[※ 편집자 주 = 한국국제교류재단(KF)의 2024년 발표에 따르면 세계 한류 팬은 약 2억2천500만명에 육박한다고 합니다. 또한 시간과 공간의 제약을 초월해 지구 반대편과 동시에 소통하는 '디지털 실크로드' 시대도 열리고 있습니다. 바야흐로 '한류 4.0'의 시대입니다. 연합뉴스 동포·다문화부 K컬처팀은 독자 여러분께 새로운 시선으로 한국 문화를 바라보는 데 도움이 되고자 전문가 칼럼 시리즈를 준비했습니다. 시리즈는 매주 게재합니다.]

[자율주행기술개발혁신사업단 제공]

◇ 차량 보안은 생존 문제, 실제 사건이 증명해

자동차 사이버 보안의 위험성을 전 세계에 각인시킨 상징적 사건은 2015년 발생한 '지프 체로키 해킹'이다. 보안 연구자 찰리 밀러와 크리스 발라섹은 차량의 인포테인먼트 시스템 취약점을 통해 원격으로 CAN(차량 내부 통신망)에 접속, 고속도로를 달리는 차량의 브레이크와 엔진을 멈춰 세웠다. 이 사건으로 피아트 크라이슬러는 140만 대 규모의 리콜을 단행했으며, 자동차 보안이 'IT 이슈'를 넘어 '생존의 문제'로 격상되는 계기가 됐다.

이후 일련의 사건은 '연결성은 곧 리스크'라는 현실을 반복해서 보여줬다. 2019년 미국 시카고에서는 카셰어링 서비스 '카투고'(Car2Go)의 앱 API(응용 프로그램 인터페이스) 취약점을 악용한 해커가 단숨에 100여 대의 벤츠 차량을 무단 점유하고 도주하는 사건이 발생했다. 해커는 스마트폰 앱의 인증 과정을 우회해 멀리 떨어진 차량의 문을 열고 시동을 걸었다.

차량 자체보다 서비스 구조, 즉 '모빌리티 플랫폼'이 공격받는 시대가 열린 것이다.

2022년 영국 보안 업체 NCC 그룹은 테슬라의 블루투스 저전력(BLE) 통신을 악용한 '릴레이 공격'(Relay Attack) 시연을 통해, 차주가 멀리 떨어져 있음에도 단 10초 만에 차량의 문을 열고 시동을 거는 데 성공했다. 해커가 노트북과 저가형 무선 장비만으로 스마트폰의 키 신호를 캡처해 차량으로 전달(Relay)하자, 시스템은 차주가 바로 옆에 있다고 오판했다.

'키 없는 편리함'이 거리 측정·추가 인증 절차 없이 운영될 때 얼마나 쉽게 범죄 도구가 될 수 있는지 보여준 사례다.

2023년에는 현대, 기아, 페라리 등 16개 글로벌 완성차 업체의 커넥티드 카 시스템에서 차량 식별 번호(VIN)만으로 원격 시동과 위치 추적이 가능한 API 결함이 발견되기도 했다. 이는 자율주행 셔틀이나 로보택시가 대중화될 미래에, 단 한 번의 서버 해킹으로 도시 전체의 이동 수단이 마비되거나 탈취될 수 있다는 섬뜩한 경고를 던진다.

자율주행이 도시 교통의 '인프라'가 되는 순간, 보안 사고는 개인 피해를 넘어 사회 기반 시설 장애로 번질 수 있다.

◇ 자율주행 레벨 높아질수록, 공격도 '서비스'로 탈바꿈

자율주행 레벨이 올라갈수록 위협은 더욱 교묘해진다. Level 2~3 구간에서는 운전자가 개입할 수 있다는 전제 때문에, 공격이 '운전자의 판단'을 교란하는 방식으로 나타날 수 있다. 예를 들어 Level 3에서 중요한 것은 운전자 상태를 확인하는 DMS(운전자 모니터링 시스템)인데, 이를 속이는 공격이 가능하다면 차량은 '운전자가 깨어 있다'고 착각한 채 위험한 상황을 맞을 수 있다.

Level 4로 넘어가면 인간의 개입이 거의 없기 때문에 공격의 목적도 달라진다. 특정 차량을 조종하는 것보다, 서비스 전체를 마비시키는 서비스 거부(DoS) 공격이 더 치명적일 수 있다. 로보택시 관제 서버가 공격받아 호출·배차가 멈추면 이동 서비스 자체가 중단된다. 자율주행이 '차량'이 아니라 '도시 운영 서비스'로 편입되는 순간, 공격자는 자동차가 아니라 '도시의 리듬'을 겨냥하게 된다.

이러한 위협에 대응하기 위해 우리나라도 실증 인프라를 구축하며 움직이고 있다. 자율주행 보안은 실험실의 이론으로는 충분치 않다. 실제 도로 환경에서 예기치 못한 통신 장애, 센서 오작동, 악성 신호, 시스템 결함이 연쇄적으로 발생할 수 있기 때문이다.

자율주행 실험도시 'K-City' 내에 문을 연 '자동차 사이버보안센터'는 해킹 위협을 실시간으로 감시하고 차단하는 '디지털 방패' 역할을 수행한다. 이곳에서는 입체교차로와 골목길 등 복잡한 도심 환경을 재현해 자율주행차가 마주할 수 있는 다양한 보안 위협 시나리오를 통합 검증한다. 중요한 것은 '취약점이 있는가'를 찾는 것을 넘어, '취약점이 발견됐을 때 어떤 운영 절차로 위험을 줄이는가'까지 함께 시험하는 것이다. 자율주행 시대의 보안은 기술과 운영이 붙어 다닐 수밖에 없다.

◇ '사후 대응' 넘어 설계부터 보안 도입 필요

이제 자동차 산업은 공격받은 뒤 패치를 배포하는 방식에서 벗어나, 설계 단계부터 보안을 내재화하는 '시큐리티 바이 디자인'(Security by Design)으로 이동하고 있다. 차량 구조 설계부터 네트워크 분리, 권한 관리, 키 관리, 로그 기록, 침입 탐지까지 '처음부터' 포함시키는 방식이다.

국제 규제 역시 강제성을 띠기 시작했다. 'UN R155'(차량 사이버보안 관리체계)와 'ISO/SAE 21434'(자동차 사이버보안 엔지니어링) 표준은 제조사가 차량의 전 생애주기 동안 위협을 분석하고 관리할 것을 요구한다. 여기서 전 생애주기란 개발·생산·판매·운영·폐차까지를 포함한다. 즉 '출고 때 안전하면 끝'이 아니라, 운영되는 동안에도 위협을 추적·평가·대응해야 한다는 뜻이다. SDV 시대에 자동차 회사는 '제조사'이면서 동시에 '운영사'가 된다.

MWC 2026에서도 글로벌 통신사와 여러 보안 기업은 AI 기반 침입 탐지 시스템(IDS)과 하드웨어 보안 모듈(HSM)을 결합한 다층 방어 구조를 미래 모빌리티의 필수 인프라로 강조했다. 차량 내부에는 HSM 같은 하드웨어 기반 신뢰 구간(Trust Zone)을 두고, 네트워크 측에서는 이상 징후를 실시간으로 탐지해 대응하는 방식이다.

여기에 OTA(Over-the-Air, 무선 업데이트를 의미하며 스마트폰, 자동차 등 기기의 소프트웨어를 무선 이동통신으로 자동 업데이트하는 기술) 업데이트의 무결성, 서드파티 소프트웨어 공급망 보안(Supply Chain Security)까지 합쳐지면, 자율주행 보안은 단일 기술이 아니라 '체계'가 된다.

◇ 자율주행의 마지막 관문은 AI 성능이 아니라 '신뢰'

자율주행 기술 경쟁은 흔히 AI의 성능이나 연산 능력(TOPS)으로 설명되곤 한다. 그러나 대중이 자율주행차에 몸을 싣는 최종 기준은 기술적 수치가 아닌 '신뢰'(Trust)다. 많은 사람은 '저 차가 잘 달릴까'보다 '저 차가 최악의 상황에서도 나를 지켜줄까'를 묻는다. 한 번의 사고나 보안 사건이 전체 산업의 수용성을 무너뜨릴 수 있다는 점에서, 보안은 비용이 아니라 시장의 '입장권'이 된다.

더 나아가 자율주행은 기업 간 경쟁을 넘어 국가 간 경쟁이기도 하다. 규제 체계, 데이터 주권, 인프라, 보안 표준을 누가 선도하는지에 따라 산업 주도권이 갈린다. 토요타가 강한 나라와 테슬라가 강한 나라의 경쟁이 아니라, '어떤 체계로 안전을 증명할 수 있는가'의 경쟁이다. 결국 자율주행의 완성은 '얼마나 잘 달리는가'가 아니라, '어떤 극단적인 공격 상황에서도 사람을 안전하게 지킬 수 있는가'는 질문에 대한 확신에서 결정될 것이다.

자율주행 시대의 가장 큰 역설은 이것이다. 더 안전해지기 위해 더 많이 연결되지만, 더 많이 연결될수록 더 쉽게 공격받을 수 있다. 이 역설을 넘어서는 길은 기술 낙관이 아니라, 현실적인 위협 모델링과 꾸준한 검증, 그리고 '보안이 기본값인 설계'다. 미래 모빌리티는 사이버 보안 위에 세워진다. 그 기초가 흔들리면, 자율주행의 미래도 함께 무너진다.

정광복 자율주행기술개발혁신사업단(KADIF) 단장

▲ 도시공학박사(연세대) ▲ 교통공학 전문가·스마트시티사업단 사무국장 역임 ▲ 연세대 강사·인천대 겸임교수 역임 ▲ 서울시 자율주행차시범운행지구 운영위원 ▲ 한국도로공사 고속도로자율주행 자문위원 ▲ 강릉 ITS 세계총회 조직위 위원

seva@yna.co.kr

Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.