사이버보안 위협 급증하는 미래자동차, 국내 기업 3사의 보안 대응전략은?

LG전자, 세계 주요국 커넥티드카 보안 규제에 선제 대응하며 핵심 솔루션 개발 속도
현대오토에버, 방화벽과 침입탐지 시스템 등 IT 보안기술 적극 도입 및 OTA 강화
아우토크립트, 차량 내부안전과 협력주행 위한 V2X 통신보안 등 경쟁력 강화 주력

[보안뉴스 김영명 기자] 자율주행 자동차 또는 커넥티드카의 상용화를 위한 전 세계 기업 간 경쟁이 치열해지고 있다. 커넥티드카는 첨단 과학기술이 접목되면서 사람이 직접 운전하는 전통적인 방식을 뛰어 넘어 자율주행 시에도 인간의 생명과 신체의 안전을 획기적으로 개선할 것으로 예상된다.

[이미지=utoimage]

하지만 자율주행 기능 접목으로 자동차의 많은 부분이 전자적 방식으로 대체되면서 해킹을 통한 보안위협도 고조되고 있다. 차량을 원격으로 접속, 해당 차량을 제어할 수 있다는 것이 시연 등을 통해 만천하에 드러났기 때문이다. 2015년에 개최된 블랙햇(Black Hat)에서 원격으로 주행 중인 차량을 해킹해 와이퍼 등 기능 작동과 함께 엔진 정지를 실제 시연, 성공하면서 업계에 큰 충격을 주기도 했다.

이에 대응하기 위해 유엔유럽경제위원회(UNECE)는 올해 7월부터 유럽에서 생산되는 모든 자동차에 사이버보안을 위한 기술적 조치를 의무화할 것을 규정했다. 이렇듯 전 세계적으로 미래자동차의 사이버보안 강화 추세가 본격화됨에 따라 국내 기업들의 움직임도 빨라지고 있다. 이에 본지는 LG전자, 현대오토에버, 아우토크립트 등 국내 커넥티드카의 사이버보안 기술개발에 적극 나서고 있는 3사의 관계자를 만나 인터뷰를 진행했다.

▲LG전자 로고[이미지=LG전자]

△ LG전자, 보안규제 선제 대응하며 글로벌 톱티어 발돋움
LG전자 VS(Vehicle component Solutions) 사업본부는 AVN(Audio, Video, Navigation), 텔레메틱스, ADAS, 전기차 모터 등을 생산하고 있다. 지난해에는 이스라엘 사이버보안 선도기업인 사이벨럼(Cybellum)의 주식 63.9%를 인수하는 등 자율주행차와 전기차, 커넥티드카 시장을 선도하며 글로벌 톱티어(Top Tier) 자동차 부품기업으로 거듭나고 있다. LG전자 H&A/VS 홍보팀 담당자로부터 LG전자의 커넥티드카 사이버보안 이야기를 들어봤다.

LG전자 VS사업본부와 전장사업 분야를 소개한다면 LG전자는 전장사업을 미래성장동력으로 주목하고 있으며, 인포테인먼트, 전기차 파워트레인, 차량용 조명 등 3개축으로 사업군 재편을 통해 미래사업에 체계적으로 대비하고 있다.

지난해 9월에는 사이버보안 분야 선도기업인 사이벨럼(Cybellum)의 지분을 확보하는 주식매매 계약을 체결했으며, 올해 11월에는 지분 69.6%를 확보하는 주식 매매 절차를 완료했다. 사이벨럼은 이스라엘 텔아비브에 본사가 있으며, 자동차 사이버보안 관련 취약점 점검이 가능한 솔루션 역량을 갖춘 기업이다.

LG전자의 자율주행차 사이버보안 강화를 위한 주요 이슈는 LG전자는 전장사업의 사이버보안 경쟁력을 세계 최고 수준으로 끌어올릴 계획이다. 또한 ‘미래 모빌리티를 위한 혁신 파트너’라는 전장사업 비전을 현실화할 방침이다.

사이벨럼의 주식 인수는 자동차 부품설계-개발-주행 등 라이프사이클 전반에 걸쳐 사이버보안이 자동차의 품질에 중요한 역할을 하는 기준으로 자리한다는 것을 의미한다. 특히, 자율주행 기술단계가 상향될수록 커넥티드카의 신기술이 많이 접목되면서 수많은 구성요소가 복합적이고 유기적으로 진화해 나가며 자동차 사이버보안의 역할은 더욱 중요해질 것이다.

자동차 사이버보안 역량 강화를 위한 VS사업본부의 계획은 LG전자는 지구온난화 등 기후위기에 대비하기 위해 자동차 전동화 트렌드를 세계적인 추세와 맞춰가고 있다. LG전자는 지난해 7월 세계 3위의 자동차 부품기업인 캐나다의 마그나 인터내셔널(Magna International)과 함께 ‘엘지마그나 이파워트레인’이라는 전기차 파워트레인 분야 합작법인도 설립했다.

LG전자는 내연기관차에서 전기차로의 자동차 시장 트렌드 변화에 발맞춰 미래 커넥티드카 시대를 준비해 나갈 계획이다. 자동차 사이버보안 시장에서 세계 주요 국가의 다양한 커넥티드카 규제에 선제 대응하며 운전자용 디스플레이, 도메인 컨트롤러, 비전 시스템 등 핵심 솔루션에 대해 세계 경쟁력을 더욱 강화해나갈 것이다.

▲현대오토에버 로고[이미지=현대오토에버]

△ 현대오토에버, UNECE 제시 사이버보안 요구사항 충족
현대오토에버는 자동차 내부 영역과 외부 영역 전반의 소프트웨어와 인프라를 안정적이고, 효율적이며, 혁신적으로 지원하는 ‘모빌리티 테크’ 기업이다. 현대오토에버는 모빌리티 소프트웨어 플랫폼을 구축해 하드웨어와 소프트웨어를 유연하게 연결하며, 클라우드와 데이터 서비스를 기반으로 다가올 모빌리티 생태계의 새로운 가치를 창출하고 있다.

자동차 사이버보안 분야의 국내 기술발전 추세는 지금의 자동차는 기능 대부분을 소프트웨어로 제어해 달리는 컴퓨터나 다름없다. 이는 자율주행 및 편안한 자동차 제작의 필수조건이자 기술이다. 이러한 변화 속에서 해커는 기술의 발전을 악용하며 사이버범죄를 일으키고 있다. 자동차의 사이버보안이 제대로 이뤄지지 않는다면 해커가 자동차 시스템에 침입해 운전자의 개인정보를 훔치거나, 최악의 경우 조작권을 탈취하는 일도 발생할 수 있다. 영화 속에서나 벌어질 만한 일들이 현실적인 위협으로 다가오며, 제조사들은 사이버보안 수준을 강화하고 있다.

세계 각국의 정부나 협회 또한 자동차의 사이버보안 관련 법규를 강화하고 있다. 현대오토에버는 올해 5월 자동차 사이버보안 엔지니어링 국제 표준인 ‘ISO/SAE 21434’를 준수해 독일의 글로벌 시험·인증기관인 TUV 라인란드(TUV Rheinland)로부터 사이버보안 관리체계 인증을 받았다. 현대오토에버의 TUV 라인란드의 인증은 유럽경제위원회가 제시한 사이버보안에 필요한 모든 사항을 충족하고 있다는 것을 의미한다.

현대오토에버의 자동차 사이버보안 분야 핵심 경쟁력은? 자동차는 컴퓨터, 스마트폰과 유사한 기기로 진화하고 있으며, 특히 와이파이, 블루투스, OTA(Over The Air : 무선 소프트웨어 업데이트) 등의 도입으로 연결성이 크게 확장됐다. 이러한 기능은 운전자 편의를 위해 도입됐지만, 오히려 사이버공격의 통로가 될 수도 있다. 따라서 방화벽과 침입탐지 시스템 등 IT 보안기술을 적극 도입하고 있으며, OTA로 최신 버전을 유지하도록 만전을 기하고 있다.

자동차 사이버보안은 ‘기술적 보안’에서 ‘절차적 보안’으로 폭을 넓히고 있다. 절차적 보안은 개발 도중 실수를 덜기 위해 콘셉트, 개발, 통합, 테스트 등 단계별 확인과 검증을 거듭하는 과정이다. 현대오토에버가 받은 ISO/SAE 21434 인증도 절차적 보안에 초점을 두고 있다.

절차적 보안은 사이버보안 사고의 근본 원인이 실수에서 비롯된다는 개념에서 나왔다. 가령 ID나 비밀번호를 입력할 때 ‘해당 ID가 존재하지 않는다’고 알려주는 것은 실수다. 공격자가 공격에 활용 가능한 목록을 파악할 수 있기 때문이다. 절차적 보안 과정의 도입은 ID·비밀번호 도입 기획 단계부터 사이버보안 사항을 검토하고, 대응법을 연구하는 것을 의미한다.

자동차 사이버보안 강화를 위한 향후 계획이 있다면 사이버보안 강화는 고객의 안전을 지키고 피해에 대비하기 위한 활동이다. 운전자들은 평소에 느낄 수는 없지만, 사고 발생 시 큰 피해를 일으킬 수 있어 꼼꼼한 대책 마련이 중요하다. 미래에는 사이버보안 수준이 자동차의 스펙을 가늠하는 척도 중 하나가 된다. 향후 자동차의 연결성은 더욱 높아지고, 해커의 공격 시도도 급증할 것이다. 이제는 엄격한 사이버보안 정책 수립과 더 빠른 보안 인증을 선보여야 한다. 미래에는 자동차의 사이버보안이 고객의 선택에 영향을 미치는 중요한 기준이 될 것으로 보인다.

현재 스마트폰이 ID나 비밀번호 대신 지문인식과 얼굴인식을 사용하는 것처럼, 자동차도 손쉬운 보안기술이 적용되고, 스마트기기와의 연결도 늘어나면서 보안성과 편의성이 높아질 것이다. 현대오토에버는 기술과 절차 모두 꼼꼼하게 살피며 증가할 사이버보안 위협에 대응하고 있다. 안전을 위한 현대차그룹의 노력은 보이지 않는 곳에서도 끊임없이 이어지고 있다.

▲아우토크립트 로고[이미지=아우토크립트]

△ 아우토크립트, V2X 네트워크 보안 핵심기술 보유
아우토크립트(AUTOCRYPT)는 2019년 자동차 보안에서 출발한 자율주행 보안 기업이며, 자율주행 보안을 바탕으로 모빌리티 플랫폼을 제공하고 있다. 아우토크립트는 축적된 기술력과 서비스 경험으로 자동차 전장보안, V2X(Vehicle to Everything : 자율주행 통신보안) 등을 해외에 납품하는 자동차 토탈 보안 솔루션 기업으로 230명이 넘는 직원이 함께하고 있다. 김덕수 아우토크립트 부사장을 통해 아우토크립트의 자동차 보안시장의 방향성에 대해 들어봤다.

자동차 사이버보안의 국내 기술발전 단계를 설명한다면 자동차 사이버보안은 매우 복잡한 분야이기 때문에 전반적으로 평가하기는 어렵다. 자동차 사이버보안의 핵심은 커넥티드카 내부 보안(차량 해킹), 커넥티드카 주행 중 연결상태 보안(네트워크 보안), 네크워크 망에 의한 연결망 보안 등으로 요약할 수 있다. 자동차 내부보안은 올해 7월 UN 산하 UNECE(UN경제위원회)에서 글로벌 규제를 발효했으며, 우리 제조사의 수준도 세계와 어깨를 견주고 있다.

자율주행을 위해서는 V2X와 같은 네트워크 보안이 필요하다. 팬데믹 이전까지만 해도 국내 기업이 세계시장을 선점했지만, 지금은 중국과 일본이 치고 올라가고 있다. 충전 네트워크 보안 기업은 국내에서는 아우토크립트가 유일하다. 국내에는 아직 충전 시스템과 관련한 보안 규정과 규제가 없어 충전 서비스에서의 보안 수요는 낮다. 충전소 확충, 급속 충전 확대 등 양적 확장에만 집중할 뿐, 사이버보안 등 질적 확장은 주목받지 못하고 있다.

유럽은 커넥티드카 충전 보안 파트에서도 일정 수준의 보안규정이 마련돼 현재 아우토크립트가 기술을 제공하고 있다. 상대적으로 국내 충전 보안은 취약하지만, 충전환경을 갖추는 게 우선이고, 장기적으로는 충전 보안도 꼭 해결해야 할 과제라고 생각한다.

아우토크립트의 자동차 보안 강화를 위한 핵심 경쟁력은 커넥티드 카에는 수많은 소프트웨어가 프로그래밍 돼 있어 소프트웨어와 네트워크가 안전해야 한다. 자율주행은 흔히 카메라의 역할로 움직인다고 생각하지만, 물류나 교통시스템 모든 분야와의 연결성을 갖춘 자율주행을 위해서는 협력주행통신, 즉 V2X가 필수다. 아우토크립트는 차량 내부 안전과 협력주행을 위한 V2X 통신보안 등 2가지 핵심기술을 소유하고 있다.

현재 자동차 내부 전자장치를 안전하게 만드는 솔루션은 상용차에도 적용됐지만, 자율주행을 위한 협력주행 보안기술은 시범·실증 단계에 있다. 자동차 보안은 PC 보안과는 다르게 현존하는 IoT 보안 중 난이도가 가장 높다. 따라서 보안이 중요하고, 사고는 생명과도 직결돼 품질관리와 함께 기술 기업의 체계화된 조직도 필요하다. 아우토크립트는 최첨단 차량 내부보안, 통신기술과 함께 양산 제품도 소유하고 있다.

자동차 사이버보안 강화를 위한 계획과 정부에 바라는 점이 있다면 아우토크립트는 자동차 사이버보안 강화를 위해 독일 법인을 세우고, 독일과 북미 시장을 중심으로 기술 개발에 주력하고 있다. 독일의 자동차 엔지니어링 회사는 소프트웨어 기술과 달리 보안기술은 부족해 자사와 함께 개발을 진행 중이다. 현재 ISO 21434(전장부품의 사이버보안) 인증과 Automotive SPICE(소프트웨어 프로세스 검증) 인증 획득을 위해 인증 프로그램을 설계 중이다.

자율주행은 기술은 하나의 기업이 독점할 것이 아니라 교통주행 선진화를 위해 국가 인프라에 적용돼야 한다. 아직 자동차 사이버보안 분야를 중점 취급하는 글로벌 기업도 드물기 때문에 국가경쟁력을 발전시키는 데도 중요한 역할을 할 수 있는 핵심산업이다. 정부가 주도적으로 교통 인프라 투자를 확대한다면, 아우토크립트는 물론 국가경쟁력 강화도 이뤄낼 수 있을 것이다. 협력자율주행 산업은 해외에서도 주도권을 획득하기 위해 발빠르게 움직이고 있다. 전 국가 차원에서 중지를 모아 자동차 사이버보안 분야에 과감한 투자가 진행되길 바라고 있다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)