자율주행 해킹사고 우려에…보안업계 "강화된 보안책 제시해야"

[이데일리 최연두 기자] 국내 자율주행차 시범 운영이 확대되면서 관련 보안 위협에 대한 우려도 커지고 있다. 자율주행차는 특성상 외부 통신망과 상시 연결돼 있어 사이버 공격의 타깃이 되기 쉽기 때문이다. 사이버 공격으로 인해 인명 피해도 발생할 수 있는 만큼, 정부 차원에서 더 구체적인 보안 방안을 제시해야 한다는 지적이 나온다.

테슬라 차량 관련 이미지(사진=픽사베이)

7일 법조계에 따르면 자율주행차를 겨냥한 해킹 사고는 정보통신망법상 침해사고로 분류된다. 해당 사고를 일으킨 해커가 붙잡히면 망법에 따라 형사 처벌도 가능하다. 만약 이 사고로 이용자의 개인정보가 유출됐다면 완성차 제조사는 개인정보보호법 위반으로 시정명령 및 과징금·과태료 처분을 받을 수 있다.

전통적으로 차량과 관련된 법인 국내 자동차관리법은 올해 1월 개정됐지만, 자율주행차에 대한 설명은 없다. 개정된 관리법으로 내년 8월부터 신규 차량에, 오는 2027년 8월부터 모든 판매 차량에 소프트웨어(SW)를 위한 보안 시스템을 설치하는 것이 의무화된 정도다.

또 관리법 제30조의9~12에 따라 △자동차 사이버보안 관리체계 인증 △자동차 사이버보안 관리체계 관련 자료 제출 요구 △자동차 사이버보안 관리체계 인증의 취소 △자동차 사이버공격·위협의 신고 등 항목들을 기준으로 제조사들은 보안 관리 체계를 구축하고 검증받아야 한다.

하지만 이는 통상적인 보안을 얘기하는 것일 뿐 구체적인 보안책을 설명하진 않는다는 게 보안 업계의 주장이다. 완성차 제조업계에서도 자율주행 보안에 대해 알고 있는 건 거의 없다. 한 완성차 업계 관계자는 “자율주행차 산업은 국내외적으로 활성화에 시간이 좀 걸리는 분야다보니 관련 보안 규제까지 신경은 쓰지 못하고 있는 실정”이라고 했다.

하지만 국내 시범 운영되는 자율주행 서비스는 최근 증가하고 있는 상황. 보안업계는 차량에 대한 원격관리 등 강화된 보안책이 필요하다고 주장한다.

스마트카 보안 솔루션을 제공하는 국내 한 업체의 A대표는 “자율주행차에 대한 원격관리를 의무화해야 한다”면서 “차량의 운영 현황을 보고하고 비상상황 발생 시 이를 즉각 보고하거나, 대응 조치가 가능하도록 언제든지 운영센터에서 조치 가능한 규격을 적용해야 한다”고 말했다.

A대표는 “전 세계적으로는 자율주행차에 대한 원격제어 또는 원격운전에 대한 기술 규격과 표준들이 만들어지고 있지만, 우리나라는 그렇지 않다”면서 “운전자도 없고 운전대도 없는 자동차가 움직이고 있는데, 아무런 응급 통제 수단이 없다면 매우 우려스런 상황이 언제든지 발생할 수 있다”고 지적했다.

이호석 SK쉴더스 이큐스트(EQST)랩 팀장은 “차량에서 수집되는 데이터에 대한 보안 정책도 필요하다”면서 “자율주행 차량에서 수집되는 모든 정보가 데이터센터에 모이면 개인정보와 관련된 문제들이 발생할 것으로 생각된다. 관련 구체적인 수집·관리 가이드라인을 제작할 필요가 있다”고 말했다.

현재까지 자율주행차 해킹 공격으로 인한 인명 피해가 공식적으로 알려진 것은 없다. 탑재된 기술이나 알고리즘 등이 미흡한 문제로 사고가 난 경우가 대다수다.

대표적으로 지난 2016년 5월 자율주행하던 테슬라 모델S가 트럭과 충돌해 테슬라 운전석에 앉아 있던 이용자가 사망하는 사고가 발생했다. 테슬라의 센서 오작동으로 트럭의 하얀색 면을 인식하지 못했던 것이 주요 원인이었다. 같은 해 2월에는 구글의 자율주행차의 차선 변경 알고리즘이 잘못 작동해 버스와 충돌하는 사고가 났다.

A대표는 “자율주행차를 포함해 차량이 점점 SW 중심으로 진화하면서 앞으로 자동차 고장과 해킹을 구분하기 어려워지게 될 것”이라고 내다봤다. 그에 따르면 현재 자율주행차 레벨 2~3 단계 차량은 양산되고 있는 수준이라 해킹과 공격 피해에 대해서는 공식화하거나 집계되지 않고 있다. 일부 지역에서 시범 서비스로 운영되는 수준인 레벨4 자율주행차(운전자가 주행에 개입하지 않는 단계)도 마찬가지다. 완전 자율주행차 상용화까지는 시간이 걸릴 것으로 보이는 이유다.

그럼에도 자율주행 보안에 관심을 가져야 하는 건 사이버 위협이 속속 발견되고 있어서다. 이스라엘에 본사를 둔 보안업체 업스트림시큐리티가 발표한 ‘2024년 글로벌 자동차 사이버 보안’ 보고서에 따르면 지난해 자동차 및 스마트 모빌리티 생태계와 관련된 딥 웹 및 다크 웹 활동이 165% 증가했다.

지난해 3월 캐나다 밴쿠버에서 열린 국제 해킹대회 ‘폰투온’에서는 프랑스 보안업체 시낵티브의 연구원들이 공격한 지 2분도 안돼 테슬라 모델3를 해킹해 화제가 되기도 했다. 차량의 게이트웨이 에너지 관리 장치 등의 취약점을 뚫는 것에 성공한 것이다. 연구원들은 테슬라의 앞 트렁크와 문을 원격에서 열고 닫는 등의 행위를 할 수 있었고 공격에 성공한 대가로 10만 캐나다달러(약 9900만원)의 보상금을 획득했다.

이와 관련 SK쉴더스 측은 “실제 상황이었다면 주행 중인 차량의 문을 강제로 개방해 더 큰 사고로 이어질 수 있었다”면서 “이처럼 자동차 시스템의 취약점을 악용한 사고가 증가하고 있어 차량 관련 사이버 보안의 중요성은 더욱 커지고 있다”고 강조했다.

완성차 업체들도 보안 강화에 더 집중해야 한다는 설명이다. A대표는 “자율주행 설계 단계의 보안 도입은 필수”라며 “제조사의 경우 자동차에 들어가는 SW 설계, 개발, 양산, 운행 등 전체 단계에 보안 관리 체계를 만들어서 대응해야 한다”고 강조했다. 단순히 보안 SW를 설치하는 것이 아니라 차량 SW에 보안 기능을 넣고 기능이 변경될 때마다 이에 맞도록 수정, 검증하는 프로세스를 따라야 한다는 설명이다.

한편, 현행법상 사이버 침해 사고 발생 시 정부 개입이 합법이다. 망법 47조의4에 따르면 정부는 △이용자 정보보호에 필요한 기준을 정해 이용자에 권고하고 △침해사고 예방과 확산 방지를 위해 취약점 점검, 기술 지원 등 조치할 수 있다. 주무부처인 과학기술정보통신부와 한국인터넷진흥원(KISA) 등 기관을 중심으로 원인 분석을 비롯, 해결 조치가 이뤄진다.