자동차가 해커의 새로운 표적으로 떠오르고 있다. 차량 1대당 100개 이상의 전자제어장치(ECU)가 탑재되고, 무선 연결이 일상화되면서 해킹 위협이 현실화하고 있다. 특히 소프트웨어 중심으로 진화 중인 SDV(Software Defined Vehicle) 시대가 본격화하면서, 자동차 사이버보안은 생명과 직결된 문제로 부상하고 있다.
SDV 시대 보안 위협 급증…관련 시장 연평균 11.6% 성장 전망
9일 글로벌 마켓 인사이트가 내놓은 세계 자동차 사이버보안 시장 자료에 따르면 이 시장은 2024년 약 35억달러(약 4조7000억 원)에서 2034년 105억달러(약 14조 원) 규모로 성장할 전망이다. 연평균 성장률은 11.6%에 달한다.
자동차 보안 수요가 급증한 배경에는 SDV 확산이 있다. 앞서 테슬라는 2012년 모델 S를 출시하며 SDV 대중화를 주도했다. 현대자동차는 2028년까지 첫 양산형 SDV를 선보이겠다고 예고했다.
최근 차량은 센서, 제어기, 통신 모듈, 인포테인먼트 시스템 등 다양한 기능이 외부 네트워크와 연결되는 ‘모바일 디지털 플랫폼’으로 진화하고 있다. 커넥티드카 서비스, 무선 소프트웨어 업데이트(OTA), 차량사물통신(V2X) 등으로 차량이 송수신하는 데이터 양도 기하급수적으로 증가하고 있다.
문제는 이러한 개방형 구조가 해킹, 악성코드 삽입, 통신 탈취, 시스템 조작 등의 다양한 사이버 공격에 노출된다는 사실이다. 특히 전기차와 자율주행차는 각종 제어 시스템과 인공지능 알고리즘이 결합돼 보안 위협이 더욱 심각하다.
전기차는 충전·전력 제어 등 주요 기능이 소프트웨어에 의존하며, 자율주행차는 카메라, 라이다, 레이더, GPS 등 수십 개의 센서와 고성능 컴퓨팅 유닛이 종합적으로 차량을 제어한다.
EU 주도 보안 규제 강화…국내도 내년 8월 시행
이는 글로벌 규제 환경이 빠르게 변화하는 이유다. 유럽연합(EU)은 2024년 7월부터 유럽 내 생산·판매되는 모든 차량에 자동차 사이버보안 규정인 UN R155와 R156을 전면 적용했다. 각각 사이버보안과 소프트웨어 업데이트의 안전성을 의무화한 것으로 유엔 유럽경제위원회(UNECE)는 해당 기준을 2020년 채택했다.
UN R155는 차량 설계부터 생산, 운행에 이르기까지 보안 요건을 규정한다. ECU 해킹 방지, 침입 탐지 시스템, 암호 키 관리 등을 포함한다. UN R156은 OTA를 포함한 모든 소프트웨어 업데이트 절차의 무결성, 인증, 롤백 등 보안 중심의 변경 관리를 요구한다.
한국도 흐름에 발맞춰 2024년 2월 ‘자동차관리법 개정안’을 공포했다. 2025년 8월 14일 시행될 예정이다. 해당 법은 자동차 해킹 방지와 안전한 소프트웨어 업데이트 절차를 법제화한 것이 핵심이다.
"차량 원격 조작 가능…이중·삼중 안전장치 필수"
전문가들은 자동차 해킹 위험성이 단순히 금전적 피해를 넘어 생명까지 위협할 수 있다고 경고한다.
이호근 대덕대학교 자동차학과 교수는 “차량 도난이나 중고차 범죄에 악용될 수 있을 뿐 아니라, 극단적인 경우 해커가 원격으로 브레이크나 가속 페달을 조작해 탑승자를 인질처럼 위협하는 상황도 가능하다”고 말했다.
실제로 차량의 문을 원격으로 여닫거나, 운전자 의도와 다르게 차량을 움직이는 시연 사례가 다수 보고됐다. 기술적으로 충분히 실현 가능한 시나리오인 셈이다. 이 교수는 “기본적인 보안 솔루션 외에도 이중·삼중의 크로스 체크를 통해 차량이 위험한 명령을 스스로 차단할 수 있어야 한다”며, “예를 들어 가속 페달을 밟는 명령이 운전자의 실수인지 외부 해킹에 의한 것인지 0.1초 안에 판별할 수 있는 솔루션이 필요하다”고 강조했다.
이 교수는 또 “8월 시행되는 국내 자동차 보안법이 실효성을 가지려면 데이터 기반이 뒷받침돼야 한다”며 “중국은 자율주행 로보택시 운영을 통해 방대한 데이터를 축적하고 있는데, 한국은 데이터가 현저히 부족한 상황이다”라고 지적했다. 그는 “제도가 앞서 마련되어야 기업도 이에 맞춰 보안 솔루션을 개발할 수 있다”고 덧붙였다.
홍주연 기자
jyhong@chosunbiz.com