이 글은 ‘자율주행차 산업과 법적 규제의 변화 -1부’에 이은 2부입니다.
자율주행차 산업의 법적 규제에 영향을 줄 수 있는 요인 중 사이버 보안도 매우 중요하다. 왜냐하면 자율주행차는 온라인에 연결된 커넥티드 카 (connected car)이기 때문이다.
차량과 외부 정보와의 연결성이 증가할수록 사이버 보안의 위협도 증가하는데, 실제로 (특히 자율주행 기능과 관련해) 해커들이 차량의 주행기능을 마비시켜 사고가 발생하는 사례가 늘고 있다.
자동차 한 대에 평균 150개 정도의 전자제어장치 (ECU)와 약 1억 줄의 코딩이 들어간다고 하며, 2033년에는 약 3억 줄 이상의 코딩이 포함될 것으로 예상된다.
사이버 보안의 중요성을 인식한 규제 당국은 커넥티드 카의 데이터 보안과 관련한 규제들을 앞다투어 내놓고 있다. 예를 들어, UNECE (United Nations Economic Commission for Europe)는 차량용 사이버 보안과 소프트웨어 업데이트 관리를 개선하기 위한 규정을 마련하고 있다. UNECE가 작년 6월에 세계 포럼에서 채택한 두 개의 새로운 UN 규정 (WP.29)에서는 아래의 4개 분야에 대하여 올해 1월부터 관련 조치를 이행할 것을 요구하고 있다.
- 차량 사이버 위험의 관리
- 밸류 체인(value chain)에 따른 리스크 완화를 위한 설계별 차량의 안전 확보
- 차량의 전체에서 보안 사고에 대한 감지 및 대응
- 차량의 보안은 타협 불가능한 이슈임을 분명히 하며 확실한 안전성을 확보할 수 있도록 보안 업데이트 제공
유럽연합 (EU)에서는 앞으로 2024년 7월부터 생산되는 모든 신차에 대해 차량용 사이버 보안 규제가 의무화되며, 일본과 한국 역시 위규제를 적용하기로 합의하였다. 단, 북미의 경우는 아직 적용여부와 시기에 대해 정해진 바가 없다.
앞서 언급한 WP.29 규정은, 차량의 종류 (자동차, 밴, 트럭, 버스, 트레일러, 농기계 등)와 사이버 보안 관리 시스템 (CSMS: Cyber Security Management System)의 준수 여부에 기초하여 차량 판매 승인 여부를 결정하는 사이버 보안 요건을 정의하고 있다. 참고로 CSMS는 차량의 데이터 보안을 보장하기 위한 모든 프로세스, 활동 및 인력을 포함한다.
또한 사이버 보안의 핵심 중 하나는 리스크의 정확한 평가이다. 국제 표준화 기구 (ISO: International Organization for Standardization)는 차량용 사이버 보안 표준을 만들고 있는데, ISO/SAE 21434는 차량의 전체 라이프사이클에 걸쳐 설계별 사이버보안의 표준을 제시한다. ISO 21434는 리스크 평가 시스템 개발을 위한 모델을 제공하고 프로세스와 작업물에 대한 세부사항을 규정하고 있다.
앞으로 자동차 산업에 관련된 모든 기업들은 위 프로세스에 대한 준비가 필요하다. 데이터 보안 수준을 점검하고, 내외부 전문가들과의인터뷰를 수행해야 하며, 주기적으로 새로운 규제들의 요구사항에 대한 분석도 시행할 필요가 있다.
코로나 사태 이후에는, 조직, 프로세스 및 관리 시스템의 설정은 물론 프로세스의 자동화나 CSMS의 시행도 모두 원격으로 수행하는 추세로 바뀌고 있으며, 코로나 사태를 핑계로 이를 더 이상 지체해서는 안 될 것이다.
궁극적으로, 모든 자동차 회사들과 관련 기업들은 새로운 UNECE 규제를 준수하여야 하고 그러기 위해서는 그들의 차량 설계 단계에서부터 근본적인 변화가 있어야 할 것이다. ISO 21434 표준은 차량용 보안에 관한 글로벌 표준을 새롭게 정의할 수 있는 기반을 마련했다고 볼 수 있다.
“아직 시간이 좀 남았으니까”라는 생각으로 변화를 주저하고 현재의 개발 방식을 고수한다면 당장의 비용은 아낄 수 있겠지만, 향후 규정의 미준수로 인한 규제 당국의 제재와 벌금, 그리고 실제로 사이버 보안 이슈로 인한 인명사고라도 발생하는 경우에는 훨씬 더 큰 비용으로 돌아올 수 있다는 점을 명심해야겠다. 하루라도 먼저 준비를 시작할수록 새로운 규정과 표준을 완전히 이행할 수 있는 가능성은 커진다.
테크니들 인사이트
차량용 사이버 보안과 소프트웨어 업데이트 관리 규정 (WP.29) 준수를 위한 전체적인 프로세스는 다음의 세 단계로 정리할 수 있다.
1) 평가 (assessment): 리스크 모니터링의 대상이 되는 범위를 지정하고 현 상태의 리스크를 점검한다.
2) 구현 (implementation): ISO 21434 기반의 사이버 보안 조직을 구성하고, 리스크와 인력 및 도구를 정의한다.
3) 운영 (operations): 모니터링, 평가, 그리고 시정조치 이행의 연속적인 프로세스를 반복한다. 이는 결과적으로 사이버 보안 관리 시스템 (CSMS)의 도입과 시행으로 연결될 수 있다.