자동차 보안 의무화 시행, 국내 수혜 기대 기업은?

By곽중희

8월 14일부터 자동차 보안 인증 의무화
인증·평가·운영 전주기서 전문 보안기업 기회 확대

8월 14일부터 자동차 보안 인증이 법적으로 의무화되면서, 인증·평가·운영 전 주기에서 전문성을 갖춘 국내 자동차 보안 기업들의 수혜가 기대된다. 신차뿐 아니라 일정 유예기간 이후 기존차에도 적용되는 만큼, 관련 기업들의 사업 기회가 확대될 전망이다.

개정된 법률은 자동차의 제조 단계부터 사이버보안관리체계(CSMS)와 무선 소프트웨어 업데이트(OTA) 보안을 의무화하는 것이 핵심이다. 인증을 받지 못한 차량은 국내 판매가 불가능하며, 미준수 시 매출액 2~3%의 과징금 등 강력한 제재가 뒤따른다. 국토교통부·한국교통안전공단 자동차안전연구원(KATRI)이 인증 심사를 맡으며, 국제 규격 UN R155·R156과 동일한 수준의 평가 항목이 적용된다.

CSMS 인증은 특정 차종의 일회성 시험이 아니라 조직(OEM·부품사)의 보안 체계 자체를 본다. 개발, 생산, 출시, 운행, 폐기까지 자동차의 전 생애주기에 걸쳐 ▲위협분석·위험평가(TARA) ▲보안 설계 구현 ▲보안 검증·테스트 ▲운영 중 탐지·대응·로그관리 ▲OTA 업데이트 관리가 이뤄져야 한다. 출시로 끝나는 게 아니라 운행 기간 내내 보안 업데이트와 패치 의무가 따른다. CMSM가 자동차 기업 등 조직 전체의 보안 체계를 인증한다면, OTA는 자동차에 들어가는 소프트웨어의 업데이트 과정의 안정성을 검증한다. 자동차와 서버를 연결하는 통로 전체가 ‘공격면’이 되기에, 여기에서의 암호화·무결성·권한검증·롤백 안전성 등을 검증한다.

한 자동차 보안 전문기업 관계자는 “법 개정에 따라 늘어날 보안 인증 수요를 대비해서 국토교통부와 KATRI는 검증된 자동차 보안 전문업체를 선정해 협력하고 있다”며 “앞으로 모빌리티 시장에서 보안의 역할과 관련 기술은 더욱 중요해질 것”이라고 전망했다.

보안업계에서는 페스카로, 아우토크립트, 시옷 등이 이번 법 개정의 수혜 기업으로 꼽힌다.

자동차 보안 전문기업 페스카로는 ‘원스톱’ CSMS 대응 체계를 토대로, 국내 자관법 평가시스템에 대한 설계·구축 경험을 보유하고 있는 것이 가장 큰 강점이라고 설명한다. CSMS 컨설팅부터 보안 솔루션, 테스트, 위협분석·위험평가(TARA), IT 인프라(CSMS 포털), 자동차 보안 게이트웨이(SGW)까지 규제 대응 전 과정을 한 번에 제공할 수 있다는 것이 회사측 설명이다.

페스카로 관계자는 “자동차 보안에 대한 전문성을 토대로 OEM과 협력해 단순 솔루션 공급사가 아닌 0.5 티어(Tier) 역할을 수행하고 있다”며 자동차 전체의 보안 아키텍처를 정의하고 다양한 제어기 개발사의 제어기를 분석해 제어기별 보안솔루션을 일괄 공급한 바 있으며, 보안 기술을 양산 자동차에 적용해 품질을 고도화하고 고객사가 유럽 인증을 획득하는 데 핵심적인 역할을 수행해 왔다”고 설명했다.

이어 “보통 컨설팅사나 테스트 전문사는 특정 영역에만 집중하지만, 페스카로는 자동차와 ECU에 대한 깊은 이해를 바탕으로 통합된 사이버보안 전략 수립부터 실행까지 일관되게 수행한다“며 “통일된 보안콘셉트를 구현해 비용과 일정 모두 효율화하고, 모빌리티 산업 전반으로 사업 확장이 가능하다“고 덧붙였다. 페스카로는 현재 코스닥 상장을 준비 중이며, 이를 위한 매출·고객사 지표와 글로벌 사업 확장 계획을 구체화하고 있다.

또다른 자동차 보안 전문기업 아우토크립트는 자동차 보안에 대한 설계·구축 경험을 가지고 있다. 자동차 내부 네트워크 보안(ECU·게이트웨이)과 자동차·인프라 간 통신(V2X) 보안을 동시에 제공하는 종합 포트폴리오를 운영하며, OTA 보안과 로그 관리까지 포함한 전주기 솔루션을 제공하고 있다.

특히, 사전 진단과 격차분석(Gap Analysis)부터 보안 아키텍처·정책 설계, 시험·로그 체계 구축, 유럽 병행 대응(UN R155·R156 기반 Technical Service Pre-audit)까지 지원해 수출형 OEM의 교차 인증 수요를 흡수하고 있는 것이 특징이다.

아우토크립트 관계자는 “아우토크립트의 강점은 단순히 기술 포트폴리오에 그치지 않고, 실제 인증 절차 전 과정을 경험한 이력 덕분에 OEM와 부품사가 불확실성을 줄이고 일정과 비용을 효율적으로 관리할 수 있다는 점”이라며 “자율주행·OEM 보안 사업을 넘어 산업 사물인터넷(IoT)와 산업 장비 영역으로도 보안 인증과 솔루션 사업을 확장할 계획“이라고 덧붙였다. 아우토크립트는 지난 7월 15일 코스닥 시장에 상장해, 국내외 주요 OEM과 부품사를 고객사로 확대하고 있다.

자동차 보안 플랫폼 스타트업인 시옷도 수혜 가능성이 점쳐진다. 시옷은 차량용 보안 모듈과 침입탐지시스템(IDS)을 비롯해, V2X와 클라우드 기반 위협 인텔리전스 서비스를 제공한다. 특히 OTA 패치 자동화 솔루션과 보안 로그 분석 플랫폼은 이번 법 개정 이후 OEM·부품사들이 필수적으로 갖춰야 할 운영 인프라와 맞닿아 있다. 최근 시옷은 OTA 보안, 자율주행 V2X 보안 솔루션 공급 경험을 기반으로, KATRI·한국정보통신기술협회(TTA)·고려대학교와 차량 보안성 검증 체계를 구축한 바 있다. 현재 시장에 부족한 ‘차량 데이터·통신 네트워크 보안성 검증’을 전용 하드웨어와 보안 소프트웨어, 클라우드 기반 절차로 구현해 장소 제약 없이 표준화된 검증을 제공하는 것이 특징이다.

시옷 관계자는 “국내 대응을 넘어 UN R155·R156 등 글로벌 규제 준수를 지원하는 솔루션을 기반으로 해외 진출을 준비하고 있다”며 “OTA 패키지 진위 검증과 업데이트 전·후 보안 로그 생성을 결합한 통합 OTA 보안 솔루션을 국내외 OEM·부품사에 제공하기 위해 협력 네트워크를 확대 중”이라고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.