법무법인 바른(대표변호사 박재필·이동훈·이영희)이 28일 ‘커넥티드카(통신망에 연결된 자동차)의 미래와 보안’을 주제로 웨비나를 개최했다. 이번 웨비나에서는 커넥티드카의 국내외 규제 동향과 국회에 제출된 자동차 관리법 개정안 해설, 커넥티드카와 관련된 자동차보안(사이버보안) 등에 대해 살폈다.
국내 커넥티드카 등록 대수가 머지않아 1,000만 대를 돌파할 것이라는 전망이 제시되면서 ‘커넥티드카’에 대한 관심이 높아지고 있다. 커넥티드카 산업의 성장은 필연적으로 보안 문제 해결이 핵심과제로 대두되고 있다. 현재 국회에 발의된 자동차관리법 개정안은 사이버보안 관리체계 인증제도 도입(UNR 155), 소프트웨어 업데이트절차(UNR 156)를 국내법화 하는 절차라는 점에서 큰 변화 없이 공포·시행될 것으로 예상된다. 앞으로는 자동차제작자도 사이버보안 관리체계(CSMS) 인증을 받아야만 자동차 제작 판매가 가능하도록 제도가 바뀔 것이 예상되기에 지금부터 준비가 필요하다.
‘커넥티드카의 글로벌 규제 동향’을 발표한 백설화 변호사(변시 10회)는 규제 배경에 대해 ▲커넥티드카의 등록 비중 급성장 ▲자동차시장 중심축 이동(하드웨어→소프트웨어) ▲자동차 사이버보안의 중요성 확대를 꼽았다. 특히 자동차 사이버보안의 경우 양방향 통신, 각종 데이터 수집·활용에 따라 해킹에 취약해 보안 중요도가 확대되고 있다. 이는 운전자의 안전과 직결되는 문제로 실제 미국 화이트해커의 해킹사례, 테슬라 전기차 원격해킹 사례 등이 있으며 직접 해킹 외 다양한 유형의 사이버공격도 등장하고 있다고 설명했다.
백 변호사는 UNECE WP.29(유엔유럽경제위원회 차량규정 조화를 위한 세계 포럼)가 채택한 자동차사이버보안에 관한 국제기준 UNR 155,156을 통해 글로벌동향을 설명했다. UNR 155는 사이버보안에 관한 규제사항으로 자동차제작사는 자동차 사이버보안 관리체계(CSMS) 인증을 받아야 하며, 차량에 대한 사이버보안 위험 평가 및 관리가 CSMS에 의해 적절히 시행된 경우 자동차의 형식승인을 받을 수 있게 된다. 이는 지난해 7월 이후 출시된 신차와 2024년 7월 이후 생산되는 모든 차에 적용된다.
UNR156에는 자동차 소프트웨어의 안전한 업데이트를 위한 규제 내용이 담겨있다. 자동차제작사는 소프트웨어관리체계(SUMS) 인증서를 보유하고 업데이트 전후 안전 및 차량기능 보장측면에서 요구사항을 충족시 형식승인을 받을 수 있다. SUMS는 소프트웨어 업데이트 패키지를 인증·관리·배포하는 시스템으로, 이 또한 24년 7월 이후 생산되는 모든 소프트웨어 기능탑재 차량에 적용된다.
백 변호사는 각국의 규제 동향에 대해 “미국은 현재 GTR(자기인증) 개발을 논의 중이며 일본은 관련 법령을 정비하고 있다”며 “우리나라의 경우 형식승인이 아닌 자기인증을 채택한 국가로 현재 자동차관리법 개정을 통해 CSMS구축 의무화, 소프트웨어 업데이트 준수사항 등을 도입하고자 한다”고 덧붙였다.
바른 디지털자산·혁신산업팀장인 한서희 변호사(연수원 39기)는 ‘국회에 제출된 자동차관리법 개정안 해설’ 주제발표를 통해 “개정안이 크게 자동차 사이버보안 관리체계 인증제도(CSMS) 도입과 자동차 소프트웨어 업데이트 관리제도(SUMS) 마련이라는 두 개의 내용으로 구성됐다”고 설명했다.
한 변호사는 개정안이 도입할 사이버보안 관리체계에 대해 “자동차를 사이버공격 위협으로부터 보호하기 위한 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계”라고 설명했다. 개정안은 CSMS 도입을 위해 자동차제작사 등이 사이버보안 관리체계를 수립해 국토교통부 장관의 인증 또는 변경인증을 받도록 하고 인증을 위해 국토부장관이 인증기준을 정하도록 하는 한편, 인증 심사를 대행할 수 있는 기관을 지정해 관련 업무를 수행하도록 하는 내용을 담았다. 또 ▲사이버보안 관리체계 관련 자료 제출 요구 ▲사이버보안 관리체계 인증의 취소 ▲사이버보안 관리체계 인증 미비 제작사에 대한 판매중지 처분 등의 내용도 담겨있다.
한 변호사는 이어 소프트웨어 업데이트 정의에 대해 소프트웨어를 변경, 추가 또는 삭제하는 것으로 튜닝을 하는 과정에서 소프트웨어를 변경, 추가 또는 삭제하는 것은 제외된다고 설명했다. 개정안은 자동차제작자 등이 자동차에 결함이 있는 경우 수행하는 시정조치 대상에 소프트웨어 업데이트를 추가했다. 소프트웨어 업데이트를 실시할 경우 준수사항으로는 ▲업데이트 이후에도 모든 장치 및 기능의 정상작동 ▲구조 및 장치의 안전기준 적합 ▲사이버 공격 및 위험으로부터 보호되는 상태에서 안전하게 업데이트 실시 ▲업데이트 정보를 사용자에게 제공 ▲업데이트 내용과 이력 기록 보관 및 정보의 훼손·손실 및 위변조 방지조치 등이 명시됐다. 개정안에는 또 ▲소프트웨어 업데이트 적정성 조사 및 시정명령 ▲소프트웨어의 임의 조작 제한 및 금지조치 등이 포함되어 있다.
한 변호사는 그 밖에도 ▲커넥티드자동차의 정의 ▲커넥티드자동차의 운행·관리 지원 ▲과징금 ▲벌칙 및 과태료 등도 염두에 두어야 한다고 설명했다.
‘자동차 보안과 커넥티드카’ 주제로 발표한 황재영 변호사(아우토크립트 CLO)는 “미래차는 바퀴달린 컴퓨터로 보안영역이 매우 중요하다”며 “모빌리티의 발전 방향은 M(obility 모바일서비스화) E(lectrification 전동화) C(onnectivity 연결성) A(utonomous 자율주행화)일 것”이라고 설명했다.
황 변호사는 “자동차 보안방향은 차량자체 안전과 차량과 외부통신을 안전하게 보호하는 것 2가지”라며 “자동차의 모든 소프트웨어가 안전하게 구현되도록 하는 것이 목표로 자동차제작사가 설계단계 이전부터 통합적으로 준비해야 할 문제”라고 덧붙였다.
엄성욱 한국교통안전공단 자동차안전연구원은 ‘자동차 사이버보안 관리규제 국내외 추진방향’을 주제로 발표했다.