기존 모빌리티는 사람이 직접 주행해야 하므로 하드웨어 중심이었으나, 미래 모빌리티는 인지·판단·제어를 하는 인공지능 소프트웨어 중심으로 변화하고 있다. 모빌리티는 많은 데이터를 모빌리티 상호간, 교통시스템 등 외부와 무선통신으로 송수신하며 운행한다.
한국자동차산업협회(KAMA)에 의하면, 2023년 3월 기준으로 외부의 시설·장비와 무선으로 정보를 송수신하는 커넥티드카 등록대수가 708만대로 전체 등록 자동차의 27%를 차지할 정도로 비중이 높아지고 있다. 또한 자율주행 모빌리티는 운전자가 운전에서 자유로워지면서 운전 중 정보 전달과 엔터테인먼트를 즐기는 인포테인먼트(infotainment) 공간이 되는데 무선 통신을 매개로 운전자의 민감한 정보가 송수신된다.
최근 원격으로 자동차를 훔치거나 자율주행시스템이 오작동하는 등 모의 해킹을 시연한 다수의 사례가 있다. 고도의 전자제어 장치가 탑재된 자율주행 모빌리티가 외부와 통신으로 연결되므로 사이버 공격에 대한 보안이 취약하면 대형 사고가 발생해 생명이나 재산상 피해가 발생할 수 있다. 또한 사이버 공격으로 운전자의 개인정보, 프라이버시 침해가 발생할 수 있다.
위와 같은 사이버 보안에 위험에 대한 경각심이 높아지면서 UNECE(United Nations Economic Commission for Europe, 유엔 유럽 경제위원회) 산하 국제 자동차기준 조화 회의체(W.P.29)에서 2020년 6월 자동차 사이버 보안에 관한 최초의 규범인 UN Regulation No. 155 사이버 보안기준(이하 ‘UNR 155’이라 함)을 채택해, 2021년 1월부터 시행 중이다.
UNR 155는 EU회원국뿐만 아니라 한국, 일본, 호주 등 56개 회원국들이 적용을 받는다. UNR 155은 자동차 제작자는 사이버 보안 관리체계(Cyber Security Management System, 이하 ‘CAMS’라 함)를 갖추고 위험을 평가하고 관리해야 한다. 국가는 CSMS를 확인 및 인증하고, 보안조치가 적절하게 수행되는 경우 형식승인을 한다. 구체적으로 국가는 CSMS의 승인을 위한 기관을 지정하고, 승인기관은 보안 위협을 식별하고 평가 및 관리를 하고 보안조치(사이버 공격 탐지 예방, 모니터링, 데이터 포렌식) 등 사이버 보안에 필요한 관리체계를 갖춘 경우 형식승인을 한다.
우리나라는 사이버 보안에 관한 국제기준 UNR 155를 기반으로 국내 규범을 정립할 가능성이 높아 전단계로 2020년 12월 사이버 보안 가이드라인(권고안)을 제시했다. 그런데 현재까지 관련 법안은 정비되지 않고 국회에서 논의 중이다.
현재 국회에서 심의 중인 자동차관리법 일부개정법률안(대표발의 정동만 의원) 중 사이버 보안과 관련된 주요 내용은 다음과 같다.
우선 커넥티드 자동차, 사이버 공격과 위협, 사이버 보안 관리체계, 소프트웨어 업데이트에 대한 정의를 규정했다. 제작자 등은 자기인증을 위해 CSMS를 구축해 국토교통부 장관의 인증을 받아야 한다. 장관은 CSMS 안정성과 신뢰성을 확보하기 위해 자료 제출을 요구할 수 있고, 인증을 취소할 수도 있다. 사이버 보안 관리체계 인증을 받지 않은 자동차의 제작, 수입, 판매를 중지할 수 있다. 제작자 등은 소프트웨어를 사이버 공격으로부터 보호될 수 있는 상태로 업데이트를 할 의무가 있다. 제작자는 소프트웨어 업데이트 결함 시 시정의무가 있고, 누구든 임의로 소프트웨어 임의 조작 및 삭제를 금지한다.
일본은 이미 사이버 보안 UNR 155를 2021년 1월 도로운송차량법령에 반영했다. EU는 2022년 7월 이후 신차에 적용하며 2024년 7월 이후 운행되는 모든 차에 적용하므로 유럽에 자동차를 수출하기 위해서는 CSMS 기준에 맞는 형식승인을 얻어야 한다.
스마트폰 운영체제(OS, Operrating System) 업데이트와 유사하게 자동차도 무선 소프트웨어 업데이트(OTA, Over the Air)를 해 자동차 능력을 향상시킨다. 따라서 사이버 보안은 주기적인 관리와 지속적인 기술 향상이 필요하다.
사이버 보안 기준은 미래 모빌리티의 핵심 안전기준이므로 준수하지 못하면 국제 통상의 장벽이 생긴다. 조속히 사이버 보안 관리체계를 국내 기준화하고 UNR 155 등 사이버 보안에 관한 국제기준에 맞는 국내 입법을 정비할 필요가 있다. 나아가 개인정보에 대한 사이버 보안은 개인정보 보호법, 위치정보의 보호 및 이용 등에 관한 법률과의 체계 정합성을 정비할 필요가 있다.
사이버 보안에 대해서 완성차 제조사 등 대기업은 국제적 흐름에 신속하게 대응할 수 있으나 부품을 생산하는 중소기업들은 뒤처질 수 있으므로 국가적인 지원이 필요하다.
