커넥티드 카 보안, 규제 공백 여전

커넥티드 카(Connected Car)가 점점 더 일반화되면서 첨단 기능과 편의성이 주목받고 있지만, 동시에 심각한 사이버보안 및 개인정보 유출 우려도 커지고 있다. 최근 노르웨이 오슬로대학교 라슬로 에르되디 정보학과 부교수와 헝가리 부다페스트 오부다 대학교 안전·보안 과학 스쿨 헨리에타 헤기 박사과정의 최근 연구논문은 이 같은 문제를 정량적으로 분석했다. 이 연구는 16개 국제 표준 및 규제를 평가한 결과, 강제력·기술적 구체성·공급망 위험 대응·개인정보 처리 방식 등에서 큰 불균형이 존재한다고 지적했다. 일부 프레임워크는 비교적 강력한 지침을 제공하지만, 다수는 모호하거나 자율적 권고에 머무르는 수준이다. 특히 모든 위협 범주를 포괄하는 단일 표준이 존재하지 않으며, 결과적으로 ‘조각난 보안 체계’가 형성돼 있다는 것이다.

공급망 취약점과 데이터 투명성 문제도 지적됐다. 차량에 적용되는 서드파티(third party) 부품과 소프트웨어는 여전히 취약성이 크지만 규제의 직접적 통제를 받지 않는 경우가 많다. 개인정보보호 역시 법제는 마련돼 있으나, 실제 소비자에게 제공되는 정보는 불충분하고 일관성이 떨어진다는 평가다.
소비자 인식 조사 결과는 더욱 분명하다. 유럽에 거주하는 약 300명을 대상으로 커넥티드 카(Internet-connected vehicles) 보안 및 개인정보보호에 대한 견해를 조사한 결과, 응답자 대다수는 차량 데이터가 자동차 제조사나 서드파티에 전송된다는 사실을 알고 있었으나 선택지가 제한적이라는 이유로 위험을 수용하는 태도를 보였다. 

이 연구는 자동차가 단순한 기계가 아니라 소프트웨어, 센서, 클라우드 연동, 무선 연결(텔레매틱스, 앱, 무선 통신 등) 등을 포함하는 디지털 플랫폼이라는 점을 강조한다. 이들 연결점들은 다양한 위협 경로를 제공한다:

· 원격 접근(Remote Access) 공격
· 위치 정보·운전 행태 등 민감한 데이터 유출
· 카메라, 레이다, 라이다, GPS 등의 조작 가능성
· 차량 내부의 CAN 버스 시스템 등 핵심 안전 시스템에 대한 침투
· OTA(over-the-air) 업데이트의 보안 취약성
· 공급망(Supply Chain)에 속한 서드파티 구성요소(API, 부품 등)의 취약점

규제와 표준, 아직 “퍼즐 조각” 상태

유엔 유럽경제위원회(UNECE)는 이러한 위험에 대응하기 위한 강제 규제로 R155와 R156을 도입했다. UNECE R155/R156과 같은 규정은 형식승인을 위해 사이버보안 및 소프트웨어 업데이트 관리 시스템을 요구하며, 규제 당국에 안전하지 않은 차량의 판매를 금지할 수 있는 권한을 부여한다. 하지만 실제 집행 수준은 국가·제조사별로 크게 차이가 난다.
개인정보보호법(General Data Protection Regulation, GDPR)은 개인 데이터 처리에 대한 원칙을 정하고 있으며, 2027년 시행되는 사이버 복원력법(Cyber Resilience Act, CRA)은 커넥티드 제품에 대해 더 엄격한 보안 요구사항이 도입될 예정이다. ISO SAE 21434와 ISO 24089와 같은 업계 기술 표준은 차량 사이버보안과 소프트웨어 업데이트에 대한 구체적인 지침을 제공하지만, 적용 범위와 구체성은 상이하다. TISAX(Trusted Information Security Assessment eXchange) 및 AUTOSAR Adaptive 등은 프로세스와 아키텍처에 중점을 두고 있지만, 이들 표준은 대부분 자율적으로 적용되며 법적 규제와 같은 강제력이 부족하다. 결과적으로 어떤 표준도 차량이 직면한 모든 위협 범주를 포괄하지 못하며, 업계는 여전히 ‘퍼즐 조각 같은 규제 환경’에 대응해야 하는 상황이다. 
특히 공급망 위험은 핵심 취약 지점으로 지목된다. 차량 한 대에는 수많은 서드파티 부품과 소프트웨어가 사용되지만, 규제 프레임워크는 이들 구성요소에 대한 직접적 책임 규정을 명확히 하지 못하고 있다.
 

연구팀은 16개 표준 및 법/규제(frameworks)를 면밀히 분석했다. 그 결과 확인된 주요 관찰사항은 다음과 같다.

· 규제의 강제력 및 실효성: UNECE R155/R156 같은 차량 형식승인(type approval) 규제가 존재하지만 실제 집행(enforcement)의 수준, 제조사의 준수 태도, 규제 해석 방식 등에서 큰 차이가 있다. 
· 기술적 구체성의 차이: 일부 표준은 개발 프로세스 중의 보안(예: ISO/SAE 21434), 또는 운행 중 소프트웨어 업데이트(UNECE R155) 등 특정 영역에 집중하는 반면, 표준 간 전체 위협 범주(threat categories: 원격 접속, 개인정보, 공급망 등)를 모두 포괄하는 것은 없다. 
· 공급망 위험(supply chain risk): 서드파티 부품, 외부 API, 소프트웨어 서드파티 구성요소에서의 취약점이 여전히 규제와 표준 모두에서 부족하게 다뤄지고 있다. 일부 표준에서는 계약이나 감사(audit)를 통한 위험 관리만을 요구하며, 법적 책임(accountability)을 명확히 하지는 않는다.
· 개인정보보호의 처리: GDPR 같은 법률이 존재하고 개인 데이터의 수집 및 전송에 관한 규정이 있으나, 소비자가 실제로 무엇이 어떻게 수집되고 공유되는지를 알 수 있는 정보(transparency: 투명성)가 적으며, 정보 제공의 일관성(consistency)이 부족하다는 피드백이 많다.

소비자 불신 심화

소비자 인식 조사에서는 데이터 투명성 부족이 두드러졌다. 다수의 응답자는 차량 데이터가 제조사나 서드파티에 전송된다는 사실을 인지했지만, 대안이 마땅치 않다는 이유로 수용하는 태도를 보였다. 그러나 동시에 데이터 수집·활용 방식에 대한 명확한 안내와 통제권을 요구했으며, 브랜드·국가별 신뢰 격차도 확인됐다. 이는 단순한 기술 문제가 아니라 시장 신뢰 확보 차원에서 중요한 과제임을 시사한다.

소비자 인식 조사(survey)를 통해 밝혀진 사실:
· 대다수 응답자가 자신의 차량이 제조사 또는 서드파티로 데이터를 보내고 있다는 사실을 알고 있다. 특히 최신 차량 소유자일수록 인지도가 높다. 
· 하지만 많은 이들이 이러한 위험을 “피할 수 없는 것”으로 받아들이고 있다. 대안이 제한적이라는 느낌 때문이다. 
· “수집되는 데이터의 종류”, “데이터가 어디로 가는지” 등을 알려주기를 강하게 요구하고 있다. 투명성과 이용자의 권리(empowerment)를 매우 중요하게 여긴다. 
· 브랜드와 원산지(country of origin)가 신뢰에 영향을 미친다. 일부 소비자는 특정 국가 브랜드의 차량을 정치적 또는 품질/안전 측면에서 불신한다. 

업계에 던지는 시사점

연구에서는 몇 가지 핵심 문제를 지적했다. 무엇보다 혁신의 속도가 규제와 표준의 발전 속도를 앞서가고 있다는 점이다. 소프트웨어 정의 기능, 앱 통합, OTA 업데이트와 같은 새로운 기술이 빠르게 상용화되면서 공격 표면(attack surface)도 확대되고 있지만, 이를 제어할 제도적 장치는 충분히 마련돼 있지 않다. 또한 규제·표준·소비자 기대치 간의 간극도 존재한다. 기술적 요구사항과 법적 요구사항이 통합적으로 조율되지 않은 상태이며, 소비자에게 제공되는 정보 역시 미흡하다. 정보 제공의 부족은 소비자 불신으로 이어지고, 시장 신뢰 확보에 걸림돌이 될 수 있다.
규정 자체에 대한 비판도 제기됐다. UNECE R155와 같은 규제가 서류상으로는 충실해 보이지만 실제 현장에서는 문서화 수준에 머물러 있다는 것이다. 많은 제조사가 규제의 정신(spirit)보다는 형식(form)에만 충실해 실질적 보안 강화로 이어지지 않는다는 지적이다.
이에 대해 연구팀은 네 가지 개선 방향을 제안했다. 첫째, 다층적 보안 전략(Layered approach)의 채택이 필요하다. 단순히 법규를 준수하는 차원을 넘어 기술 표준을 적용하고, 내부 조직의 보안 체계를 강화하며, 공급망 전반을 관리하는 동시에 주기적인 보안 평가와 감사를 시행해야 한다는 것이다.
둘째, 규제의 명확성과 집행력을 강화해야 한다. 감독 기관이 법적 책임을 명확히 부여하고, 표준과 규제의 해석 및 적용이 문서화에 그치지 않고 실제 실행으로 이어질 수 있도록 해야 한다는 것이다.
셋째, 투명성과 사용자 권한을 확대하는 조치가 요구된다. 소비자에게는 어떤 데이터가 수집되고, 어떻게 저장·공유되는지, 업데이트나 보안 취약점은 어떻게 관리되는지 등을 명확하고 이해하기 쉬운 방식으로 제공해야 한다는 것이다.
마지막으로, 공급망 전체의 보안 책임을 확립하는 것이 중요하다. 차량에 사용되는 부품과 소프트웨어를 제공하는 서브서플라이어(sub-supplier)와 서드파티 역시 규제와 표준의 적용 대상에 포함돼야 한다는 점을 연구팀은 강조했다.

보안과 안전은 시장 신뢰의 기반

커넥티드 카는 차세대 모빌리티의 핵심으로 자리잡고 있지만, 보안과 프라이버시 문제는 여전히 해결해야 할 과제로 남아 있다. 국제 규제와 표준은 최소한의 안전망을 제공하나, 실제 강제력과 공급망 전반에 대한 책임 규정은 미흡한 실정이다. 동시에 소비자들은 차량이 어떤 데이터를 수집·활용하는지 충분히 이해하지 못한 채 신뢰에 의존하는 상황이다.
결국 산업계와 규제 당국은 형식적 준수에 머물지 않고 실질적 보안 역량을 강화해야 하며, 소비자 대상의 투명한 정보 제공도 필수적이다. 커넥티드 카 혁신이 안전과 개인정보보호보다 우선되면 소비자의 신뢰를 잃을 뿐만 아니라 위험도 커질 수 있다. 따라서 기술의 발전만큼이나 규제와 표준, 소비자 보호 체계가 함께 진화해야 한다. 커넥티드 카의 안전성과 신뢰성이 확보되지 않는 한 스마트 모빌리티의 진정한 확산은 제한적일 수밖에 없다.

AEM(오토모티브일렉트로닉스매거진)

---