-자동차 및 임베디드 솔루션 기업 이타스(ETAS) 프리드헬름 피카드 CEO 인터뷰
자동차 시장의 메가 트렌드로 전동화(Electrification), 자율주행화(Autonomous), 연결화(Connectivity), 공유화(Sharing) 등이 자리 잡았다. 자동차가 인간을 대신해 사고하고 판단하며 심지어는 다른 대상과 대화하고 교류하는 데에 도달했다는 얘기다. 인간의 신체처럼 자동차 내부의 모든 기능들이 유기적으로 움직이고, 인간이 사회 활동을 하듯 자동차와 자동차 간, 자동차와 인프라 간 연결망을 형성하고 있다. 하지만 기술의 무한 발전에도 불구하고 아직 인간의 능력을 따라오지 못하는 것이 '보안'이다. 이론적으로(?) 인간의 사고는 외부 요인에 의해 침투 또는 지배 당하는 것이 불가능하지만 자동차는 기계라는 한계로 항시 해킹 위험에 노출돼 있다. 그래서 최근엔 유럽을 중심으로 자동차 보안 강화를 위한 법규화가 추진되는 추세다. 이 분야의 선도 기업인 이타스(ETAS) CEO 프리드헬름 피카드와 서면을 통해 자동차 보안의 현 상황과 기술 수준에 대해 인터뷰를 진행했다. -자동차 보안이 국제적 이슈로 떠올랐다. 국내에서는 아직 사이버 보안 인식이 높지 않은데
"자동차 시장의 메가 트렌드가 보안 솔루션의 적극적인 필요성을 부추기고 있다. 이에 따라 유럽과 북미에서 자동차 보안을 법제화 하려는 움직임이 본격화되고 있다. 커넥티드 모빌리티가 시장에서 성공하려면 본질적으로 기능 안전과 IT 보안에 달려 있어서다. (완성차 및 부품) 제조사 입장에선 법규가 곧 형식 승인을 의미하기에 보안 규정 준수 여부가 중요할 수밖에 없다. 결국 사이버 보안에 대비하지 않으면 해외 수출과 신규 공급망이 확보될 수 없다는 뜻이다"
-현재 각국의 상황(법제화 현황, 발효 예상시기)은 어떤가
"유럽연합은 사이버 보안법과 GDPR(General Data Protection Regulation)의 개인정보보호 부분을 통해 첫 법적 기반을 마련했다. 이를 시작으로 자동차 보안에 대한 구속력 있는 규제 개발이 세계적으로 이뤄지고 있다. 대표적인 것이 UNECE(유럽경제위원회) 법규와 국제 표준 ISO/SAE 21434이다.
UNECE 산하 'WP. 29(자동차 기술적 요구 사항에 대한 전문가 작업반)'는 지난 6월 사이버 보안 관리 시스템에 관한 법률을 채택했다. 2022년 7월 이후 유럽에서 형식 등록되는 신차는 제품 개발에 사이버 보안에 관한 고려가 있었음을 증명해야 하고 제조사 및 부품사는 사이버 보안 관리 능력에 관한 인증을 의무적으로 받아야 한다. 이를 위해 각국의 제조사 및 부품사는 자동차 생산의 전체 가치 사슬에서 사이버 보안을 정의, 제어, 관리 및 개선할 수 있는 사이버 보안 관리 시스템을 구축해야 한다.
국제 표준인 ISO/SAE 21434도 제정 작업을 진행 중이며, 최종 표준은 내년에 나올 예정이다 "
-국내 기업들이 자동차 사이버 보안에서 가장 고려해야 할 부분은 무엇인가
"자동차 사이버 보안을 위해서는 세 가지 측면을 고려해야 한다. 첫 번째는 자동차 자체의 계층적 시스템이고, 두 번째는 자동차 전체의 라이프 사이클, 세 번째는 보안의 조직적 측면(조직의 보안 프로세스와 기능)이다. 자동차의 계층적 시스템이란 ECU와 ECU 간 통신, 전기전자 아키텍처, 외부 네트워크를 말한다. 자동차 라이프 사이클이란 설계, 구현, 양산, 운영의 모든 과정에서 보안이 고려돼야 한다는 의미다. 마지막 조직적인 보안은 기업의 보안 전략, 기능, 프로세스가 정립돼야 함을 말한다. 이 가운데 하나라도 놓친다면 다른 부분이 준비됐다 하더라도 전체 시스템이 위태로워질 수 있다"
-제조사가 보안 분야에서 중점을 두어야 할 부분은
"제조사는 보안 대책 자체보다 보안 조치가 어떻게 조정되고 관리되는 지에 더욱 중점을 둬야 한다고 생각한다. 자동차 보안은 지속적이며 복잡하고 매우 중요한 작업이다. 이를 위해서는 데이터 마이닝, 머신 러닝을 통해 미래 상황을 예측하는 예측 컨셉, 구체적인 보안 스트럭처 및 충분한 리소스가 필요하다. 이러한 수많은 작업에는 지휘자가 필요한데, 지휘자가 오케스트라를 이끌고 발전시키는 것처럼 모든 보안 대책과 제조사, 외부 협력사에 관련된 가이드를 주고 이에 따라 조화로운 상호 작용을 지휘하는 중앙의 '보안 관리 조직'이 필요하다"
-파워트레인 관련 사이버 보안은 어떤 부분들이 중요한가
"파워트레인은 안전과 밀접한 연관이 있기 때문에 가장 중요하다. 커넥티비티가 진행됨에 따라 파워트레인 컨트롤러 및 애플리케이션이 조작 및 무단 액세스의 위험에 노출되고 있다. 기능적 안전을 보장하기 위해 더 나은 보안 응용 프로그램이 필요하다. 이 부분에서는 하드웨어 보안 모듈과 침입 탐지(intrusion detection)가 매우 중요하다"
|
-이타스는 사이버 보안을 위해 어떤 노력을 하고 있나
"이타스는 임베디드 소프트웨어 개발 관련 툴을 비롯해 엔지니어링, 컨설팅 서비스까지 광범위한 포트폴리오를 보유하고 있다. 이타스는 보쉬의 100 % 자회사로 1994년 설립돼 전세계 소비자에게 맞춤형 서비스를 제공하고 있다. 이타스코리아는 2003년 설립돼 긴밀히 소비자 요구에 대응하는 한편 한국 내 주요 연구소 및 대학과 전략적 MOU 체결, 세미나, 전시회, 협회 활동 및 정부 과제 수행 등을 통해 활발한 기술 협력 활동을 이어가고 있다. 또 임베디드 보안 자회사인 에스크립트(ESCRYPT)를 통해 IoT에 대한 보안 솔루션과 컨설팅, 교육 등 통합적인 보안 솔루션을 제공하고 있다"
-이타스와 에스크립트의 최근 활동에 대해 소개하자면
"에스크립트는 현대자동차를 비롯한 국내 고객사와 활발하게 협업하는 한편 커넥티드카나 지능형 교통망과 같은 정부 프로젝트에 적극적으로 참여하고 있다. 예를 들면 ITU-T(International Telecommunication Union Telecommunication Standardization Sector)가 진행하는 커넥티드카의 내장형 보안과 관련된 국제 표준 개발 프로젝트에는 에스크립트가 한국 대표의 일원으로 참여하고 있다. 최근에는 자동차 사이버 보안에 대한 국내 시장의 관심이 더욱 높아짐에 따라 소비자 교육 및 국내 소비자를 위한 기술자료 확대에도 노력을 기울이고 있다.
더불어 최근 에스크립트는 종합 컨설팅 자문사인 KPMG와 자동차 보안 사업 강화 및 협업을 위한 업무 협약(MOU)을 체결했다. 한국에서도 이타스코리아와 삼정KPMG가 지난 10월 업무 협약을 맺었다. 이타스코리아는 임베디드 보안 자회사인 에스크립트를 통해 삼정KPMG와 공동으로 국내 자동차 제조사 및 부품사에 자동차 사이버 보안 관리 체계 수립 및 운영을 위한 컨설팅을 제공할 예정이다"
-에스크립트의 강점은 무엇인가
"에스크립트가 독일 BMW와 아우디를 위해 개발한 SHE(Secure Hardware Extension) 스펙은 업계 표준으로 사용되고 있다. 또 보쉬와 에스크립트가 주도적으로 참여했던 EVITA(E-safety Vehicle Intrusion proTected Applications) 프로젝트는 자동차 사이버 보안의 기본이 되는 automotive HSM의 산업계 표준으로 통용되고 있다. EVITA 프로젝트는 자동차 환경의 변화에 따라 요구되는 자동차 보안을 위해 암호화 과정에서 사용되는 정보나 자동차 제어, 사용자 정보 등 중요한 정보들을 해킹이나 도청 등으로부터 보호하기 위한 시스템 설계 및 인터페이스 설계 등을 목적으로 유럽연합에서 진행한 프로젝트다.
또한 '검증된 신뢰성'을 들 수 있다. 자동차 사이버 보안은 생명과 직결되는 만큼 검증된 기술인지의 여부가 무엇보다 중요하다. 에스크립트는 세계 최초로 양산차에 보안 모듈을 탑재한 회사이다. 폭스바겐 및 독일 연방보안청을 비롯한 글로벌 유수 기업들과의 협업으로 신뢰성을 인정받고 있다.
특히 앞서 언급한 것처럼 자동차 자체의 계층적 시스템, 전반적인 라이프 사이클, 보안의 조직적 측면을 아우르는 전체론적 보안을 제공한다는 점과 세계적인 자동차 제조사들과 협업해 보안 솔루션을 지속적으로 제공하고 관리할 수 있다는 점도 큰 장점이다"
오아름 기자 or@autotimes.co.kr
▶ [하이빔]아반떼가 만만해?
▶ [시승]'성공의 상징'이었던 각 그랜저, 지금 타보니…
▶ [언택트 人터뷰]제2의 '타다'를 위한 모빌리티 혁신법 Q&A
▶ [시승]가족친화형 SUV, 시트로엥 C5 에어크로스
관련뉴스
