 보안솔루션 적용까지 전 과정을 직접 수행하며 전문성을 축적했으며, 그 결과 국내 최초로 고객사의 국제 4대 자동차 사이버보안 인증(CSMS·SUMS·VTA·ISO/SAE 21434) 획득을 지원하는 등 업계에서 주목받는 성공 레퍼런스를 확보했다.
또한 전장제어기 사업도 본격화하고 있다. 수년 전부터 사이버보안 게이트웨이 제어기를 소프트웨어부터 하드웨어까지 직접 개발해 차량에 양산하며 역량을 인정받아 왔다.
최근에는 제어기 개발사 ‘모트랩(MOTLAB)’과 자동차부품 제조기업 ‘JS오토모티브’를 인수해 개발과 생산 역량은 물론 글로벌 품질 수준까지 확보했다. 이로써 사이버보안·전장소프트웨어·생산을 하나로 잇는 수직계열화된 SDV 통합 공급체계를 구축해 차별화된 경쟁력을 갖추게 됐다.
현재 페스카로는 이러한 ‘사이버보안-전장소프트웨어-생산’으로 이어지는 수직계열화 체계를 더욱 고도화하는 데 집중하고 있다. CSMS Portal을 중심으로 사이버보안 규제 및 표준 대응 노하우를 플랫폼화하고, 게이트웨이를 비롯한 전장제어기 라인업을 확대해 SDV 시대에 요구되는 통합솔루션을 제공하는 것을 목표로 하고 있다.
구 상무는 “페스카로는 글로벌 시장 공략을 본격화하고자 UN R155를 비롯한 국제 규제가 전 세계로 확산되는 흐름을 기회로 삼고 있다”며 “초기부터 유럽 규제 대응을 함께해 온 경험과 국제 4대 인증 지원 레퍼런스를 바탕으로 해외 자동차 제작사와 부품사를 대상으로 한 컨설팅·인증 지원·솔루션 공급을 확대할 계획”이라고 말했다.
그는 이어 “또한 JS오토모티브 인수를 통해 확보한 글로벌 품질 역량으로 해외 시장 진출의 든든한 기반을 마련하게 됐고, 나아가 자동차에서 축적한 사이버보안 기술과 관리체계 운영 노하우는 철도, OT(운영기술) 등 다른 모빌리티·산업 영역으로도 확장 적용이 가능하다”며 “페스카로는 이러한 기술 자산을 토대로 자동차를 넘어 미래 모빌리티 전반의 사이버보안을 책임지는 신뢰할 수 있는 파트너로 성장해 나가갈 계획”이라고 덧붙였다.
- 출처 : 공학저널 (진화하는 자동차 사이버 위협, 사이버보안 통합 관리 플랫폼으로 해결)