2026년 Master of Pwn 수상자 Fuzzware.io. 좌측부터 TrendAI ZDI 위협 인식 총괄 더스틴 차일즈(Dustin Childs), VicOne CEO 맥스 쳉(Max Cheng), TrendAI ZDI 위협 연구 부문 부사장 브라이언 고렌츠(Brian Gorenc).       

차내 AI란 새로운 변수, SDV 규정·공급망·충전 인프라까지 확장된 공격 표면. 그리고 그 변화가 ‘취약점의 발견’이 아니라 ‘대응 체계의 속도’로 귀결되는 현실. 이를 Automotive World 2026에서 VicOne의 안내로 따라가 봤다. 이 안내는 단순 기술 설명이 아니라, 맥스 쳉 CEO가 던진 “우리가 넘버원”이란 선언의 근거를 확인하는 과정이었다.

글 | 한상민 기자_han@autoelectronics.co.kr
IN ENGLISH






“일본 메이저 OEM을 잡으셨군요?”
그들의 ‘넘버원’ 선언을 들은 뒤, 마지막 인사를 나누며 건넨 질문이었다. 명확한 답을 듣진 못했지만, 일본에서 ‘메이저 OEM’은 보수적인 검증과 조달 프로세스의 상징에 가깝다. 그 문턱을 넘었다는 것이 사실이라면, “넘버원”은 가벼운 허세로만 치부하긴 어렵다. 
보안 리스크와 시장 변화, 기술 로드맵을 설명하는 내내 VicOne의 맥스 쳉(Max Cheng) CEO의 메시지는 흔들리지 않았다.
“VicOne은 설립된 지 3년 조금 넘었지만, 글로벌 자동차 사이버보안 솔루션 시장의 리더가 됐습니다!”
빈말이라면, 고객은 이미 등을 돌렸을 것이다. 자동차 보안은 ‘말’이 아니라 현장 적용과 반복가능한 실행 능력으로 판가름 나는 분야니까. 게다가 지금의 자동차는 단순한 ECU들의 집합이 아니다. 차 안에는 대화형 AI가 들어오고, 차 밖에는 충전 인프라가 연결되고, 공급망에는 수많은 서드파티 소프트웨어와 모델이 섞인다. 공격 표면은 넓어지고, 패치는 느리고, 책임은 복잡해지고 있다.
그의 자신감은 무엇이었을까. 더 정확한 질문은 이거다. 그게 ‘사실’이라면, 그 사실은 어디에서 증명되는가. 
맥스는 성장을 ‘서비스 제공’만으로 설명하지 않았다. 규정과 고객 요구가 강화되는 흐름, 그리고 그 요구를 따라잡기 위한 솔루션 혁신을 근거로 들었다. 전년 대비 200% 이상 성장 같은 숫자도 언급했지만, 그는 숫자에 기대지 않았다. 취약점이 늘면 공격이 발생하고, 산업은 결국 ‘완화해야 한다’는 압력으로 움직인다는 현실을 먼저 짚었다. 이제 남는 건 하나다. 지금 자동차 보안이 무엇과 싸우고 있는지를 확인하는 일이다.




VicOne 하라 마사키 기술총괄이 Automotive World 2026 현장에서 ‘Physical AI 시대의 보안’ 관점을 설명하고 있다.  



차는 ‘가장 먼저 대규모로 배치되는 Physical AI’

그 확인의 구조를 잡아 준 사람은 하라 마사키(Hara Masaki) 기술총괄이었다. 맥스가 “Physical AI”를 오늘의 키워드로 올려세운 뒤, 하라는 그 키워드가 자동차 보안 현장에서 무엇을 의미하는지 다섯 개의 트랙으로 정리했다. 
다섯 가지는 ‘목차’가 아니라, 자동차 보안이 어디로 이동하는지, 그리고 왜 대응이 한 번의 패치가 아니라 지속적인 관리·증빙·반응 속도의 문제로 굳어지는지를 단계적으로 보여주는 좌표였다.
하라는 그 트랙 중 첫 번째로 차내 AI(In-Vehicle AI)를 꺼냈다. 생성형 AI가 차량에 들어오면 입력은 자연어·이미지·대화형 인터페이스로 열린다. 그 순간부터 전통적인 방식, 예컨대 특정 입력을 막거나, 단순 필터로 차단하는 수준만으로는 충분하지 않다. 하라 기술총괄이 던진 질문은 ‘에지에서 동작하는 에이전틱 AI를 어떻게 방어할 것인가’였다.
그리고 여기서 더 강하게 밀어붙인 쟁점은 공급망이었다. 모델이 여러 공급사에서 들어오고, 파인튜닝이 끼어드는 순간 질문은 ‘누가 책임지는가, 언제 수행되는가, 최종 산출물은 충분히 안전한가’로 바뀐다. 하라는 이를 “AI를 라이프사이클 관리 관점으로 다시 설계해야 한다”는 결론으로 묶었다. AI는 기능이 아니라 지속적으로 다뤄야 할 대상이 된다는 뜻이다.
이 지점에서 아키노부 오다(Akinobu Oda) 지사장은 기술을 ‘제품화’하는 방향으로 논리를 밀어줬다. 오다는 차량 내 AI 보안이 결국 “무엇을 검사하고, 무엇을 통제하는가”로 수렴한다고 말했다.
“우리는 프롬프트를 먼저 체크해 ‘나쁜 프롬프트’인지 가려내고, AI가 생성한 출력도 다시 들여다봐서 사용자에게 전달해도 되는지 판단합니다.”
핵심은 ‘AI의 입력과 출력’이 새로운 공격면이 됐다는 점이다. 그리고 이 문제는 차내에서 끝나지 않는다. 차량 밖의 인프라, 그리고 다른 물리 시스템으로까지 같은 형태로 번져간다.
오다는 같은 발표에서 자동차와 로보틱스가 서로 반대 방향으로 확장되는 흐름을 언급했다. Tesla는 자동차에서 로보틱스로, Honda는 로보틱스에서 자동차로. 방향은 반대지만, 기술적 공통점이 많기 때문에 가능한 전개라는 진단이다. 그리고 그 접점은 ‘시장’보다 ‘규정’에서 먼저 열린다는 것이다. 규정의 흐름이 자동차에서 로보틱스로 “스며들고 넘쳐” 들어간다. 즉 자동차에서 먼저 요구되기 시작한 보안 설계, 취약점 공개, 업데이트 책임, 대응 증빙 같은 요구가 로봇에도 같은 방향으로 확장되고 있다는 의미다.



취약점은 “발견”보다 “남아 있는 시간”의 문제다

두 번째 트랙은 취약점과 규정/규제다. SDV로 가면 소프트웨어 구성요소 분석(SCA)이 전제가 되고, 취약점 정보의 식별·추적·공유는 상시적 요건이 된다. 하라 기술총괄은 리눅스 커널 취약점을 사례로 들며, 이런 위험이 서버 환경만의 이야기가 아니라 차량용 Automotive Grade Linux 같은 자동차 소프트웨어 스택에도 그대로 스며든다고 짚었다.
하지만 그의 초점은 ‘어디에 취약점이 있나’보다, ‘그 취약점이 얼마나 오래 남아 있나’에 더 가까웠다. 서버와 달리 차는 대응이 느리다. 패치는 늦고, 배포는 어렵고, 규정과 검증은 얽혀 있다. 그래서 그는 이렇게 말했다.
“서버 측 대응과 비교하면 차량 측은 더 오래 걸립니다. 따라서 그 취약점이 환경에 더 오랫동안 남아 있을 위험이 존재합니다.”
하라가 사용한 표현은 ‘보이지 않는 취약점(invisible vulnerabilities)’이었다. 제로데이도 있고, CVE가 부여돼도 세부가 공개되지 않은 채 ‘대기 상태’로 남아 있는 경우도 있다. 중요한 건 상세가 공개되는 순간의 반응 속도다. 공개가 된 뒤에야 움직이는 조직과 공개되는 즉시 완화·패치 계획을 굴릴 준비가 된 조직 사이에서 격차가 벌어진다. 결국 취약점 대응은 ‘지식’이 아니라 준비된 상태(state)로 굳어진다.
한편. 오다 지사장은 규정의 프레임을 꺼내 이 흐름을 더 넓게 봤다. 유럽을 중심으로 사이버보안·소프트웨어 업데이트 규정(예: UNECE R155/R156)이 산업의 기본 전제가 되고, AI 관련 규정 프레임까지 겹치기 시작하면 보안은 선택이 아니라 요건이 된다. 그리고 요건이 되는 순간, 경쟁은 “기술 보유”가 아니라 책임 배분·증빙·반응 속도로 갈린다.




VicOne이 소개한 ‘xPhinx’ 아키텍처. AI 에이전트 - LLM/VLM 사이에서 입력·출력을 검증하고, 위협 인텔리전스를 지속 업데이트한다.  



EV 충전기는 ‘물리 사고’로 이어지는 인터페이스

세 번째 트랙은 EV 충전기다. 하라 기술총괄은 이 주제가 “작년에도 제기되었고 올해도 이어진다”고 말했다. 이유는 명확하다. 충전기는 네트워크에 붙어 있고 차량과 직접 연결되며, 침투가 허용되면 물리적 위험(과열→화재)으로 이어질 수 있다.
여기서 중요한 것은 표준을 준수하고 있어도 제로데이는 나온다는 사실이다. 즉 ‘컴플라이언스 = 안전’이라는 공식은 성립하지 않는다. 컴플라이언스는 출발선이고, 제로데이는 그 바깥에서 튀어나온다. 그리고 충전기가 공격 표면으로 편입되는 순간, 보안의 범위는 차량 내부를 넘어 차량이 접속하는 세계(충전 네트워크·백엔드·프로토콜 도구)까지 포함한 하나의 시스템으로 넓어진다.



랜섬웨어는 차가 아니라 ‘라인’을 멈춘다

네 번째 트랙은 랜섬웨어다. 하라 기술총괄은 이것이 ‘차량 자체 취약점’은 아닐 수 있지만, 자동차 회사를 겨냥하면 생산라인이 멈출 수 있다고 경고했다. 중요한 건 공격의 성격이다. 랜섬웨어는 ‘해킹 사건’이 아니라 생산 중단 리스크다. 따라서 산업의 주변부만 지키는 방식으로는 충분하지 않다. 공급망 전체를 포괄하는 방어 체계가 필요하다.
이는 특히 전통 OEM의 습성과 맞물린다. 전통 OEM의 보안은 종종 조직/기능별로 나뉘고, 책임이 분절되며, 결정 속도가 늦어진다. 그런데 랜섬웨어는 그 틈을 기다려주지 않는다. 공격은 기술보다 먼저 사업 연속성을 무너뜨린다.



오래된 공격은 여전히 ‘진입점’으로 남아 있다

다섯 번째는 차량 내 네트워크/프로토콜이다. CAN 인젝션, 하드코딩된 seed, 게스트 Wi-Fi를 통한 침투. 새로운 이야기가 아니란 말이 더 무섭다. 오래된 공격이 여전히 통한다는 것은 많은 시스템이 여전히 같은 방식으로 열려 있다는 뜻이기 때문이다.
하라 기술총괄이 이 파트를 정리하며 강조한 것은 두 가지다. 첫째는 차량 내부 ECU·도메인·게이트웨이까지 포함한 엔드포인트 탐지의 중요성이다. 둘째는 암호화 키의 통제·관리 권한이다. 특히 그는 진단/접근 인증에서 흔히 쓰이는 seed-key 메커니즘이 하드코딩되는 순간 그것이 공격자의 진입점이 될 수 있다. 기본기를 미뤄두면, 확장된 공격면은 더 손쉽게 열려버린다.







Pwn2Own Automotive: 
취약점을 ‘산업의 학습’으로 바꾸는 경기장

맥스의 ‘넘버원’ 선언은 고객 리스트나 성장률만으로 유지되지 않는다. 그것이 산업에서 납득되려면, 취약점이 발견되고 공개되고 수정되는 과정, 즉 학습의 속도에서 그들이 어떤 역할을 수행하는지가 드러나야 한다.
여기서 상징적인 무대가 있다. Trend Micro의 Zero Day Initiative가 운영하는 Pwn2Own Automotive다. 이 행사는 차량, IVI, EV 충전기, 충전 프로토콜 도구, OS 등 ‘실제 타깃’을 대상으로 제로데이를 겨루는 공개 콘테스트로 매년 Automotive World에서도 개최되고 있다. 중요한 것은 “누가 뚫었는가”보다 “산업이 무엇을 학습했는가”다. 화이트해커는 취약점을 현실의 결과로 끌어내고, 프로그램은 그것을 책임 있는 공개(responsible disclosure)와 패치 준비 시간으로 연결한다. 그래서 자동차 보안은 보고서가 아니라 현장 검증이 된다.
흥미로운 건, 이런 ‘외부 검증’에 대한 태도에서 업체들의 성격도 갈린다는 점이다. “화이트해커가 OEM에게 얼마나 중요한가”란 질문이 나온 것도 같은 맥락이었다. 맥스는 세 그룹(테슬라·중국 OEM·전통 OEM)을 단순히 ‘순위’로 말하진 않았지만, 방향은 분명히 말했다. 어떤 그룹은 보안을 전략 가치로 보고 가능한 자원을 총동원해 선제적으로 움직이는 반면, 어떤 그룹은 규정 준수를 먼저 맞춘 뒤 문제가 드러나면 고치는 반응형으로 흐르기 쉽다. 차이는 기술의 유무라기보다는 조직의 속도와 책임 구조에서 갈린다.
Pwn2Own은 외부 해커의 쇼가 아니라, 업계가 스스로 공격을 초대해 공격면을 계측하고, 그 결과를 수정·개선의 루프로 되돌리는 장치다. 충전기까지 타깃이 된 것은, 보안의 무대가 차량 내부를 넘어 충전 네트워크·백엔드·프로토콜 생태계로 넓어졌다는 사실을 상징한다. (예: OCPP 관련 도구까지 타깃 범주로 들어오는 이유가 여기에 있다.)




아키노부 오다 지사장(좌)과 맥스 쳉 CEO  --------3



VicOne은 넘버원인가

‘VicOne은 넘버원인가’란 질문은 결국 숫자 자랑이 아니다. 맥스가 말한 강점은 위협 인텔리전스의 깊이만이 아니라, 자동차·로보틱스처럼 리소스가 제한되고 수명이 긴 환경에서 가능한 경량 통합과 장기 지원의 약속이다. 그리고 그 약속은, ‘발견’과 ‘수정’ 사이의 간격을 줄여야 하는 시대에 더 가까워있다. 
“우리가 넘버원입니다.”
이 문장이 진짜가 되려면 취약점이 늘어나는 속도를 인정하고, 그 속도만큼 빠르게 ‘발견→전달→수정’의 루프를 굴려내겠다는 책임이 필요하다. Automotive World 2026에서 VicOne이 보여준 것은 그 책임을 가능하게 만드는 방식, 그리고 그 방식을 산업이 함께 검증하도록 만드는 경기장 자체였다.

 

AEM(오토모티브일렉트로닉스매거진)