‘달리는 컴퓨터’ 된 자동차… 사이버 공격 표면 넓어졌다 [자동차 보안①]

정종길 기자 2026. 3. 13. 07:20
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
SDV 전환으로 전자제어장치·차량 통신망 등 공격 경로 폭증
유엔·유럽연합 규제 잇따라…“보안, 설계 단계부터 결정”

자동차 한 대에 소프트웨어 코드가 얼마나 들어갈까. 업계는 이미 수억 줄에 달하는 것으로 분석한다. 반도체 설계 전문기업 시놉시스(Synopsys)에 따르면 2027년에는 코드 수가 6억 줄을 넘어설 것으로 예상된다. 일반적인 PC 운영체제 코드량의 수 배에 달하는 수치다. 소프트웨어 정의 차량(SDV)이란 말이 낯설게 들릴 수 있지만, 현실은 이미 여기까지 와 있다. 가속·제동·조향 같은 핵심 기능조차 소프트웨어가 제어하고, 무선으로 기능을 추가하거나 수정하는 것이 가능해졌다. 자동차가 바퀴 달린 기계에서 '달리는 컴퓨터'로 바뀐 것이다.

문제는 컴퓨터가 되는 순간, 해킹의 표적도 된다는 데 있다. 과거 자동차를 해킹하려면 물리적으로 차량에 접근해야 했다. 하지만 지금은 다르다. 차량에 탑재된 무선랜(Wi‑Fi)이나 이동통신(LTE) 모듈, 근거리무선통신(NFC) 기반 디지털 키, 무선 소프트웨어 업데이트(OTA) 기능, 차량‑사물 통신(V2X)까지 연결 통로가 대폭 늘었다. 공격자 입장에서는 이 통로 하나하나가 원격 침투 경로가 된다. 실제로 보안 연구자들이 수 킬로미터 떨어진 곳에서 차량의 제동 시스템을 원격으로 조작하거나, 자율주행 센서를 교란하는 실험에 성공한 사례가 이미 보고된 바 있다.

자동차가 소프트웨어로 제어되고 네트워크와 연결되면서 해킹 위협은 현실이 되고 있다. / 챗GPT 생성

자동차가 소프트웨어로 제어되고 네트워크와 연결되면서 해킹 위협은 현실이 되고 있다. / 챗GPT 생성

글로벌 보안 기업 카스퍼스키는 최근 '2026년 자동차 산업 사이버 위협 전망' 보고서에서 차량 내부 전자제어장치(ECU), 컨트롤러 영역 네트워크(CAN) 버스, 온보드 진단 포트(OBD)는 물론 각종 무선 인터페이스까지 모두 공격 표면으로 열려 있다고 지적했다. 특히 SDV 환경은 외부 네트워크와 차량 내부 제어 네트워크가 연결되는 구조적 특성이 있으므로, 외부 공격이 차량 핵심 기능에까지 영향을 미칠 수 있다는 경고가 나온다. 카스퍼스키는 "물리적으로 직접 차량을 만지지 않고도 제어 시스템에 접근할 수 있는 가능성이 커지고 있다"고 밝히며 제조사와 부품 공급망 전체가 위협 모델을 다시 수립하고 차량 내부와 외부를 아우르는 보안 아키텍처를 재구성해야 한다고 강조한다.

이 같은 위협은 단순한 가능성 수준의 이야기가 아니다. 네트워크와 연결된 자동차(커넥티드카)가 늘어날수록 피해 규모와 파급력도 커진다. 차 한 대가 아니라 동일한 소프트웨어를 탑재한 수십만 대가 동시에 위협에 노출될 수 있기 때문이다. 여기에 택시·카셰어링·물류 같은 차량 운영 서비스까지 연결되면, 사이버 공격 한 번으로 대규모 서비스 마비나 개인정보 유출로 이어질 수 있다는 점에서 파장은 더 커진다.

각국 규제 당국은 이미 대응에 본격 나섰다. 유엔 유럽경제위원회(UNECE)는 자동차 사이버보안 관리체계(CSMS)와 소프트웨어 업데이트 관리체계(SUMS)를 의무화한 유엔 자동차 사이버보안 규정(UN R155)을 시행 중이다. 유럽연합(EU)은 2024년 7월부터 역내에서 생산·판매되는 차량에 이를 적용하고 있다. EU 사이버 복원력법(CRA)은 2024년 12월 발효돼 2027년 12월 전면 시행을 앞두고 있다. 일반 승용차는 UN R155 적용으로 제외되지만 차량 탑재 텔레매틱스 모듈·충전 인프라·인포테인먼트 소프트웨어 등 별도 유통 부품과 농기계·건설기계 등 비도로 차량은 직접 규제 대상이 된다.

국내에서는 국토교통부가 자동차관리법을 통해 UN R155를 도입, 2025년 8월부터 시행에 들어갔다. 이 규정은 완성차 업체가 차량 개발부터 운영까지 전 과정에서 사이버보안을 관리하는 체계(CSMS)를 갖추도록 요구한다. 신규 등록 차종은 법안 시행 즉시, 기존 양산차는 2027년 8월부터 의무 적용된다. CSMS 인증 없이는 차량 형식승인을 받을 수 없기 때문에 보안 설계를 내재화하지 않은 제조사는 인증 단계에서 곧바로 제약을 받게 된다.

결국 보안을 설계 단계에 얼마나 깊이 반영했는지가 단순한 경쟁력의 문제가 아니라 시장 진입 자격을 좌우하는 기준이 된 셈이다. 보안 업계 관계자는 "SDV 전환이 가속화될수록 차량 한 대의 보안 취약점이 동일 소프트웨어를 탑재한 수십만 대에 동시에 영향을 미칠 수 있는 구조가 된다"며 "보안 설계를 내재화하지 못한 제조사는 규제 대응 자체가 불가능해지고, 결국 시장에서 퇴출될 수밖에 없는 상황이 됐다"고 말했다.

정종길 기자
jk2@chosunbiz.com

Copyright © IT조선. 무단전재 및 재배포 금지.

IT조선에서 직접 확인하세요. 해당 언론사로 이동합니다.