“자동차 산업의 중심이 하드웨어에서 소프트웨어로 옮겨가면서 소프트웨어와 통신망에 대한 해킹 우려가 점점 커지고 있습니다. 예를 들어 만약 북한이 한국 자동차 해킹에 나선다면 그 위험은 ‘오물 풍선’의 수백만배 이상일 수 있습니다.”
자동차 보안 소프트웨어 업체 ‘아우토크립트’의 심상규 CTO(최고기술책임자)는 지난 11일 인터뷰에서 최근 서울 삼성동에 자동차 해킹 전문 연구소 건물을 신축한 배경에 대해 설명하면서 이같이 말했다. 심 CTO는 포스텍에서 정보보안(암호학)으로 박사 학위를 받았으며, 삼성전자 책임연구원, 보안 소프트웨어 회사인 펜타시큐리티 CTO 등을 역임했다. 지난 2019년 펜타시큐리티가 자동차 보안 분야 신사업을 자회사인 아우토크립트로 분사한 이래 아우토크립트의 CTO로 일하고 있다.
―주로 하는 일은?
“자동차 보안 소프트웨어 분야에서 미래를 주도할 신기술을 발굴하는데 주력하고 있다. 1~5년 앞을 바라보고 전략을 세우는 일이다. 예전의 자동차 산업이 하드웨어 중심이었다면 지금은 소프트웨어 중심으로 바뀌고 있다. 그래서 소프트웨어가 부가가치를 많이 창출하는 소프트웨어 중심 자동차(Software Defined Vehicle)를 주로 연구하고 있다.”
―자동차 소프트웨어의 예를 들면?
“사용자 눈에는 네비게이션 단말이 가장 먼저 보일 것이다. 하지만 그것을 넘어 다양한 소프트웨어가 차량에 장착되어 있고 그 비중은 갈수록 늘어가고 있다. 예를 들어 자율주행을 할 때 센서로 감지된 외부 상황을 AI(인공지능)가 인식하고 판단해 빨리 의사결정을 내리는 것이 대표적이다. 자동차가 외관상으로는 큰 덩어리 하나로 보이지만, 내부는 수많은 작은 컴퓨터들의 조합이다. 네비게이션 단말 컴퓨터, 자율주행 담당 컴퓨터 뿐 아니라, 핸들을 돌리거나 자동차 문을 자동으로 열고 닫는 것에도 각각 그 기능을 보조하는 작은 컴퓨터들이 하나씩 붙어 있다. 이런 것들을 전자제어장치(Electronic Control Unit)라고 하는데 현대모비스 같은 자동차 부품 회사들이 만든다.”
―스마트폰 소프트웨어와 비슷하다고 보면 되나?
“자동차 소프트웨어가 훨씬 복잡하고 시스템도 다르다. 자동차에 들어가는 소프트웨어의 소스 코드 전체 분량은 민간 항공기나 전투기에 들어가는 소프트웨어보다 많은 것으로 알려져 있다. 항공기나 전투기보다 많은 편의 기능이 자동차에 탑재되어 있기 때문이다. 예를 들어 문 여닫는 것, 핸들 돌리는 것도 지금은 모두 각각의 작은 컴퓨터가 조작한다. 충돌방지를 위한 핸들 조작, 갑작스런 상황에서의 자동 급정지도 모두 그 상황에 맞는 컴퓨터 소프트웨어가 있어야 작동한다.”
―개발은 쉬운가?
“개발 방법도 기존의 IT(정보기술) 시스템과 다르다. 일반적인 IT 시스템은 CPU(중앙연산장치)와 메모리(기억장치) 같은 하드웨어의 기본 모델이 존재하고 이를 구동시키는 범용의 소프트웨어가 있다. 하지만 자동차는 각 자동차 회사의 자동차 종류별로 부품이 다르고 그 각각의 부품마다 소프트웨어가 다르다. 부품과 소프트웨어들이 소규모 맞춤 생산으로 제작되는데, 이런 와중에도 가성비를 높이기 위해 최적화된 개발을 해야 한다. 자동차 전문 소프트웨어 회사들이 이 작업들을 하고 있다. 기존의 IT 회사들은 이것을 하기 힘들다.”
―보안 소프트웨어 업체들이 하는 일은?
“자동차 부품 회사들이 전자제어장치를 만들 때 보안 관점에서 어떻게 설계할지 조언해 주고, 보안 프로그램을 탑재해 주며, 제작 후 시험 평가도 도와준다. 그리고 예컨대 유럽 수출을 위해서는 네덜란드의 차량등록청(RDW) 같은 공공기관의 인증을 받아야 하는데 심사 기관 역할도 대행해 준다. 가장 중요한 일은 자동차 소프트웨어들이 해킹을 당하지 않도록 방지하는 것이다.”
―자동차가 해킹을 당할 수도 있나?
“요즘 자동차는 스마트폰의 앱으로 자동차 상태를 모니터링 할 수 있다. 이것이 가능한 이유는 자동차가 자동차 제조회사의 컴퓨터와 통신으로 연결(텔레메틱스)되어 있기 때문이다. 자동차 사용자는 제조회사의 컴퓨터에 접속해 자동차의 현재 정보를 얻는 것이다. 따라서 이 통신망에 해커가 개입해 자동차 컴퓨터가 바이러스에 감염되면 자동차가 제대로 작동을 안하게 된다. 해커가 자기 의도대로 자동차를 운행할 수 있다.
또 중국 같은 경우에는 자동차 1대가 혼자 자율주행하는 데에는 한계가 있다고 생각한다. 자율주행차가 주변을 잘못 인식해 벽을 허공으로 착각할 수도 있고, 센서가 오작동 하거나 센서가 감지하지 못하는 사각지대가 생길 수도 있다. 이런 한계를 극복하기 위해 자동차와 자동차, 자동차와 도로가 통신을 하면서 주행하게 한다. 전기차가 충전을 할 때에도 충전 기능과 동시에 통신 기능이 작동한다. 그래서 미국과 중국은 최근 생산되는 모든 차량을 커넥티드 카(외부 통신 기능이 탑재된 차량)로 분류한다. 이런 통신들이 모두 자동차 해커의 공격 대상이 된다. 그 만큼 자동차 사이버 보안이 중요하다는 뜻이다.”
―실제로 해킹된 사례가 있나?
“2015년 미국에서 활동하는 밀러(Charlie Miller)와 발라섹(Chris Valasek)이라는 이름의 해커 2명이 기자를 지프의 체로키 운전석에 태운 뒤 자기들은 집 소파에 앉아서 차를 조정하는 장면을 촬영해 유튜브에 공개한 적이 있다. 운전자의 운전과 상관 없이 엔진을 끄기도 하고 차량의 운행 방향을 조정하기도 했다. 핸들에 붙은 컴퓨터를 해커가 조작한 것이다. 해커들이 차량을 원격으로 조작하는 것이 가능하다는 사실이 알려지면서 2020년 6월에 유엔유럽경제위원회가 자동차에 사이버 보안을 적용하도록 규제(R155)를 만들었다. 이제는 모든 자동차 회사들이 사이버 보안을 의무적으로 적용해야 한다.”
―차량 해킹과 드론 해킹은 어떻게 다른가?
“드론은 GPS(위성항법장치) 신호의 수신만 방해해도 작동을 제대로 하지 않는다. 또 드론은 자동차만큼 복잡하지 않고 소프트웨어도 단순해 해킹하기 그리 어렵지 않다. 하지만 차량은 덩치도 크고 소프트웨어도 많아서 해킹이 쉽지 않다. 하지만 일단 해킹이 되면 피해 규모가 드론과 비교할 수 없을 정도로 크다.”
―어떤 피해가 발생할 수 있나?
“해킹 방법에 따라 매우 다양하다. 차가 시동이 안걸리게 만든 뒤 시동을 걸려면 돈을 내라고 요구할 수 있다. 차문을 못 열게 하면 사람들을 안에 가둬놓을 수도 있다. 자동차 핸들을 조작해 탑승객들을 어떤 장소로 납치할 수도 있다. 해커의 상상력 만큼이나 많은 기상천외한 피해가 발생할 수 있다.”
―실제로 해킹이 일어나고 있나?
“자동차 제조회사의 전산망에 침투하거나 자동자 제조회사와 자동차 사이의 통신망에 끼어드는 다양한 형태의 해킹 사건이 최근에도 발생하고 있으며, 공개된 사건들보다 공개되지 않은 사건들이 훨씬 많을 것으로 추정된다.”
―해커는 어떤 사람들인가?
“첫째, 명예욕을 추구하는 사람들이다. 둘째, 악성 소프트웨어를 심은 뒤 돈을 요구하는 사람들도 있다. 예전에는 주로 전자의 부류가 많았는데 점점 후자가 늘어나고 있다. 자동차 제조회사의 컴퓨터망에 침입한 뒤 제조사에 돈을 요구하는 사례가 대표적이다.”
―북한 해커가 한국 자동차를 해킹할 가능성은?
“그럴 가능성은 충분히 있다. 만약 현대차의 관리 시스템이 해킹되면 전국적으로 동시 다발적인 급발진 사태가 발생할 수도 있다.”
―어떻게 막을 수 있나?
“우리 같은 보안업체들이 하는 일이 그런 것이다. 먼저 자동차와 외부 통신이 안전하게 이뤄질 수 있도록 보안 기술을 제공한다. 충전할 때, 자동차간 통신할 때, 자동차 문을 개폐할 때 등 경우마다 보안기술의 규격이 나라마다 조금씩 다르므로 이에 맞춰줘야 한다. 또 자동차 내부 시스템을 위변조하려는 공격으로부터 자동차 내부 시스템을 보호하고, 운전자나 탑승자가 자동차의 내부 시스템을 신뢰할 수 있도록 보안 기술을 제공한다.”
―해커가 보안 프로그램마저 해킹할 수 있는 것 아닌가?
“100점짜리 보안 프로그램은 없다. 비용 때문이다. 3000만원짜리 차량에 5000만원짜리 보안 소프트웨어를 장착하면 차량이 팔리지 않을 것이다. 그래서 가성비에 맞는 보안 프로그램을 설치한 뒤 이후 계속 모니터링하면서 문제가 생기면 해결해 나가는 방식을 쓰고 있다. 그래야 비용을 줄일 수 있다. 자동차는 매우 복잡한 시스템이라서 지금은 차량 해커의 수가 적지만 해커들이 대규모로 자동차 시장에 진입하면 매우 걱정되는 일이 벌어질 수 있다.”
―세계 차량보안업계 동향은?
“2020년에 유엔의 규제가 나오기 전에는 전세계에 자동차 보안업체들이 별로 없었다. 하지만 규제 이후에 많은 보안업체들이 생겼고, 자동차 제조회사나 부품회사가 보안 회사를 적극적으로 인수해 사이버 보안을 강화하고 있다. LG전자도 자동차 부품 사업을 위해 이스라엘의 보안컨설팅업체인 사이벨룸을 인수했다.”
―한국의 차량 보안 소프트웨어 수준은?
“아우토크립토와 다른 1개 업체가 본격적으로 활동하고 있고, 여러 스타트업이 진출을 시도하고 있다. 하지만 자동차 소프트웨어가 일반 IT(정보기술) 소프트웨어와 달라서 기술적인 장벽 때문에 진입이 쉽지 않다. 제도적으로는 올해 초에 국내에서도 자동차관리법을 개정하면서 유엔 규제를 반영했다. 유럽에 비해서는 법제화가 몇 년 늦은 상황이지만, 국제적인 흐름에 맞추기 위해 적극적으로 후속 제도화가 추진되고 있다.”
―아우토크립트의 기술 수준은?
“해외의 일류 기업들과 공동 작업을 하고 있다. 전세계에서 가장 큰 해킹 컨퍼런스인 미국 라스베이거스의 ‘데프콘’ 행사 중 자동차 해킹 부문에서 작년에도 4위, 올해에도 4위를 했다. 올해에는 자동차 제조사들이 소프트웨어에 결함을 만들어 놓고 보안업체들이 그 결함을 찾아내도록 하는 방식으로 경선이 이뤄졌다. 올해는 100명이 넘는 자동차 보안 전문가와 해커들이 참여했는데, 참가자 수가 매년 10% 이상 늘면서 규모와 영향력이 커지고 있다.
지난 7월에는 서울 삼성동 현대차 신사옥 건설부지 인근에 미래차 소프트웨어 연구소인 ‘미래모빌리티센터’ 건물을 새로 지어 연구개발 활동을 확대하고 있다. 자동차의 외부 통신이든 내부 제어이든 설계 단계, 개발 단계, 시험 단계, 외부기관의 인증 단계 등 전 과정에 걸쳐 종합 서비스를 제공하고 자동차 보안의 기술 솔루션을 공급할 수 있는 회사는 아우토크립트가 세계에서 유일하다고 자부하고 있다.”
―향후 시장 전망은?
“시장조사기관들의 연구 결과를 보면 전세계 자동차 소프트웨어 시장은 2021년 189억달러(약 25조4000억원)에서 2026년 371억달러로, 같은 기간 한국 시장은 10억달러에서 20억9000만 달러로 늘어날 전망이다. 이 시장과 함께 짝지어 움직이는 전세계 차량 보안 소프트웨어 시장은 2021년 15억달러(약 2조원)에서 2026년 38억달러로, 한국 시장은 9000만달러에서 2억7000만 달러로 늘어난다. 컨설팅업체인 맥킨지는 소프트웨어 중심 자동차(SDV)가 2025년 신차의 30%에서 2030년 60%로 늘어날 것으로 예상한다. 점점 커지는 시장이다.”
―시장 개척 전략은?
“미국과 유럽의 완성차 업체나 부품업체 뿐 아니라 중국, 중동, 동남아 지역의 신생 전기차 업체들을 대상으로 글로벌 시장을 개척해가고 있다. 차량 보안 소프트웨어 시장은 기본적으로 글로벌 경쟁 체제이고 국내 시장보다는 해외시장이 더 크기 때문이다. 자동차의 사이버 보안이 의무화된 까닭에 신생업체들도 보안 소프트웨어를 탑재하고 인증 절차를 거쳐야 한다. 유럽의 차량 형식승인 및 등록을 담당하는 네덜란드 차량등록청(RDW)으로부터 지난 5월에 사이버 보안 평가기관 자격을 획득한 것도 이러한 글로벌 전략의 하나이다.”
―경영 실적은?
“2019년에 펜타시큐리티에서 분사해 창립할 당시 연간 매출액이 30억원이었다. 작년에는 220억원으로 늘어났다. 올해는 300억원이 목표이다. 매출액이 매년 30~40%씩 성장하고 있다. 특히 매출에서 로열티(특허권과 상표권 등의 사용료)가 차지하는 비중이 빠르게 늘고 있다. 로열티는 자동차를 생산할 때마다 발생하는 비용인데, 우리는 국내 자동차 OEM(주문자 상표 부착 생산 방식) 기업 최초로 소프트웨어 로열티 계약을 체결했고, 2022년 처음으로 매출이 발생했다. 2022년 로열티 수입은 전체 매출의 10%에 불과했으나 2027년에는 55%로 늘 것으로 예상하고 있다. 영업이익은 아직 투자하는 사업이 많아서 흑자는 아니지만 빠르게 좋아질 것으로 본다.”