-이현정 페스카로 CTO(최고기술책임자) 인터뷰

자동차의 소프트웨어 의존도가 증가하고 있다. 소프트웨어로 주요 기능을 제어하고, 무선 업데이트를 통해 기능을 개선하고 있다. 이렇게 차량에 소프트웨어가 많아질수록 원격으로 접근할 수 있는 공격 경로가 늘어나 사이버공격에 대한 취약성도 필연적으로 증가한다. 사이버공격으로 인한 피해는 개인정보 탈취를 넘어 생명을 위협하는 안전사고로 이어질 수 있다.

"100% 완벽한 자동차 사이버보안은 없다"고 말하는 이가 있다. 미래 모빌리티 소프트웨어 솔루션 전문기업 페스카로의 이현정 CTO(최고기술책임자)다. 화이트해커 출신인 이 CTO를 만나 자동차 사이버보안의 현주소와 모빌리티 생태계에 걸친 대응 전략에 대해 들어봤다.

이현정 페스카로 CTO/사진제공=페스카로

<이미지를 클릭하시면 크게 보실 수 있습니다>

-왜 자동차 사이버보안은 100% 완벽할 수 없는가.

▶지금 가장 강력한 사이버보안 조치를 적용해도 해킹 기술은 진화하기 때문에 사이버보안은 지속적으로 관리돼야 한다. 유럽을 시작으로 한국, 중국까지 자동차 사이버보안을 법제화했으며, 완성차 제작사는 차량의 전 생애주기(개발, 생산, 생산 이후, 폐기)에 걸쳐 사이버보안을 효과적으로 관리할 수 있는 체계가 있다는 것을 입증해야만 자동차를 판매할 수 있다.

핵심은 자동차의 '연결성'이다. 차량이 소프트웨어에 기반해 다른 차량, 도시 인프라, 개인 통신기기와 실시간으로 소통하며 유기적인 연결성이 강해지고 있다. 이러한 상황에서 차량만 보안을 강화해서는 안전한 모빌리티 생태계를 구축할 수 없다. 연결된 네트워크에 대한 보안 취약점이 전체 밸류체인으로 위협을 확산시킬 수 있기 때문이다. 따라서 자동차와 연결된 모든 요소의 보안을 강화해야 한다.

-현재 모빌리티 산업에서는 사이버보안을 어떻게 준비하고 있는가.

▶모빌리티 업계는 국제 법규 및 표준에 기반해 대응책을 마련하고 있다. 완성차 제작사는 글로벌 진출을 위해 유럽의 법규(UN R155·R156)를 준수하여 CSMS(Cyber Security Management System·사이버보안 관리체계) 및 SUMS(Software Update Management System·소프트웨어 업데이트 관리체계) 구축에 대한 인증을 획득하고 있다. 완성차 제작사와 협업하는 기업들은 자동차 사이버보안 엔지니어링 국제 표준인 ISO/SAE 21434 인증으로 사이버보안 대응 역량을 입증하고 있다. 특히 글로벌 시장에 진출했거나 진출을 준비 중인 기업들이 미래 경쟁력을 확보하기 위해 선제적으로 움직이고 있다.

-국제 법규 및 표준을 준수하기 위한 업계의 대응 전략이 궁금하다.

▶자동차 산업은 거대한 밸류체인 및 차량의 전 생애주기에 걸쳐 복잡하게 얽혀 있다. 따라서 법규 및 표준 대응 전략의 핵심은 전체적인 관점에서 사이버보안을 적용하는 것이다. 페스카로는 다양한 전장 시스템 간 상호 작용을 고려하여 고객사 환경에 최적화된 사이버보안 콘셉트를 설계함으로써 장기적인 솔루션을 제공하고 있다. 이러한 전문성을 토대로 밸류체인 전반에 걸쳐 다양한 사이버보안 프로젝트를 성공적으로 수행했다. 직접 경험한 성공 사례에 기반해 아직 사이버보안을 적용하지 않은 기업에 미래 전략을 제시하고자 한다.

우선 완성차 제작사 K사 사례부터 살펴보겠다. K사는 유럽의 CSMS 및 SUMS 인증을 획득하고자 했다. 이를 위해 당사는 사이버보안 업무 관리를 일원화 및 자동화하여 업무 효율을 높이고, 차량 양산 이후에도 보안이벤트를 지속 모니터링하여 피해 확산을 예방할 수 있는 IT 인프라 시스템을 구축했다. 또한 차량 소프트웨어 업데이트 시 발생하는 유기적인 영향에 대해 모든 파생 프로젝트까지 추적 및 관리할 수 있도록 했다. SDV(Software Defined Vehicle·소프트웨어 중심 자동차) 시대에 맞춰 운영 관리 방식 또한 소프트웨어 중심으로 접근하여 경쟁력을 제고한 것이다. 이로써 K사가 CSMS 및 SUMS 인증, 그리고 관련 VTA(Vehicle Type Approval·차량형식승인)까지 조기 획득하는 데 기여하며 '2024 우수 파트너사'로 선정되기도 했다.

또한 자동차 전장제어기를 개발하는 M사 및 국내 최대 통신기업인 T사와 ISO/SAE 21434 인증을 획득하는 데 협력했다. 당사는 CSMS 구축 프로세스를 수립하고 산출물 템플릿을 제공했으며, 솔루션에 대한 위협 분석 및 위험 평가(TARA)를 수행해 보안성을 강화했다. 이로써 M사와 T사는 세계 수준의 자동차 사이버보안 대응 역량을 증명할 수 있게 됐다.

-국내외에서 자율주행 관련 기술 개발이 한창이다. 자율주행에도 사이버보안 적용이 필요한가.

▶물론이다. 자율주행 기술은 차량의 주변 환경을 정밀하게 인식하기 위해 차량 외부 네트워크와 연결되기 때문에 사이버보안이 반드시 필요하다. 페스카로는 자율주행 기술 전문기업 H사의 자율주행 관련 제품에 당사 사이버보안 솔루션을 적용했고, 이를 안전하게 주입하기 위한 KMS(Key Management System·키관리시스템)도 구축했다. 이로써 H사는 다양한 완성차 제작사의 사이버보안 요구사항에 유연하게 대응하여 탑승자의 안전 및 정보 보호를 강화할 수 있게 됐다.

전기차 충전기에도 사이버보안은 필요하다. 차량과 직접 통신하며 사용자의 차량 정보 및 결제 데이터 등 민감한 개인정보에 접근할 수 있기 때문이다. 당사는 전기차 충전기 제조사 S사와 협력해 CISS(Charger Integrated Support System·충전기 통합 지원 시스템)를 구축했다. CISS는 실시간 모니터링 및 원격 제어, 무선 업데이트, 충전기 데이터 분석 등을 통해 고장을 예방할 수 있다. 또한 충전기에 고장 혹은 이상 징후 발생 시 즉시 인지 및 조치할 수 있어 충전기 유지보수성도 한층 강화됐다.

자동차 사이버보안은 차량 라이프사이클 및 밸류체인 전체에 걸쳐 포괄적이고 깊은 전문성을 요구한다. 따라서 각 전문 분야에 최적화된 솔루션을 제공하는 기업과 협력하는 것이 중요하다. 페스카로는 '핵 더 모빌리티'(Hack the Mobility)라는 비전 아래, 모빌리티 산업의 당면 과제에 창의적으로 접근해 가장 실리적인 기술적 돌파구를 제시하고 있다. '기술 문제 해결력'이 바로 유수의 기업들이 페스카로와 긴밀히 협력하는 이유다.

-앞으로 모빌리티 업계의 챌린지는 무엇이라고 생각하는가.

▶차량 사이버보안은 100% 완벽할 수 없기에 국내외 선도적인 기업에서는 지속적인 사이버보안 고도화 및 원가 절감에 대한 니즈를 갖고 있다. 당사는 해당 니즈를 충족시키고자 CSMS 포털 플랫폼을 개발 중이다. 이는 사이버보안 업무를 일원화 및 자동화하여 업무 효율성을 획기적으로 높일 수 있는 원스톱 데브섹옵스(DevSecOps) 플랫폼이다. CSMS 포털은 협력사, 정부 기관 등 다양한 이해관계자 간의 협업까지 고려되었으며, 사용자별 유관 업무만 간편하게 확인 및 대응할 수 있는 추상화 기술도 적용될 예정이다. 페스카로의 CSMS 포털은 내년 상반기에 출시될 예정이다. 이를 통해 자동차 업계의 당면과제 해결은 물론, 미래 경쟁력 제고에도 기여할 수 있을 것으로 기대한다.

이동오 기자 canon35@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지