“시큐리티 바이 디자인(Security by Design·설계 단계부터 보안을 고려하는 것), 시큐리티 바이 디폴트(Security by Default·보안을 기본값으로 설정하는 것) 철학이 내재된 제품으로 소프트웨어 중심 자동차(SDV)를 확보해야 한다.”

심상규 아우토크립트 부사장은 30일 IT조선이 온라인으로 주최한 ‘미래 모빌리티 포럼 2026’에서 ‘SDV 전환에 따른 자동차 보안의 중요성’을 주제로 발표하며 이같이 밝혔다. 자동차 사이버보안 전문 기업 아우토크립트는 글로벌 시장에서 차량 사이버보안과 인프라 보안 사업을 전개하고 있으며, 국내 171개, 해외 48개 등 200여개 고객사를 대상으로 프로젝트를 수행하고 있다.

이날 심 부사장은 ▲소프트웨어와 하드웨어의 수직적 분화 과정 ▲소프트웨어와 하드웨어의 수평적 분화 과정 ▲소프트웨어의 이동성 ▲자동차 생태계 등 네 가지 관점에서 고민해야 할 사이버보안 문제를 설명했다.

심 부사장은 우선 소프트웨어와 하드웨어가 수직적으로 분화하는 과정에서 발생할 수 있는 보안 문제를 제시했다.

그는 “기존 자동차 소프트웨어는 하드웨어와 밀접하게 결합돼 있어 소프트웨어가 한 번 만들어지면 다른 하드웨어에 이식되거나 재가공되기 어려웠다”며 “하지만 SDV로 넘어가면서 하드웨어와 소프트웨어가 매우 느슨하게 결합되는 구조로 바뀌고 있다”고 말했다.

심 부사장은 애플리케이션이 하드웨어 자원을 사용하거나 차량 내부의 기존 제어기에 접근하려면 하드웨어와 소프트웨어 사이를 연결하는 소프트웨어 개발 키트(SDK)나 응용 프로그램 인터페이스(API) 등을 사용할 수밖에 없다고 설명했다. 그는 “이 과정에서 매우 중요한 보안 문제가 생긴다”고 했다. 자동차 제조사는 차량을 생산할 때 하드웨어와 소프트웨어에 대해 충분한 검증과 시험을 거쳐 보안 문제가 없다는 점을 확인하지만, 이후 추가 소프트웨어가 탑재될 경우 해당 소프트웨어 시스템이 충분히 안전한지 검증하기는 매우 어렵다는 설명이다.

그는 “결국 애플리케이션이 SDK나 API를 호출해 구동될 때 이를 어떻게 사용하는지 모니터링해야 한다”며 모니터링 과정에서 문제가 확인되면 애플리케이션 동작 차단 등이 필요하다고 제시했다.

심 부사장은 2개 이상의 애플리케이션 간 충돌 문제도 짚었다. 서로 다른 2개의 애플리케이션이 하드웨어 구동을 위해 비슷한 설정값을 요구할 경우, 애플리케이션 간 충돌로 보안상 취약점이 생길 수 있다는 설명이다. 그는 “이런 경우 애플리케이션의 동시 구동 자체를 사전에 방지하는 것 외에는 방법이 없다”고 말했다.

심 부사장은 차량 내부에서 하드웨어와 소프트웨어가 수평적으로 분화하고, 외부 클라우드와 연동해 작동하는 과정에서 발생할 수 있는 문제도 설명했다.

그는 자동차 전장 구조가 수평적이고 분산된 환경에서 점차 중앙집중식 구조로 변화하고 있으며, 이 과정에서 중앙집중식 구조에 고성능 서버 컴퓨터가 적용되는 흐름을 소개했다. 이어 “보안 관리조차 수평적으로 이뤄지다 보니 클라우드가 보안을 운영해야 한다”고 말했다. 차량 자체 제어기에 적용된 보안을 지속적으로 살피고, 문제가 발생하면 업데이트 등이 이뤄져야 한다는 설명이다.

심 부사장은 “이러한 관리 체계를 모두 만족시키기는 매우 어렵다”며, 이 같은 관리 체계가 중앙집중식 구조로 바뀌면 고성능 컴퓨터가 차량의 각 영역을 제어하는 조널 컨트롤러(Zonal Controller)를 관리하고, 그 아래 일반 제어기가 위치하는 구조가 될 것으로 봤다.

그는 “이럴 경우 보안을 수평적으로 다루지 않고 중앙의 고성능 컴퓨터를 중심으로 차량 내부를 관할하고, 정리된 정보가 다시 고성능 컴퓨터로 전달되는 구조가 더 수월할 것”이라며 “고성능 컴퓨터는 용량과 연산 능력이 높아 보안 기능도 충분히 많이 담을 수 있다”고 말했다.

이어 “개별 제어기가 각각 보안을 해결하도록 하기보다 조널 컨트롤러가 서로 협력하고 중앙 컴퓨터와 연동하도록 만들면 차량 내부의 전체적인 보안 수준을 끌어올릴 수 있다”고 했다. 차량 컴퓨터 역시 클라우드와 연동해 작동할 경우 보안 수준을 크게 높일 수 있다는 게 심 부사장의 설명이다.

심 부사장은 소프트웨어의 이동성 문제에 대해서도 설명했다. 소프트웨어의 이동성은 하나의 소프트웨어가 여러 하드웨어에 설치되는 환경을 뜻한다. 이런 환경에서는 하나의 소프트웨어에 보안 문제가 발생할 경우 다수 차량에 같은 문제가 생길 수 있다.

그는 애플리케이션 설치 이전에 자동차의 하드웨어 보안 성능과 소프트웨어 플랫폼의 보안 수준이 해당 애플리케이션 설치에 필요한 보안 요구 수준을 충분히 넘어서는지 판단해야 한다고 지적했다. 심 부사장은 “이 자동차가 충분한 보안 수준을 만족할 수 있는지에 대한 정보를 관리해야 하고, 이를 활용해 애플리케이션 설치 여부를 판단해야 한다”며 “그렇지 않은 상태에서 애플리케이션이 여러 차량에 설치되면 매우 어려운 보안 문제가 발생할 것”이라고 말했다.

이어 심 부사장은 자동차 생태계 관점에서 하드웨어, 중간 소프트웨어, 애플리케이션 등 각각의 영역에 적합한 보안 기술을 적용해야 한다고 강조했다. 자동차 생태계는 하드웨어와 소프트웨어 등의 상호작용 구조를 뜻하며, 소프트웨어·서비스 중심으로 산업 생태계가 변화하면서 보안의 중요성이 커지고 있다.

심 부사장은 “컴퓨터 플랫폼, 소프트웨어, 데이터 등 각각의 보안이 필요하다”며 “각각에 보안을 적용하는 것으로 끝나는 것이 아니라, 보안이 충분히 잘 유지되는지 지속적으로 관리해야 한다”고 말했다.

그는 자동차 제조사와 소프트웨어·서비스 제공자 중심의 보안 관리 필요성도 강조했다. 심 부사장은 “이 두 가지 축의 사이버보안이 계속 관리돼야 자동차 전체가 일정 수준 이상의 보안을 유지할 수 있다”고 했다.

심 부사장은 “개발 단계부터 안전한 보안을 고려해야 한다”며 “자동차에 적절한 보안 솔루션을 적용하는 것도 중요하지만, 보안 인프라가 충분히 잘 작동해야 한다”고 말했다.

이성은 기자
selee@chosunbiz.com

• 코스피, 6600선 내줘… 고유가·美금리 동결에 급반락
• 크래프톤, 쏘카와 자율주행 합작사 세운다… “피지컬 AI 데이터 확보 목적” 
• 펄어비스, ‘이브 온라인’ CCP게임즈 매각… 재무구조 개선 나서
• TI 김태훈 “피지컬 AI 시대, 엣지에서 실시간 처리해야 경쟁력” [FMF2026]
• 스트라드비젼 “자율주행 경쟁력, 모델보다 데이터 검증 체계가 좌우” [FMF2026]