보안 넘어 산업 육성 필요 목소리
EU, 2022년 차 사이버 보안 의무화
‘제조 강국’ 독일 소프트웨어에선 약해
IT강국 한국 ‘산업 생태계’ 조건 유리

지난 5일 서울 강남구 삼성동의 아우토크립트 미래모빌리티센터. 지하 2층으로 내려가자 넓은 주차장에 실험용 차량 5대가 세워져 있었다. 차량엔 각종 진단 기기와 모니터도 긴 케이블로 연결돼 있었다. 이곳은 해커 입장에서 자동차에 사이버 공격을 해 보안 취약점을 찾아내고, 신차가 얼마나 안전한지 테스트해 인증도 해 주는 ‘해킹랩’ 겸 연구소다. 만일의 사태에 대비해 40톤의 지하수조 등 다양한 안전 설비가 특별 설계된 것도 눈길을 끌었다. 전기차를 테스트할 땐 빠른 화재 진압을 위한 특수 장비도 추가 설치된다.

한 직원이 노트북을 이용해 그중 한 자동차를 무선으로 해킹하는 장면을 시연해 보였다. 차는 운전석이 비어 있는데도 원격으로 조종되며 움직였다. 또 다른 자동차는 운전자가 탑승해 정상 주행 중 갑자기 덜컹거리면서 심하게 흔들리다 멈춰 섰다. 사이버 공격으로 차의 시스템을 강제 종료(셧다운)시킨 것. 차는 운전자가 다시 시동 버튼을 여러 차례 눌러도 먹통이었다. 해킹 공격자가 마음만 먹으면 급정거는 물론 급발진도 가능했다. 우리의 생활과 밀접한 도로 위 차량이 언제든 운전자의 생명은 물론 제3자의 안전까지 위협하는 무기로 변할 수도 있다는 얘기다.

이러한 자동차 해킹의 위험은 이미 현실이다. 2015년 미국의 찰리 밀러와 크리스 발라섹이 달리는 지프 체로키를 해킹해 조종하는 장면을 유튜브에 올린 것을 비롯, 2020년엔 테슬라의 모델X가 2분30초 만에 해킹 공격에 뚫린 적도 있다. 지난해엔 미국의 한 보안 업체가 기아차의 번호판 정보만 있으면 차량을 원격 조종할 수 있다고 지적, 급히 대응한 사례도 있었다. 업계에선 안전이 무엇보다 중요한 자동차 산업의 특성상 실제 보안 위협 사례는 알려진 것보다 더 많을 것으로 보고 있다.

▲ 해킹으로 자동차 무기화 우려

특히 자동차 해킹은 대규모 사이버 공격에 악용될 수 있다는 점에서 철저한 대비가 필요하다. 가장 무서운 건 해킹을 당하고도 사이버 공격에 노출됐는지도 모르는 것이다. 이석우 아우토크립트 대표는 “자동차를 해킹한 뒤 2, 3년 잠복해 있다가 동시에 공격해 올 가능성도 배제할 수 없다”고 우려했다. 이 대표는 “장기간에 걸쳐 해킹된 수많은 차량을 한꺼번에 갑자기 멈춰 세운다면 상상할 수 없는 인명 피해가 발생하는 것을 넘어 도로와 물류가 순식간에 마비될 것”이라며 “자동차 사이버 보안은 국가 인프라 및 안보와도 직결되는 사안”이라고 강조했다.

그는 “해킹을 100% 막긴 힘들어도 단계별로 최대한 많은 장벽을 세워 최악의 사이버 공격에 대비하는 게 중요하다”며 “자동차를 해킹해 무기화하고 테러 공격이나 전쟁에 악용하는 상황이 일어나지 않도록 막는 게 자동차 사이버 보안의 궁극적 목표”라고 말했다. 영화 ‘리브 더 월드 비하인드’에서 사이버 공격을 받은 테슬라 자율주행 차들이 연쇄 추돌 사고로 인명을 해치는 것은 물론 고속도로를 순식간에 주차장으로 만드는 장면이 현실이 될 수도 있다는 경고다.

▲ 전쟁도 자동차 해킹으로 시작

실제로 현대전은 사이버 공격으로 시작되는 양상이다. 우크라이나전쟁 초기 트랙터 등 농기계를 해킹해 셧다운시킨 게 대표적인 예다. 농업 생산 인프라와 물류망을 무력화시키려는 의도였다. 이전에는 대포나 전투기를 동원한 융단 폭격으로 전쟁의 포문을 열었다면 이젠 사이버 공격, 특히 자동차 해킹이 전쟁의 신호탄이 될 것이란 얘기다. 장기간에 걸쳐 미리 해킹을 해 둔 차량들을 동시에 멈추게 하거나 대규모 급발진만 야기해도 나라가 통째로 멈춰 설 수밖에 없다.

이러한 국가 간 해킹은 장기간에 걸쳐 은밀하게 이뤄지는 만큼 파악이 힘들다는 데에 문제의 심각성이 있다. 최근 SK텔레콤 해킹 사고에서도 해커가 악성 코드를 심은 시점은 3년 전인 2022년6월로 드러났다. 2,700만 건에 달하는 가입자의 유심(USIM) 정보 등을 확보하고서도 그동안 아무런 요구나 움직임이 없었다는 건 다른 꿍꿍이가 있었다는 걸 시사한다. 보안업계 관계자는 “금전적 목적이 아니라 주요 인물들에 대한 장기간에 걸친 추적이나 국가 인프라 마비 사태 등을 겨냥한 사전 작업일 가능성이 크다”고 지적했다. 중국 해커 집단 ‘레드멘션’이 아시아 지역 통신사를 공격할 때 활용하는 ‘BPF도어’란 프로그램이 사용된 점도 눈길을 끄는 대목이다.

자동차 해킹은 도로 위의 차를 곧바로 무기화할 수 있다는 점에서 통신사에 대한 사이버 공격보다 더 큰 파괴력을 가질 수 있다. 미국에서 중국산 태양광 패널의 인버터 등에서 비인가 악성 통신 장치가 발견돼 해킹 여부 등을 조사 중인 것도 경각심을 일깨운다. 자동차엔 1만 개 이상의 부품이 들어가는 만큼 이 가운데 얼마든지 악성 통신 장비를 쉽게 심을 수도 있기 때문이다. 최근엔 자동차 전조등을 빼낸 뒤 작은 부품 하나만 달면 원격 조종이 가능해지는 해킹 사례가 보고된 적도 있다. 일각에선 국가급 사이버 위협과 사이버 전쟁에 대한 대비책을 강구하고 사이버보안청 같은 컨트롤타워를 세워야 한다는 주장도 나온다.

▲ ‘달리는 컴퓨터’ 자동차, 해킹 노출

이처럼 자동차 사이버 보안이 운전자 안전뿐 아니라 국가 안보 차원에서도 중요해진 건 자동차가 점점 ‘달리는 컴퓨터’ 또는 ‘바퀴 달린 스마트폰’으로 바뀌고 있는 것과 궤를 같이한다. 차량에 들어가는 전자제어장치(Electric Control Unit)의 수가 증가하고, 소프트웨어와 무선 연결을 통해 차를 움직이고 업데이트하는 ‘소프트웨어 중심차’(Software Defined Vehicle) 시대가 열리며 보안 필요성도 커졌다. 실제로 내연기관 차엔 30개 안팎 들어갔던 보안이 필요한 ECU가 하이브리드 차엔 60여 개, 전기차엔 90여 개, 자율주행 차엔 120개도 넘게 필요하다. ECU는 작은 컴퓨터인 만큼 모두 보안 프로그램이 탑재돼야 해킹에서 안전하다.

더구나 차량 데이터 통신이 늘면서 그 수단도 점점 다양해지고 있다. 과거엔 유선으로 연결하거나 USB를 직접 꽂아야 했지만 최근엔 와이파이는 물론 블루투스와 위성항법장치(GPS), 무선주파수(RF)와 근거리무선통신(NFC), 4세대(LTE)와 5세대(5G) 이동통신 등도 활용되고 있다. 자율주행 기술이 점점 발전하고 커넥티드카(인터넷에 연결해 실시간 정보를 제공하는 차)가 많아질수록 해커 입장에선 그만큼 공격할 수 있는 통로와 빈틈도 많아지는 셈이다.

자동차 보안의 취약성이 사회 안전 및 안보 문제로 부각되며 유엔유럽경제위원회(UNECE)는 이미 2022년 사이버 보안이 탑재되지 않은 신차의 판매를 금지하고 보안 소프트웨어 업데이트를 의무화한 상황이다. 지난해부터는 이를 전 차종으로 확대했다. 유럽에 자동차를 수출하기 위해서는 이 규정을 준수해야 한다. 우리나라도 오는 8월부터 신차 의무화, 2년 후 전 차종 의무화를 도입한다. 중국은 내년부터 신차에 대한 사이버 보안 및 소프트웨어 관리 의무화를 시행한다.

현장에선 자동차 사이버 보안 분야는 국가 안보뿐 아니라 산업 경쟁력 제고 차원에서도 정부가 집중 육성해야 한다는 목소리가 나온다. 우리나라는 전 세계적인 자동차 생산국인 데다 정보기술(IT) 강국이기도 하기 때문이다. 광범위한 자동차 제조 생태계와 사이버 보안 생태계를 모두 갖추고 있다는 건 다른 나라들이 쉽게 따라올 수 없는 강점이다. 자동차 제조 강국인 독일은 소프트웨어에선 약하다. 사이버 보안의 강자인 이스라엘은 자동차 제조 생태계가 없다.

▲ 차 보안 혁신 글로벌 톱3로 평가

아우토크립트가 세계적인 기술력을 인정받고 있는 것도 이러한 산업 환경과 무관하지 않다. 시장조사기관 프로스트앤드설리번은 지난해 자동차 사이버 보안 혁신기업 인덱스에서 아우토크립트를 글로벌 톱3로 평가했다. 특허 기술을 108건이나 보유하고 있고 자동차 내외부 통신 보안 솔루션을 모두 제공하는 유일한 업체란 점이 높은 점수를 받았다. 다른 나라의 자동차 사이버 보안 업체들은 일부 영역에 한정된 솔루션을 제공할 뿐이다. 특정 자동차 제조사나 부품사에 소속된 보안 업체들도 확장성엔 한계가 있기 마련이다.

아우토크립트는 국내 최고 실력파 해킹 및 암호기술 전문가들이 의기투합한 업체란 점에서도 주목된다. 아우토크립트 해킹팀은 과학기술정보통신부가 주최한 사이버보안챌린지 자동차 해킹 대회에서 2020년부터 2년 연속 우승을 차지했다. 세계 무대에서도 유명하다. 2023년과 지난해 미국 라스베이거스에서 열린 세계해킹대회 ‘데프콘(DEFCON)’에서 자동차 해킹 부문 4위를 차지했다. 대회를 위해 1년 내내 합숙 훈련까지 하는 팀들이 1~3위를 차지한 점을 감안하면 업무 중 참가로는 눈부신 성과다.

▲ 해킹 및 암호기술 전문가 의기투합

또 해커가 슈퍼컴퓨터를 동원해도 풀 수 없도록 암호화 알고리즘 전문가들이 다수 포진해 해킹팀과 함께 보안 솔루션을 개발하고 있다. 자동차는 전력과 자원이 한정돼 있어 메모리를 적게 쓰면서도 제 성능과 속도를 내는 게 중요하다. 더구나 자동차 컴퓨터는 1초만 버벅거려도 큰 사고로 이어질 수 있는 만큼 소프트웨어가 서로 간섭하지 않도록 해야 한다. 이를 위해선 암호화 알고리즘의 효율적 설계가 필수다. 만약 해킹에 뚫려도 데이터를 암화화해두면 추가 피해를 최소화할 수 있다.

이미 21개 글로벌 완성차 업체의 선택을 받고 보안 프로젝트를 수주했다는 사실은 아우토크립트의 탄탄한 기초와 기술력을 입증한다. 국내 고객사도 170곳이 넘는다. 매출도 2019년 8억 원에서 지난해 230억 원으로 증가했다. 특히 네덜란드 차량등록청으로부터 자동차 사이버 보안에 대한 형식 승인 평가 기관 자격까지 받았다. 네덜란드는 유럽에 자동차를 판매하려는 많은 자동차 제조사가 인증을 받는 핵심 형식승인 국가이다. 얀 피터 발케넨데 전 네덜란드 총리는 아우토크립트 미래모빌리터 준공식에 참석, 축사도 했다.

<박일근 수석 논설위원>