토요타는 SDV를 ‘업데이트 가능한 차’가 아니라 ‘업데이트 이후에도 안전이 흔들리지 않는 차’로 다시 정의한다. Automotive World 2026에서 토요타의 이노우에 사장이 안전의 경계를 차 밖(사람·인프라·사회 시스템)으로 확장했다면, 우븐의 캄포 부사장은 그 안전을 소프트웨어로 증명하는 ‘검증의 운영 방식’을 제시했다. 유이마루·THUMS·GAIA는 안전을 의도나 구호가 아니라 데이터 - 개입 - 검증의 루프로 굴리는 실행 체력의 상징이다. SDV 시대의 신뢰는 멋진 기능이 아니라, 내일 아침에도 ‘어머니의 차’처럼 아무 일 없었다는 듯 움직이도록 만드는 검증 가능한 안전에서 출발한다.

글 | 한상민 기자_han@autoelectronics.co.kr 
IN ENGLISH





자동차는 클라우드와 끊임없이 연결되는 ‘거대한 컴퓨터’가 됐다. 업데이트와 서비스가 일상이 되면서 복잡성은 커졌지만, 사용자가 기대하는 한 가지는 변하지 않는다. 어제처럼 오늘도 아무 문제 없이 시동이 걸리는 것. 그 ‘당연함’이 흔들리는 순간, 신뢰는 앱이나 기능이 아니라 차 자체에서 무너진다.
SDV 시대에도 이 ‘당연함’을 지켜야 하는 이유는 단지 편의나 브랜드 경험이 아니다. SDV의 1원칙은 안전이기 때문이다. 소프트웨어가 차량 경험을 수명 전체에 걸쳐 형성하는 존재가 된 순간, 안전은 더 이상 옵션 목록이나 특정 기능의 성능이 아니다. 안전은 시스템 전체가 매일 유지해야 하는 기본 상태, 기준선이 된다. 업데이트가 반복될수록 복잡성이 늘어나는 SDV에서 “그냥 괜찮겠지”라는 믿음은 안전을 담보하지 못한다. 결국 SDV는 속도를 겨루기 전에, 변화가 계속 일어나도 안전이 무너지지 않는 방식으로 진화할 수 있는가를 먼저 증명해야 한다.
도쿄 빅사이트에서 열린 Automotive World 2026에서 토요타의 두 인물, 토요타 선진기술개발 컴퍼니(Advanced R&D and Engineering Company)의 이노우에 히로후미(Inoue Hirofumi) 사장과 우븐(Woven by Toyota)의 장 프랑수아 캄포(Jean-Francois Compeau) 부사장은 같은 이야기를 서로 다른 층위에서 다뤘다. 이노우에가 SDV에서 무엇이 최우선인지, 즉 ‘안전’의 정의를 차 바깥으로 확장했다면, 캄포는 그 안전을 소프트웨어로 ‘증명’하는 방법을 꺼냈다. 두 사람의 언어는 달라도 결론은 하나로 수렴한다. SDV는 ‘업데이트 가능한 차’가 아니라, 업데이트 이후에도 안전이 흔들리지 않는 차여야 한다.
그리고 이 둘을 연결하는 키워드는 ‘검증’이다. 토요타가 사고 제로를 사회 시스템의 결과로 재정의하는 순간, 그 시스템을 유지·개선하는 방식도 믿음이 아니라 검증이어야 한다. 우븐이 개발하는 Arene은 바로 그 전제 위에서 업데이트가 반복될수록 불안이 커지는 구조가 아니라 안전과 신뢰가 축적되는 구조를 만들려는 시도다. 내일 아침에도 어머니의 차가 어제처럼 켜지도록 하기 위한 토요타의 설계도는, 결국 ‘안전이 최우선’이란 원칙에서 출발해 “검증 가능한 시스템”이라는 구현 방식으로 이어진다.



어머니의 차가 깨지는 순간

“저희 어머니는 17년 된 일본 차를 운전하지만 소프트웨어가 있다는 사실도 모릅니다. 그녀에게 중요한 것은 밤새 무엇이 일어나든 아침에 시동이 걸리느냐입니다.”
캄포 부사장은 ‘어머니의 차’로 강연을 열었다. 고객이 SDV 시대에 바라는 것은 새로운 기능보다 먼저, 기본 동작의 연속성이다. 하지만 이 이야기는 감성적 훅에서 멈추지 않는다. SDV에서 기본 동작이 무너지는 순간 그것은 단순 불만이 아니라 안전의 균열로 이어질 수 있기 때문이다. 그리고 그 균열은 소프트웨어의 문제를 넘어 “차는 믿을 수 있는가”라는 근본 질문을 던진다.
그는 PC가 발표 직전에 멈춰 공포를 느꼈던 경험을 꺼내며 ‘고객 경험’이 본질적으로 감정의 문제라고 말했다. 불편은 불만이 되지만, 공포는 신뢰를 무너뜨린다. 신뢰가 향하는 대상은 서비스가 아니라 ‘차 자체’다. SDV에서 이 감정은 더 예민해진다. 연결이 상시화되면서 시스템 바깥의 변수, 클라우드 장애, 네트워크 불안정, 공급망 업데이트, 예측 불가능한 상호작용이 차량의 동작과 연결되기 때문이다.
“우리는 더 이상 ‘차를 만들고, 검증하고, 그 다음엔 그냥 괜찮다고 믿어버리는’ 방식으로 계속 갈 수 없습니다.”
캄포가 말한 핵심은 업데이트 가능성 자체가 아니라, 업데이트가 반복될수록 더 안전해지는 신뢰의 체력이다. 검증은 뒤에서 한 번에 하는 이벤트가 아니라, 앞에서부터 반복돼야 한다. SDV의 경쟁은 ‘기능 추가 속도’가 아니라, 기능이 추가될수록 안전이 확인되는 방식을 갖고 있느냐로 갈린다.



토요타 SDV가 말하는 ‘안전’의 정의와 그 뿌리

이노우에 히로후미 사장이 말한 ‘안전’은 기능 목록이 아니다. 에어백, 제동, 차체 강성 같은 항목을 더하는 방식만으로는 SDV 시대의 복잡성을 다 설명할 수 없다. 토요타가 끌어올린 정의는 명확하다.
“사고 제로는 차의 성능만으로 달성할 수 없다.”
안전은 차량 내부에서 끝나지 않는다. 사람·인프라·차량이 협조하는 구조에서 만들어지는 결과다. 그리고 이 관점은 SDV에서 더 직접적 의미를 갖는다. 소프트웨어가 차량의 행동을 바꾸고, 업데이트가 그 행동을 반복적으로 수정하는 시대에는 안전이 ‘제품의 속성’이 아니라 시스템이 유지해야 하는 상태가 되기 때문이다. 안전을 전제로 삼는다면, 안전은 차 안에 갇혀 있을 수 없고 시스템의 경계 전체로 확장될 수밖에 없다.
이런 SDV의 정의는 갑자기 튀어나온 표어가 아니다. 토요타가 스스로를 설명해 온 언어의 연장선에 있다. 이노우에 사장은 토요타의 역사를 ‘누군가를 위한 마음’에서 시작한다고 정리했다. 도요다 사키치가 밤늦게까지 베틀을 돌리던 어머니를 위해 자동직기를 발명했고, 기이치로는 관동대지진 이후 트럭이 사회를 움직이는 장면을 보며 ‘모두가 탈 수 있는 대중차’를 꿈꿨다. 이 이야기는 미담이 아니라 기술은 사람을 돕는 도구여야 한다는 방향성이다. 그래서 그가 말하는 미션은 ‘행복을 양산하는 것’. 안전은 그 약속을 지키기 위한 가장 기본 조건이 된다.
이 철학은 모빌리티의 정의로 이어진다. 이노우에 사장은 토요타가 자동차 회사에서 ‘모빌리티 컴퍼니’로 이동한다고 말하며, 그 변화를 모빌리티 1.0~3.0으로 설명했다. 1.0은 이동을 편리하게 만드는 단계, 2.0은 이동이 제한된 사람들에게 새로운 수단을 제공해 커뮤니티의 활력을 넓히는 단계다. 그리고 3.0에서 토요타는 사회 시스템과의 융합을 말한다. 에너지·도시·물류·교통이 따로 노는 세계가 아니라, 서로 연결된 구조 속에서 안전과 효율을 함께 설계해야 한다는 관점이다. 토요타가 ‘Woven City’에서 자율주행과 수소 공급 체계를 실험하고, 도시 규모의 모빌리티를 검증하는 것도 이 연장선에 있다.
“사고 제로는 차의 성능만으로 달성할 수 없습니다. 인프라와 사람, 차량이 협조해야 합니다.”
교차로에 센서를 설치해 보이지 않는 차량을 감지하고, AI 에이전트가 맞은편 차량뿐 아니라 횡단보도까지 조심하라고 먼저 조언한다. 핵심은 사고가 난 뒤의 대응이 아니라, 사고가 일어나기 전에 위험을 감지하고 사람의 행동을 자연스럽게 유도하는 구조다. 교통사고를 자동차의 문제로만 보지 않고 도시·인프라·사람의 행동까지 포함한 설계 문제로 다시 놓는 시선이다. 안전은 이렇게 차 밖으로 확장되며, 결과적으로 ‘예측 가능한 시스템’이 된다.



오키나와 ‘유이마루 프로젝트’. 운전 행동을 ‘지켜보고→개입→검증’해 사고·위험행동·연료 소비 개선 효과를 확인한 토요타의 실증 결과.



유이마루 프로젝트
데이터로 위험을 찾아내고, 행동을 바꾸다 

이노우에 사장이 말한 시스템 안전을 구체적으로 구현한 사례가 유이마루 프로젝트다. 오키나와에서 진행된 이 프로젝트는 렌터카 이용자가 많은 관광지 특성을 고려해 차량 데이터와 경찰 사고 데이터를 통합 분석했다. 토요타 커넥티드카로부터 수집한 운전 패턴을 바탕으로 급제동·급가속, 차선이탈 등의 정보를 지도화하고, 경찰의 사고 정보와 겹치는 ‘위험 지점’을 찾아냈다. 신호가 없는 교차로나 좌회전 프리 구간처럼 구조적 위험이 잠복한 곳들이었다.
차량 텔레매틱스와 스마트폰 앱 ‘유이마루’는 관광객에게 해당 구간 진입 전 “곧 급커브입니다. 속도를 줄이고 전방을 주시하세요” 같은 알림을 띄운다. 위험을 사후에 기록하는 것이 아니라, 위험에 들어가기 전에 행동을 바꾸는 방식이다. 
실증 결과는 숫자로 남았다. 좌회전 프리 구간의 추돌 사고는 70% 이상 줄었다. 오키나와 정부와 협력해 러버 폴과 도로 표지로 시선을 유도하는 작은 개입이 결과를 만들었다. 이 지점은 토요타가 말하는 안전의 성격을 드러낸다. 데이터로 위험을 찾아내고, 개입하고, 다시 검증하는 루프가 작동할 때, 안전은 ‘좋은 의도’가 아니라 ‘측정가능한 결과’가 된다. SDV에서 안전을 지키는 힘은 결국 이 루프를 차량 안팎에서 계속 굴리는 데서 나온다.




자율주행 시대의 새로운 좌석 자세를 가정한 THUMS 시뮬레이션 - 리클라이닝 환경에서도 골반과 상체 거동을 제어하는 차세대 탑승자 보호 개념.



THUMS
안전 연구를 ‘열어’ 기본권으로 만들다 

데이터 기반 프로젝트가 사회 안전을 겨냥한다면, 차 내부의 안전 연구는 인체를 대상으로 한다. 그 핵심이 THUMS(Total Human Model for Safety)다. THUMS는 충돌 시뮬레이션에 사용되는 가상 인체 모델로, 뼈·근육·장기 등 인체의 구조와 특성을 3~5mm 단위의 유한요소로 정밀하게 모델링했다. 크래시 더미가 센서로 충격값을 측정했다면, THUMS는 신체 내부의 손상을 가상으로 예측한다.
토요타는 2021년 THUMS를 무상 공개했다. 100개 이상 기업과 연구기관이 활용하고, 400명 이상의 사용자가 다운로드해 다양한 개발에 응용하고 있다. 나이·성별·체형이 다른 모델, 운전 자세와 휴식 자세 등 다양한 경우의 수를 지원하면서 실험 비용을 낮추고 안전장치 개발을 가속한다. 이 개방은 토요타가 안전을 ‘경쟁 우위’가 아니라 모두의 기본권으로 보는 태도를 드러낸다. SDV에서 안전을 전제로 둔다면, 안전은 폐쇄된 성능 경쟁이 아니라 산업 전체가 공유하며 개선하는 기반이어야 한다는 것이다.



GAIA
‘AI 도입’이 아니라, 시스템 안전을 굴리는 학습 체력

이노우에 사장이 말한 AI의 정의는 Artificial Intelligence가 아니라 Augmented Intelligence로 AI는 인간을 대신하는 것이 아니라 돕는 것, 판단과 상상력을 확장하는 것이다. 토요타는 그 철학을 조직 구조로 구현하려 하며, 그 장치로 GAIA(Global AI Accelerator)를 언급했다.
여기서 중요한 것은 GAIA의 이름이 아니라 역할이다. SDV에서 안전을 유지하려면, 위험을 발견하는 데이터와 연구 결과가 ‘어딘가에 쌓이는 것’만으로는 부족하다. 그것이 조직 전체로 확산돼야 하고, 다음 제품과 다음 업데이트에 반영돼야 한다. 안전은 ‘한 번 설계해 두면 끝’이 아니라, 변화가 반복되는 세계에서 매번 다시 유지되는 상태다. GAIA는 그 상태를 유지하기 위한 학습과 확산의 체력이다.



토요타의 SDV 개발 플랫폼 ‘Arene’.
요구사항 정의부터 개발·테스트·검증까지를 하나의 가상 차량과 데이터로 연결해 SDV 안전을 ‘기능’이 아닌 ‘검증 가능한 시스템’으로 다룬다. 



‘검증’에 대한 우븐의 문제제기
Shift-Left, 그리고 Arene 

캄포 부사장은 전통적 자동차 개발 패러다임이 SDV 시대에 무너진다고 지적했다. 그가 지적한 난점은 기술이 아니라 문화다. 모듈화·블랙박스·성숙한 프로세스가 “왜 바꿔야 하지?”라는 관성을 만들었고, SDV는 바로 그 관성을 정면으로 흔든다. 모듈화와 블랙박스 설계, 사전 검증만으로는 무수한 인터페이스와 업데이트를 감당할 수 없다. 전통적 V-모델을 “수많은 작은 V 모델들의 연속”으로 다시 봐야 한다. 늦은 통합과 늦은 검증은 낭비다. 그는 소프트웨어 통합 자체가 고객 가치가 아니라 ‘낭비’가 되는 순간이 왔다고까지 말했다. 블랙박스와 사일로, NDA로 막힌 정보 파편화가 남아 있는 한 Shift-Left는 구호로 끝난다는 경고다. 검증을 왼쪽으로 당겨 개발 초기부터 협업과 시험을 반복해야 한다.
그가 제시한 방향은 다섯 가지다. 블랙박스에서 화이트 박스로의 전환, 중앙집중식 아키텍처와 신호 관리, 기민하고 투명한 프로세스, 가상화와 에뮬레이션을 통한 조기 검증, 도구를 장기적 자산으로 인식하고 발전시키는 것.
이 원칙을 현실로 끌어내리는 플랫폼이 Arene이다. Arene SDK는 각 모델마다 새로 설계해야 했던 차량의 소프트웨어·하드웨어 의존성을 낮추고 재사용가능한 모듈을 제공한다. Arene Tools는 소프트웨어를 가상 환경에서 시각화·시험·검증·관리해 물리 프로토타입 의존도를 줄인다.
여기서 핵심은 ‘플랫폼을 만든다’는 것이 아니라, 안전을 증명하는 시간 축을 바꾼다는 데 있다. 안전이 최종 단계에서 확인되는 체크박스라면, SDV는 업데이트가 반복될수록 ‘검증의 구멍’이 커진다. 반대로 안전을 전제로 삼는다면, 안전은 개발 초기에 계속 증명돼야 한다. 그래서 Arene이 겨냥하는 것은 ‘소프트웨어 개발 도구’가 아니라 ‘검증 운영 방식’이다.
가령 업데이트 하나가 들어올 때마다 ‘괜찮겠지’가 아니라, 어떤 요구사항이 어떤 테스트로 커버되는지를 먼저 확인해야 한다. 특정 기능이 ‘1초 내 응답’이라는 요구를 갖는다면, 시뮬레이션과 테스트 케이스는 그 요구와 정확히 연결돼야 한다. 이 연결이 끊기면 SDV는 테스트를 통과하고도 안전에서 실패할 수 있다.
캄포가 말한 ‘진실의 원천’과 데이터 상관관계 문제는 바로 여기서 안전 문제로 전환된다. 요구사항-코드-테스트-결과가 끊기지 않는 구조, 그 구조를 일상적으로 돌리는 운영 체계가 있어야 업데이트 뒤에도 안전이 유지된다. 그리고 또 하나의 포인트는 가상화와 에뮬레이션이다. 하드웨어가 완전히 확정되기 전에 SoC나 ECU를 에뮬레이션해 실제 바이너리를 조기 실행할 수 있다면, 오류는 ‘나중’이 아니라 ‘먼저’ 드러난다. 검증을 당기는 이유는 속도를 위해서가 아니라, 안전의 불확실성을 일찍 줄이기 위해서다.



토요타 부스의 Domatics와 WAVEBASE 개념. ‘선별’과 ‘검증’을 데이터로 돌리는 운영 모델.
SDV 안전도 마찬가지로 요구사항·설계·공급망·운영에서 검증 데이터를 연결해 안전을 관리한다. 



예측과 감정의 조화
‘자연스러운 개입’이 안전을 체감하게 한다

“화난 사람에게 ‘너 화났네’라고 말하면 더 화가 납니다. 대신 먼저 제안하고, 제어는 마지막 수단이어야 합니다.”
경고는 적절한 타이밍에, 제어권은 최후의 옵션으로. 예측가능한 시스템이 정서적 안도감을 만든다는 그의 말은 결국 처음으로 돌아간다. 안전은 센서와 알고리즘의 성능만이 아니라, 사람이 받아들이는 방식까지 포함한다. 불안이 쌓이면 시스템은 안전해도 사용자는 안전하다고 느끼지 못한다. 그리고 그 불일치는 결국 안전의 균열로 이어진다. 안전은 ‘무슨 일이 일어나도 예상 가능한 반응을 보이는가’라는 체감의 층위에서 완성된다.



차와 함께 늙어가며 신뢰를 잇는다

두 강연을 묶으면 이렇다. 토요타가 SDV의 기준선을 ‘안전’으로 다시 세웠다면, 우븐은 그 안전을 소프트웨어로 증명하는 방법을 꺼냈다. 이노우에 사장은 사고 제로를 위해 사람·인프라·차가 협조하는 예측 가능한 시스템을 그렸고, 캄포 부사장은 그 시스템을 만들어내기 위한 검증과 운영의 체력을 강조했다.
SDV 시대의 승부는 멋진 UI에만 있지 않다. 업데이트 이후에도 ‘어머니의 차’가 어제처럼 켜지도록 만드는 기본 동작의 연속성, 그리고 그 연속성을 안전으로 증명하는 검증·운영 체계에 달려 있다. 토요타가 하드웨어와 소프트웨어, 사회 인프라를 하나로 엮어 “사람과 함께 늙어가는 차”를 이야기하는 이유가 여기에 있다.
모든 이야기는 결국 같은 질문이었다. 내일 아침에도, 아무 일 없었다는 듯 시동이 걸릴 것인가, 그리고 그 ‘당연함’이 안전의 언어로 증명돼 있을 것인가.


 

AEM(오토모티브일렉트로닉스매거진)