커넥티드 카(Connected Car)란, 정보통신 기술과 자동차를 연결시켜 양방향 소통이 가능한 차량을 의미하는데, 이 소통에서의 데이터 보안 이슈는 자동차 메이커들로 하여금 완전한 의미의 양방향 소통을 가능하게 만드는 핵심적인 부분이다. 다시 말해, 차량과 외부 정보와의 연결성이 증가할수록 사이버 보안의 위협도 증가하는데, 실제로 (특히 자율주행 기능과 관련하여) 해커들의 공격으로 인하여 차량의 주행기능을 마비시켜 사고가 발생하는 사례가 증가하고 있다. 오늘날, 하나의 자동차에 평균적으로 150개 정도의 전자제어장치(ECU)와 약 1억 줄의 코딩이 들어간다고 하며, 2030년 경에는 약 3억 줄 이상의 코딩이 포함될 것으로 예상된다.
사이버 보안의 중요성을 인식한 규제 당국은 커넥티드 카의 데이터 보안과 관련한 규제들을 앞다투어 내놓고 있다. 예를 들어, UNECE (United Nations Economic Commission for Europe)는, 차량용 사이버 보안과 소프트웨어 업데이트 관리를 개선하기 위한 규정을 마련하고 있다. UNECE가 작년 6월에 세계 포럼에서 채택한 두 개의 새로운 UN 규정(WP.29)에서는 아래의 4개 분야에 대하여 조치를 이행할 것을 요구하고 있다.
· 차량 사이버 위험의 관리
· 밸류 체인(Value Chain)에 따른 리스크 완화를 위한 설계별 차량의 안전 확보
· 차량의 전체에서 보안 사고에 대한 감지 및 대응
· 차량의 보안은 타협불가능한 이슈임을 분명히 하며 확실한 안전성을 확보할 수 있도록 보안 업데이트 제공
위 내용은 올해 1월부터 시행 중에 있다. 유럽연합(EU)에서는 앞으로 2024년 7월부터 생산되는 모든 신차에 대해 차량용 사이버 보안 규제가 의무화되며, 일본과 한국 역시 위 규제를 적용하기로 합의하였다. 단, 북미의 경우는 아직 적용여부와 시기에 대해 정해진 바가 없다. 위 WP.29 규정은, 차량의 종류(자동차, 밴, 트럭, 버스, 트레일러, 농기계 등)와 사이버 보안 관리 시스템(CSMS: Cyber Security Management System)의 준수 여부에 기초하여 차량 판매 승인 여부를 결정하는 사이버 보안 요건을 정의하고 있다(CSMS는 차량의 데이터 보안을 보장하기 위한 모든 프로세스, 활동 및 인력을 포함한다).
또한, 사이버 보안의 핵심 중 하나는 리스크의 정확한 평가이다. 국제 표준화 기구(ISO: International Organization for Standardization)는 차량용 사이버 보안 표준을 만들고 있는데, ISO/SAE 21434는, 차량의 전체 라이프사이클에 걸쳐 설계별 사이버 보안의 표준을 제시한다. ISO 21434는 리스크 평가 시스템 개발을 위한 모델을 제공하고 프로세스와 작업물에 대한 세부사항을 규정하고 있다.
정리하자면, WP.29 준수를 위한 전체적인 프로세스는 다음의 세 단계로 나누어 볼 수 있다.
1) 평가(Assessment): 리스크 모니터링의 대상이 되는 범위를 지정하고 현 상태의 리스크를 점검한다.
2) 구현(Implementation): ISO 21434 기반의 사이버 보안 조직을 구성하고, 리스크와 인력 및 도구를 정의한다.
3) 운영(Operations): 모니터링, 평가, 그리고 시정조치 이행의 연속적인 프로세스를 반복한다. 결과적으로 CSMS의 도입과 시행으로 연결될 수 있다.
앞으로 자동차 산업에 관련된 모든 기업들은 위 프로세스에 대한 준비가 필요하다. 평가를 시작으로 기존의 회사의 데이터 보안 수준을 점검하고, 내부 및 외부의 전문가들과의 인터뷰를 수행해야 하며, 주기적으로 새로운 규제들의 요구사항에 대한 분석도 시행할 필요가 있다. Covid-19 이후 시대에는, 조직, 프로세스 및 관리 시스템의 설정은 물론 프로세스의 자동화나 CSMS의 시행도 모두 원격으로 수행하는 추세로 바뀌고 있으며, Covid-19를 핑계로 이를 더 이상 지체해서는 안된다.
궁극적으로, 모든 자동차 회사들과 관련 기업들은 새로운 UNECE 규제를 준수하여야 하고 그러기 위해서는 그들의 차량 설계단계서부터 근본적인 변화가 있어야 할 것이다. ISO 21434 표준은 차량용 보안에 관한 글로벌 표준을 새롭게 정의할 수 있는 기반을 마련했다고 볼 수 있다. "아직 시간이 좀 남았으니까"라는 생각으로 변화를 주저하고 현재의 개발 방식을 고수한다면 당장의 비용은 세이브가 되겠지만, 향후 규정의 미준수로 인한 규제당국의 제재와 벌금, 그리고 실제로 사이버 보안 이슈로 인한 인명사고라도 나는 경우에는 훨씬 더 큰 비용으로 돌아올 수 있다는 점을 명심해야겠다. 하루라도 먼저 준비를 시작할수록 새로운 규정과 표준을 완전히 이행할 수 있는 가능성은 커진다.