페스카로, ‘0.5티어’ 올인원 자동차 보안으로 코스닥 도전
“자동차 사이버보안은 기술만으로 해결되지 않습니다. 규제와 제작사 환경까지 함께 고려한 통합 솔루션이 필요합니다.”
자동차 보안 전문기업 페스카로의 홍석민 대표가 26일 서울 여의도에서 열린 기업공개(IPO) 기자간담회에서 강조한 말이다. 차량이 고도화되고 전자·소프트웨어 비중이 커질수록 기업을 압박하는 변수는 보안 기술이 아니다. 글로벌 자동차 기업들은 해킹 대응 기술 못지않게, 각국의 규제를 충족한 채 차량을 만들고 유지해야 하는 구조적 과제와 마주하고 있다.
홍 대표는 이 지점을 짚으며 “현재 자동차 시장이 원하는 것은 기능 단위의 보안 기술이 아니라, 규제·원가·개발 부담까지 통틀어 해결할 수 있는 올인원 통합 보안 전략”이라고 강조했다. 이어 그는 “자동차 제조사와 1티어 부품사들을 연결하는 0.5티어로서 차량 전체의 보안 아키텍처를 설계하고, 제조사들이 실제로 겪는 규제 부담을 실질적으로 줄여줄 필요가 있다”고 설명했다.
페스카로가 전장부품 보안, 차량통신 보안, 규제 대응 IT를 하나의 아키텍처로 묶은 ‘올인원 자동차 보안 전략’을 내세우는 이유도 여기에 있다. 페스카로는 이 전략을 기반으로 오는 12월 코스닥 상장을 추진한다. 공모 물량은 130만 주(공모비율 13.45%), 공모 희망가는 1만2500원~1만5500원(총 163억~202억원). 수요예측은 11월 20~26일, 일반 청약은 12월 1~2일 진행된다. 상장으로 조달한 자금은 전장 제어기 고도화·규제 대응 IT 확대·글로벌 사업 진출에 투입할 계획이다.
규제가 시장을 바꾸는 시대…“기술 30%, 엔지니어링 70%”
페스카로가 규제를 자동차 보안 시장의 핵심 변수로 보는 이유는 최근의 법제화 동향 때문이다. 2022년 유럽·일본을 시작으로 한국은 올해 10월부터, 중국은 2026년부터 자동차 사이버보안 규제가 본격 시행되고 있다. 규제를 충족하지 못한 차량은 판매 자체가 불가능하다.
특히 국내에서도 지난 8월 14일을 기점으로 자동차관리법 개정안이 시행됐다. ▲사이버보안 관리체계(CSMS) ▲소프트웨어 업데이트 관리체계(SUMS) ▲차량형식승인(VTA)가 법적 요건이 되었고, 그 범위는 개발·양산 단계에서 끝나지 않는다. 차량은 출시 후 10년 동안 보안 이벤트를 모니터링하고 대응하는 사후관리 의무를 지닌다.
문제는 이 과정에서 만들어지는 폭발적인 작업량이다. 신차 1종의 인증에는 2000건 이상의 문서가 필요하고, 30~40개 부품사의 엔지니어링 산출물이 합쳐진다. 반도체가 하나 바뀌면 문서 수십 건이 줄줄이 수정돼야 하고, 유럽·중국·한국의 규제가 모두 똑같지 않기 때문에 같은 차종이어도 시장별 인증을 따로 준비해야 한다.
홍 대표는 이를 두고 “보안 기술 경쟁처럼 보이지만 실제 작업의 70%는 문서·추적·변경관리 같은 엔지니어링”이라며 “제작사 입장에서 보안은 가치를 높이는 기능이 아니라 규제를 통과해야 하는 비용”이라고 설명했다. 여기에 출시된 지 오래된 차량까지 포함한 규제 대상이 매년 15만 대씩 누적되면서, 제작사 단독으로 해결하기 어려운 구조가 굳어지고 있다.
완성차와 티어1 사이…‘0.5티어’에서 관통하는 올인원 자동차 보안 전략
바로 그 지점에서 페스카로는 ‘0.5티어’라는 독자적 위치를 자처한다. 대부분 보안 기업이 단일 솔루션만 공급하는 서드 파티에 머무는 반면, 페스카로는 자동차 제조사과 부품사(티어1) 사이에서 차량 전체 보안·규제 아키텍처를 함께 설계·운영하는 역할을 맡고 있다.
그 기반이 되는 핵심 축은 세 가지다. 첫 번째 축인 전장부품 보안솔루션은 개별 제어기에 탑재되는 소프트웨어로, 비정상 동작과 악성 통신을 탐지·차단한다. 홍 대표는 이를 “차량용 백신에 가깝다”고 비유했다.
두 번째 축인 ‘차량통신 보안솔루션(보안게이트웨이 제어기)’는 차량 전체의 내부·외부 통신을 방화벽처럼 통제하는 전용 제어기다. 기존 글로벌 부품사가 공급하던 일반 게이트웨이를 대체하며, 자율주행 통합제어기·파워트레인 등 중요 부품에는 강한 보안정책을, 위험도가 낮은 제어기에는 최소 정책을 적용해 전체 비용 구조를 획기적으로 낮출 수 있다.
세 번째 축인 ‘규제 대응 IT솔루션’은 보안 설계부터 구현·검증, 양산 이후 10년간의 보안 이벤트까지 모두 전산화해 일관적으로 관리한다. 기존처럼 산출물이 엑셀·문서·이메일로 흩어지는 대신, “어떤 부품에 어떤 보안을 언제 적용했고 무엇이 바뀌었는지”를 한 화면에서 관리할 수 있다.
홍 대표는 “세 가지 올인원 솔루션 포트폴리오가 완성되면서, 페스카로는 기존에 맡았던 KG모빌리티 단일 프로젝트만으로도 벅찬 상황에서 벗어나 현재는 6개 제작사·30여 개 프로젝트를 동시에 운영할 수 있게 됐다”고 설명했다.
물론 국내 자동차 보안 시장은 아우토크립트, 시옷 등 기술력을 갖춘 경쟁사들이 포진해 있어 경쟁 강도가 낮지만은 않다. 아우토크립트가 차량·사물 통신(V2X) 및 암호화 원천 기술에 강점이 있고, 시옷이 하드웨어 보안 모듈(HSM) 분야에서 두각을 나타내는 등 각자의 분야를 점유하고 있기 때문이다.
이에 대해 홍 대표는 경쟁사들이 특정 보안 기술이나 단품 솔루션 공급에 집중하는 기술 공급사라면, 페스카로는 고객사의 규제 인증 통과를 최우선 목표로 엔지니어링과 프로세스까지 책임지는 솔루션 파트너라는 점에서 궤를 달리한다고 설명했다. 그는 기술만으로는 고객의 복잡한 양산 문제를 다 해결할 수 없다며 실무 단계의 최적화를 차별점으로 꼽았다.
현대차·KG모빌리티에서 글로벌까지, 규제 속 ‘레퍼런스의 확장’ 전략
페스카로의 성장 경로는 하나의 확산 구조를 따르고 있다. 먼저 KG모빌리티와 협력해 유럽 수출 차량의 규제 대응 전 과정을 수행하며 양산 레퍼런스를 확보했고, 이후 KG모빌리티 공급망에 속한 30~50개 부품사를 통해 솔루션을 확산했다. 그 결과 18개 제작사, 33개 차종, 45개 부품사, 213개 제어기 양산 프로젝트, 8개 반도체사·56개 반도체 모델 적용까지 이력을 쌓았다. 국제 4대 인증(CSMS·SUMS·VTA·ISO/SAE 21434)을 조기 획득하도록 지원한 경험은 기술 신뢰성을 더욱 강화했다.
4대 인증은 단순한 서류 절차가 아니다. 먼저 ‘사이버보안 관리체계(CSMS)’는 차량을 개발하고 생산해 도로에 내보낸 뒤 폐차에 이르기까지 전 생애 주기에 걸쳐 어떤 방식으로 사이버보안 위험을 식별·평가·관리할 것인지, 조직과 프로세스를 수준 있게 갖추고 있는지를 따지는 제도다. ‘소프트웨어 업데이트 관리체계(SUMS)’는 차량에 들어가는 소프트웨어)를 어떻게 업데이트하고, 무선(OTA) 업데이트 과정에서 안전성과 무결성을 어떻게 보장할 것인지에 대한 관리 체계를 요구한다. ‘차량형식승인(VTA)’은 이렇게 마련된 보안·업데이트 체계와 기술이 실제 특정 차종에 제대로 적용됐는지를 규제당국이 공식적으로 인정하는 절차이며, ‘ISO/SAE 21434’는 이러한 모든 활동의 바탕이 되는 ‘자동차 사이버보안 엔지니어링’ 국제표준으로, 위협 모델 수립부터 보안 요구사항 정의, 설계·검증·운영에 이르는 기술·프로세스 요구사항을 세세하게 규정한 기준이다.
페스카로는 규제 대응 IT솔루션과 엔지니어링 역량을 통해 이 네 가지 축을 동시에 뒷받침함으로써, 제작사가 복잡한 인증 과정을 버겁지 않게 통과할 수 있는 토대를 제공하고 있다.
글로벌 확장을 위한 커뮤니티 전략도 강조했다. 홍 대표에 따르면, 자동차 업계에서는 전문가들이 있는 글로벌 커뮤니티가 미치는 영향이 굉장히 크다. 이에 페스카로는 세계적 자동차 보안 협의체 오토아이삭(Auto-ISAC) 국내 최초 ‘이노베이터 파트너십’을 확보했고, 중국 오토섹(Auto-SEC)에도 참여하며 지리자동차 등 30여 개 제작사와 파이프라인을 구축했다. 외산 중소기업으로는 드물게 10~11개월 만에 3건의 수주를 확보한 것도 이 커뮤니티를 통한 네트워크 기반이다.
홍 대표는 “중국 시장은 폐쇄적이지만, 유럽 수준의 규제 대응 역량을 중간 가격대로 제공하면 분명 승산이 있다”며, 일본·인도·북미·유럽까지 확장 의지를 드러냈다.
5년 흑자·1000억 수주잔고, IPO로 성장 가속
페스카로는 기술특례상장이지만 자신들을 “재무적으로 보수적인 회사”라고 말한다. 2024년 영업수익 143억원, 영업이익 13억원을 기록했고, 5년 연속 흑자 흐름을 유지했다. 상환전환우선주(RCPS) 회계 처리로 발생한 일시적 손실도 현재는 모두 보통주로 전환돼 손실 요인이 해소됐다. 부채비율 6%, 유동비율 2000%, 자기자본비율 94%라는 숫자도 상장 과정에서 강점으로 꼽힌다.
홍 대표는 견고한 수주 잔고도 강조했다. 2027년부터 매출에 반영될 차량통신 보안솔루션 기반 프로젝트만 약 1000억원 규모이며, 규제 대응 IT솔루션은 연 단위 구독 모델이라 장기 매출원으로 작동한다. 전장부품 보안솔루션은 프로젝트당 1억~3억원 규모의 고정 라이선스 매출로 단기 수익성을 뒷받침한다.
홍 대표는 “초기에는 글로벌 최고의 자동차 보안 기술을 만드는 연구개발(R&D)에 집중했지만, 현장을 다니다 보니 기술과 사업성이 반드시 비례하는 것은 아니라는 걸 깨달았다”며 “규제 시장의 특성을 이해하고 제작사의 실제 문제를 풀어준 덕에 최근 4년간 흑자를 유지할 수 있었다”고 말했다.
이어 “2027년부터 아시아 시장 수익 본격화, 2028년 해외 매출 비중 50% 돌파, 2030년 매출 1000억원 달성을 목표로 한다”며 “자동차 보안이 제조업의 효율성과 경쟁력을 끌어올리는 기반이라는 것을 증명하겠다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
