자동차 전동화가 빠르게 진행되면서 사이버 공격 위협도 커지고 있는 반면, 국내에선 자동차 사이버 보안 가이드라인만 마련됐을 뿐 법적 구속력이 있는 관련 법안은 아직 도입되지 않고 있다.
이스라엘 차량 보안 업체 업스트림에 따르면 2010년부터 2022년까지 집계된 전 세계 차량 관련 사이버공격 사례는 총 1173건에 달한다. 특히 2021년에는 차량에 대한 사이버공격이 2018년 대비 225% 증가했다.
소프트웨어가 하드웨어를 제어하고 관리하는 SDV(소프트웨어 기반 차량)가 대중화되면서 해킹 위험은 갈수록 커지고 있다. 지난 3월에는 테슬라 모델 3가 해커들에 의해 단 2분 만에 해킹되기도 했다.
이에 국제적으로 자동차 사이버보안을 위한 규제가 강화되는 추세다. UN 유럽경제위원회(UNECE)는 지난 2020년 6월 자동차 사이버보안 국제기준인 'UN 규제 제155조(이하 UNR 155)'가 마련됐다. 이를 기반으로 마련된 '1958 협정'에는 한국·일본과 영국·독일·프랑스·스페인·이탈리아 등 58개국이 서명했다.
1958 협정은 자동차의 사이버 공격에 대처할 수 있는 시스템을 자동차에 탑재하는 것을 의무화했으며 국제적인 구속력을 갖췄다. 유럽연합(EU)에서는 2022년 7월부터 모든 신차에 대해 해당 규정이 의무화됐다. 2024년 7월에는 생산되는 모든 차량에 대해 의무 적용될 예정이다.
국내에서는 이에 맞춰 지난 2020년 12월 국토교통부와 한국교통안전공단이 '자동차 사이버보안 가이드라인'을 마련했다. 현대차·기아·쉐보레·르노코리아·KG모빌리티 등 국내 주요 제조사들도 이에 맞춰 자동차 사이버보안 체계와 보안조치를 마련하고 있다.
자동차 업계 관계자는 "UNR 155 기준을 작년 초부터 모든 차량에 적용하고 있다"며 "이는 해외 수출 차량뿐만 아니 국내에 판매되는 차량에도 마찬가지로 사이버보안이 적용되고 있다"고 전했다.
하지만 국내의 자동차 사이버보안 가이드라인은 '권고안'으로 의무·강제성이 없다. 일본이 UNR 155에 따라 2021년 1월 도로운송차량법을 개정한 것과 대비된다.
이에 대해 정부는 UNR 155에는 인증서, 승인기관 간 정보공유 등 국내 기준화가 어려운 조항이 있기 때문이라고 설명한다.
UNR 155는 자동차가 안전기준에 적합함을 정부가 사전에 확인해 승인하는 '형식승인' 제도 기반이다. 반면 우리나라는 2003년부터 제작사가 안전기준에 적합한지 확인한 뒤 판매하는 '자기인증' 제도로 바뀐 상태다.
그럼에도 국제기준을 기반으로 관련 제도를 정비해 자동차 사이버 보안을 강화해야 한다는 의견이 지속적으로 제시되고 있다.
이에 따라 지난해 12월 국민의힘 정동만 의원은 자동차 사이버보안 관련 내용이 담긴 자동차관리법 일부개정법률안을 발의했다. 해당 법안은 자동차제작사가 자동차를 자기 인증할 때 사이버보안 관리체계를 구축해 인증을 받도록 할 것을 규정하고 있다.
하지만 이 법안은 지난 4월 국토위에 상정된 이후 별다른 추가 논의가 이뤄지지 않는 상태다.
국토위 측은 빠르면 9월에 열릴 법안심사소위원회에서 해당 법안이 논의될 가능성이 있다는 입장이다. 하지만 12일로 예정된 교통법안심사소위원회에는 정동만 의원안이 올라오지 않아 아무리 빨라도 9월 말은 돼야 본격적인 논의가 가능할 전망이다.
국토위 관계자는 "법안 개정 시 영향력이 자동차 분야에 가져오는 영향력이 큰데다 전문적인 내용도 많고 새로운 인증제를 도입해야 하는 내용도 있어 법안 내용을 충실히 검토해야 하는 측면이 있다”고 전했다.
박진혁 서정대 자동차과 교수는 "자율주행차 등이 많아질수록 해킹으로 인한 도난, 사고 등의 피해를 최소화하기 위해 자동차 사이버 보안의 중요성이 높아지고 있다"며 "자동차 사이버보안 기술을 모니터링하고 문제점을 파악하는 법안은 반드시 만들어져야 한다"고 전했다.
이어 "2003년부터 도입된 자기인증 제도에 맞도록 자동차 사이버보안 제도를 정비하는 게 좋을 것"이라며 "향후 제도가 추진되면 민간 전문가의 도움을 받아 현재 자동차 보안 시스템에 문제가 있는지 파악하는 것도 필요하다"고 밝혔다.
[소비자가만드는신문=이철호 기자]
