자동차 산업은 이제 바퀴 달린 탈 것만 만드는 공장들의 집합체가 아니다. 꽤나 모범적으로 디지털 전환을 이뤄가고 있으며, 이 때문에 첨단 기술을 갖춘 자동차들이 안전하게 출시되는 중이다.

[보안뉴스 문가용 기자] “세상의 모든 기업은 소프트웨어 회사다.” 이런 말을 적어도 한 번은 들어봤을 것이다. 수많은 은행 업무들을 핸드폰 하나로 처리하는 게 요즘이니 최신 IT 환경에 익숙한 사람들에게 있어 이 말을 사실로 받아들이는 게 어렵지는 않을 것이다. 심지어 그럴 수밖에 없는 근거들을 스스로 떠올릴 수도 있을 것이다. 디지털 전환이라는 게 우리 삶의 크고 작은 모든 부분들에서 발생하고 있기 때문이다.


산업을 불문하고 모든 조직들은 정말로 소프트웨어 회사가 되어야 한다. 고객들과 접하는 부분에 있어서는 사용하기 쉬우면서도 품질 좋은 서비스나 애플리케이션을 제공해야 하고, 내부 임직원들의 생산성을 극대화 할 수 있는 소프트웨어를 마련하는 것도 기업의 할 일이다. 자동차 산업의 경우 ‘소프트웨어 회사가 되어야 한다’는 이 시대의 명제를 자연스럽게 받아들였으며, 이로써 불과 몇 년전과는 완전히 다른 제품을 시장에 경쟁적으로 내놓는 중이다.

자동차 산업에서의 소프트웨어
어느 산업이나 그렇지만 자동차 산업에서도 신기술을 도입하느라 난리도 아니다. 그리고 실질적인 발전과 향상을 보여오고 있다. 실제로 지난 수십 년 동안 자동차를 만든다는 건 기계공학적이면서 하드웨어에 집중된 개념이었다. 하지만 지금은 소프트웨어 기능 없는 자동차를 상상하기 힘들다. 어쩌면 너무 익숙해서 ‘자동차의 소프트웨어의 기능’이라는 말에 물음표를 떠올리는 독자들이 있을까봐 몇 가지 예를 들겠다.

1) 음성 인식 기능이 탑재된 정보 및 엔터테인먼트 시스템
2) 항시 연결되어 있는 내비게이션 기능
3) 일부 자동차 모델들에 내장된 각종 스트리밍 서비스
4) 안전 운행 및 자율 주행을 돕는 센서들

불과 20년 전만 해도 이런 기능들이 차량에 탑재된 사례는 극히 드물었고, 예외 중 예외였다. 그러니 지금의 상태로 자동차 산업이 변하려면 ‘변혁’ 수준의 진화 과정을 거쳐야만 했다. 특히 소프트웨어 개발 능력을 강화하는 데 모든 역량을 집중해야만 했다. 그래서 폭스바겐과 같은 회사의 경우 카리아드(Cariad)와 같은 소프트웨어 자회사를 창립해 5천 명이 넘는 소프트웨어 엔지니어들을 고용하기도 했다. 이런 움직임 한 번으로 폭스바겐은 유서 깊은 자동차 회사에서 독일 최대 소프트웨어 회사 중 하나가 됐다.

폭스바겐 외에도 수많은 자동차 회사들이 이른 바 ‘스마트카’라는 제품들을 출시하기 위해 노력했고, 그렇게 해서 탄생한 자동차들은 실로 놀랄 만하다. 그러면서 자동차 회사들은 새로운 전기를 맞이했다. 하지만 새로운 제품들을 내놓으면서 새로운 위험과 책임을 받아들여야 하게 됐다. 원래 자동차 회사들은 교통 사고와 관련된 안전 규정과 표준을 지키는 것만으로 충분했다. 이제는 소프트웨어까지 다루게 되면서 해킹과 관련된 규정들에도 간섭을 받게 됐다.

소프트웨어 회사가 된다는 거의 속뜻
소프트웨어가 있는 곳에는 항상 사이버 보안과 관련된 리스크가 존재한다. 네 개의 바퀴가 달린 탈 것에 불과하던 자동차에 엔터테인먼트와 연결성과 같은 첨단 기술까지 더하기로 하면서 우리는 새로운 리스크도 같이 수용하기로 한 것이나 다름이 없다. 이 리스크라는 것이 눈에 보이지 않는, 그런 모호한 것도 아니다. 자동차 해킹 범죄는 이미 우리 일상에 존재하고, 사회적 문제가 되기도 한다. 수많은 자동차 브랜드에서 사용하는 시리우스 XM(Sirius XM) 무선 연결 기술의 취약점 때문에 아쿠라, BMW, 혼다, 현대, 도요타 등의 차량들이 원격 해킹 공격에 노출된 게 지난 12월의 일이다.

국제표준화기구(ISO)는 최신 자동차들에 ISO/SAE21434:2021이라는 표준이 적용되는 방향으로 사업을 진행 중에 있다. 사이버 보안 리스크를 관리하기 위한 소프트웨어 개발 및 엔지니어링 기술과 방법론이 반드시 포함되어야 한다는 내용이 이 표준에 포함되어 있다. 이 보안 방법론은 심지어 개념 기획에서부터 생산, 운영, 유지 관리까지 아우른다. 이미 이 표준을 지키지 않은 소프트웨어들은 자동차 산업에서 사용되지 않는다.

보안 프로세스 받아들이기
처음부터 자동차 산업이 이런 규정들이 추가되는 걸 달가워한 것은 아니다. 지켜야 할 것이 많아진다는 건 생산과 출시를 지연시키는 결과를 낳게 된다고 생각했다. 그래도 다행스럽게도 현대 소프트웨어 도구들은 그렇게까지 큰 방해가 되지 않았다. 소프트웨어 개발 주기에 자연스럽게 녹아드는 경우가 많고, 여러 가지 방법론까지 개발된 상태였기 때문에 생산 기한을 늦추지 않고도 표준에 어울리는 애플리케이션을 만드는 게 가능했다. 자동차 산업은 거부감을 보이다가도 이런 방법들을 찾아 표준에 맞는 애플리케이션을 시장에 내놓았다.

이런 과정 속에서 자동차 산업의 개발자들은 보안과 관련된 표준과 규정들을 지킨다는 게 반드시 소프트웨어 출시일을 늦추는 결과를 낳지 않는다는 것을 체험할 수 있었다. 예를 들어 보안 스캔 기능을 CI/CD 프로세스 안에 구축시키기만 하면, 오히려 나중에 보안 점검 프로세스를 추가하는 것보다 훨씬 나은 결과가 나온다는 걸 경험한 것이다. 완성된 물건에서 취약점이나 오류가 나와 고치는 것보다, 개발 단계에서 찾아내 해결하는 것이 훨씬 저렴하고 효과적이라는 것이 이제 자동차 산업 전체에서는 상식처럼 받아들여지고 있다.

자동차 산업만이 아니라 사이버 보안과 관련된 ISO 표준은 이미 여러 산업으로 확대되고 있다. 헬스케어, 항공, 에너지, 금융 등 디지털화가 빠르게 진행되는 곳일수록 보안과 관련된 책임은 보다 엄격하게 적용되는 중이다. 소프트웨어 회사가 되어간다는 건 결국 모두가 일정 수준의 보안 능력을 가지고 있어야만 한다는 뜻이 된다. 자동차 산업은 이런 과정을 매우 잘 지나갔고, 그렇게 함으로써 차세대 물건들을 고객들에게 제공하기에 이르렀다. 앞으로 많은 산업들에서 참고해야 할 부분이다.

글 : 세르게이 데찬드(Sergej Dechand), CEO, Code Intelligence
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>