"보안은 생존과 직결"⋯車 업계, 통합보안체계 대응 강화

[아이뉴스24 김종성 기자] 최근 영국 재규어 랜드로버(JLR)가 대규모 사이버 공격으로 생산·물류·사후관리(A/S) 시스템이 마비되며 하루 수백억원대 피해를 입는 사건이 발생하자 완성차 산업 전반에 보안 리스크에 대한 경각심이 고조되고 있다.

특히 차량이 소프트웨어 중심으로 진화하면서 해킹 등 사이버 공격에 대한 보안은 단순히 IT 문제가 아닌 완성차의 생존과 직결되는 핵심 과제로 부상하고 있다.

29일 완성차 업계에 따르면, 국내에서 자동차 제작자가 사이버보안 관리체계(CSMS)를 수립하고 국토교통부 인증을 의무적으로 받아야 하는 내용을 담은 자동차관리법 개정안이 지난달 14일부로 시행됐다. 이에 따라 자동차 제작사는 설계부터 자동차 해킹 가능성을 고려한 위협 분석과 대응 체계 검증을 받아야 한다.

CSMS을 받지 못하거나 취소된 경우 제작·조립·수입·판매가 금지된다. 소프트웨어 업데이트 시에도 보안 준수사항을 명시하고 임의의 변경이나 삭제를 금지하는 등 규제가 강화됐다. 모든 자동차 제작사는 CSMS 최초 신규 인증 후 1년마다 사후 관리가 이뤄지고, 3년마다 재인증 절차를 거쳐야 한다.

이달 초 영국 JLR의 해킹 사태는 자동차 보안이 소프트웨어 중심의 자동차(SDV) 시대에 보안 취약성에 얼마나 치명적일 수 있는지 보여주는 대표적인 사례로 꼽힌다. 차량이 무선 업데이트(OTA), 커넥티비티(연결성) 서비스 등 외부 네트워크와 상시 연결돼 있어 어느 한 고리만 보안의 취약점이 공격 받으면 생산과 물류, 서비스 전 과정이 붕괴될 수 있음을 보여주기 때문이다.

JLR에 대한 사이버 공격으로 영국, 슬로바키아, 브라질, 인도 등 주요 공장 가동이 멈췄고, 이미 생산된 신차 4만 대의 행방도 파악하지 못하는 등 물류망도 무너졌다. 부품 재고 전산망이 마비되면서 기존 고객의 차량 수리도 불가능해졌고, 고객 개인정보 유출 의혹까지 제기되며 브랜드 신뢰도가 급격히 추락했다.

현지 언론은 JLR이 하루 최소 500만 파운드(약 94억원)에서 최대 1000만 파운드(약 188억원)의 손실을 보는 것으로 추정하고 있다. 영국 정부는 JLR과 협력사 보호를 위해 2조8000억원 규모의 긴급 대출을 지원하는 이례적인 조치도 발표했다.

전문가들은 이번 공격이 피싱 이메일을 통한 계정 탈취 후, 공장 운영기술망까지 장악하는 전형적인 랜섬웨어 수법일 가능성이 높다고 분석하고 있다.

이같은 위협에 대응하기 위해 국내 완성차 업계도 보안 강화에 속도를 내고 있다.

현대자동차는 2022년 유럽에서 '사이버 보안 관리 체계(CSMS)' 인증을 취득했으며, 통합보안센터를 중심으로 최고정보보호책임자(CISO)·개인정보보호최고책임자(CPO) 체계를 운영하고 있다. 정보보안팀, 개인정보보호팀, 연구개발정보보호팀을 통해 보안 정책 수립, 침해사고 대응, 연구소 보안 관리 등 전방위적 활동을 수행한다. 또 연 2회 정보보안위원회를 개최하고, 상·하반기 모의훈련과 외부 전문기관 모의 해킹을 통해 대응력을 점검한다.

기아 역시 통합보안센터를 중심으로 정보보안팀과 개인정보보호팀을 운영하며, 365일 보안관제를 통해 실시간 모니터링을 실시한다. 신규 시스템 구축 시 보안성 검토와 개인정보영향평가를 의무화하고 있으며, ISO 27001 인증(정보보호 관리체계 국제 표준)을 19년간 유지해 왔다. 임직원 대상 온·오프라인 교육, 피싱메일 모의훈련 등 보안 인식 제고 활동도 강화하고 있다.

양사는 최근 보안 인재 확보에도 적극 나서고 있다. 현대차는 연구소 정보자산 보호와 국가핵심기술 보안 강화를 담당할 전문가를 채용 중이다. 특히 차량 사이버보안 평가와 모의해킹 관련 인재도 모집 중이다. 기아도 정보보호·기업보안·IT 보안 분야에서 경력직과 신입 인력 채용에 나섰다.

중견 3사 역시 보안 체계 강화에 나서고 있다. KG모빌리티(KGM)은 독자 생존 전략을 추진하며 전기차·하이브리드 신차 라인업과 함께 보안 시스템 고도화를 병행하고 있다. 르노코리아는 부산공장을 글로벌 전기차 생산 거점으로 전환하며, 유럽 수출용 모델에 국제 보안 규격을 적용하고 있다. 한국GM은 글로벌 GM의 소형 스포츠유틸리티차량(SUV) 생산기지로서 미국 수출 물량을 담당하는 만큼, 본사와 연계한 글로벌 보안 관리 체계를 운영하며 국내외 공장에 동일한 보안 표준을 적용하고 있다.