자율주행의 이점은 차량 간의 충돌 사고를 현저히 줄일 수 있고, 교통 흐름을 원활히 할 수 있다는 점이다.

또 어린이, 노인, 장애인에게 편리한 운송수단을 제공하고 낮은 연료소비가 가능하며 공유경제와 관련한 신규 비즈니스 모델을 촉진할 수 있다.

하지만 안전에 대한 우려, 차량에 대한 책임성 등 법 제도 미비, 해커 또는 테러와 같은 사이버 보안사고, 운전 관련 일자리 손실 등이 걸림돌로 지적되고 있다. 특히 가장 큰 장애가 사이버 위협이라고 볼 수 있다.

대표적인 사이버 공격 시나리오는 다양하다.

자동차를 해킹해 도난 방지 및 경보장치를 무력화한 후 자동차를 훔치는 것부터 차량 내 중요 정보나 소프트웨어(SW)를 암호로 잠근 뒤 금전을 요구하는 랜섬웨어 공격의 가능성이 있다. 또 해킹을 통해 특정 요인을 노려 교통사고를 일으키게 하는 타깃형 교통사고 유발, 정치인에 대한 핵티비즘, 개인정보 유출, 고속도로 운행 차량에 대한 무차별 디도스 공격으로 다수의 교통사고를 유발할 수도 있다. 

미쓰비시자동차 해킹, 도난 경보 해제돼

이러한 위협은 이미 현실이 되고 있다.

영국의 한 보안회사는 지난해 6월 해커가 미쓰비시자동차(아웃랜더)를 해킹해 자동차의 도난 방지 경보 기능을 해제하는 공격에 성공했다고 밝혔다.

또 저명한 보안 전문가는 닛산 자동차(리프)가 해킹돼 난방 및 에어컨 시스템이 오용될 수 있다고 밝힌 바 있다. 

이러한 위협에 대해 자동차 회사들도 발 빠르게 대응하고 있다.

피아트 크라이슬러는 2014년 해커들이 지프 체로키를 원격으로 제어할 수 있는 SW 취약점을 패치하기 위해 140만 대 차량에 대해 리콜을 실시했다.

자율주행차와 커넥티드카에 대한 사이버 보안 노력은 기술적 대책을 포함해 다면적이다. 우리 정부도 지난해 융합보안 전략에 지능형 차량 보안 이슈를 제시한 바 있다.

보안의 내재화를 강조한 것이다.

영국 정부도 4월에 커넥티드카와 자율주행자동차를 위한 사이버 보안 원칙을 공표할 예정이다. 또 영국 국가사이버보안센터가 침해사고 대응을 주도하게 했고 침해사고를 최고책임자에게 보고하도록 했다.

사이버 보안 원칙의 주요 내용은 ‘조직에서 사이버 보안은 이사회 차원에서 다뤄져야 하고, 보안 위협은 적절한 수준으로 평가되고 관리돼야 하며, 차량 내 모든 SW는 전 수명 주기 동안 관리돼야 하고, 차량은 사이버 공격으로부터 신속하게 복구돼야 한다’ 등의 내용으로 구성돼 있다.

UN 유럽 경제위원회(UNECE)도 글로벌 차원의 사이버 보안 규제 가능성을 논의하기 위한 태스크포스 회의를 지난해 12월에 영국 런던에서 개최했다.

이 회의에는 영국, 미국, 일본, 한국 등에서 정부, 자동차산업협회와 자동차 제조업자 등의 대표들이 참석해 향후 수행해야 할 주요 임무를 정의한 바 있다.

주요 임무는 사이버 위협을 대응하기 위한 주요 보안 및 프라이버시 요구사항을 정의하고, SW 업데이트 관리 관련 요구사항과 이를 위한 보호조치 가이드라인을 정의할 예정이다.

이 태스크포스 최종 보고서는 2018년에 UNECE WP 29(교통)에 보고돼 결의나 권고로 채택될 예정이다.  

사이버 위협에 대한 대응도 다면적이어야 한다.

커넥티드카나 자율주행차량에 대한 보안 위협원은 다양하고, 협력사만도 수 천 개다.

자동차 전 생명주기에 걸친 주요 자동차 제조사와 협력업체를 포함한 주요 당사자 간에 사이버 보안을 위한 협력과 인식을 높이는 게 먼저다.

이미 GM과 테슬라가 자동차 SW 취약점 대응팀을 운영하고 있고, 자동차 버그바운티(Bug Bounty, 보안 취약점 신고 포상제)를 위한 연락처를 공개하고 있다. 

>>>

피아트 크라이슬러는 SW 취약점을 패치하기 위해 140만 대 차량에 대해 리콜을 실시했으며,

GM과 테슬라는 자동차 SW 취약점 대응팀을 운영하고 있다.

사이버 보안은 자동차 제조사 및 SW 제작자를 포함한 협력회사의 최고경영자 수준에서 논의되고 결정돼야 한다.

또 SW 취약점 보완을 위한, 빈번한 리콜을 막기 위해 자동차 SW 업데이트를 위한 절차와 이와 연관된 주요 주체간 협력이 필요하다. 

자율주행차 사이버 보안 문제를 해결하기 위한 국제 논의에 적극 참여할 필요가 있다. 이렇게 해야 국내 자동차 산업에 부정적인 영향을 줄이고, 사이버 위협을 사전에 예방할 수 있다.  

자율 또는 커넥티드카에 대한 국가 또는 지역 차원의 사이버 보안 관제센터의 구축도 필요하다. 모든 자동차의 SW는 초기 설계부터 배치와 운영까지 전 수명과정 동안 보안 내재화가 적극적으로 채택돼야 한다.

아직 해결돼야 할 과제도 많다.

자율주행차가 사고를 냈을 때 책임성 이슈, SW 회사와 자동차 완성차 업체 간의 책임 배분 이슈, 제조업체와 협력업체간의 협력체계 구축 및 사이버 보안 정보 교환 프레임워크 구축 등이다. 

자율주행이 성공적으로 도입되고 정착되기 위해선 사이버 보안 이슈가 먼저 고려돼야 한다. 자율주행차량 전 생명주기 동안 보안의 내재화는 두 말 할 필요가 없다. 

<본 기사는 테크M 제48호(2017년 4월) 기사입니다>