법무법인(유) 화우

영화 ‘분노의 질주’에서처럼 도심의 차량 수십 대가 해킹으로 동시에 움직이는 장면은 이제 과장된 상상이라고만 보기 어렵습니다. 원격 해킹 시연, 대규모 차량 데이터 유출, 중국산 전기버스 원격 제어 논란까지 이어지면서 자동차 사이버보안은 도로 위 안전과 국가 인프라, 공급망 전반을 위협하는 현실적 위험으로 부상했습니다.​

유럽 UN R155·R156, 미국 NHTSA 자율주행 안전 프레임워크 등 주요국 규제가 강화되고 있고, 국내에서는 2025년 8월 14일 개정 자동차관리법 시행령으로 사이버보안 관리체계(CSMS) 인증이 의무화되었습니다. 이제 자동차 사이버보안은 완성차만의 문제가 아니라, 부품사/소프트웨어/플랫폼/딜러/인프라 사업자가 함께 대응해야 하는 공급망 이슈로 주목받고 있습니다.

1. 산업 동향 및 보안 위협 현실화

2. 자동차 사이버보안 규제 제도 변화

3. 법적/정책적 쟁점과 실무 영향 실무적 과제 및 대응 전략

4. 시사점

1. 산업 동향 및 보안 위협 현실화

영화 ‘분노의 질주: 더 익스트림’의 ‘좀비카’ 장면은 한 번의 공격으로 여러 대의 차량이 동시에 악용될 수 있다는 가능성을 상징적으로 보여줍니다. 실제로 보안 연구자들이 A사 차량을 원격 해킹해 감속·조향을 통제하고, 원격에서 조작한 사례는 차량이 이미 ‘네트워크에 연결된 컴퓨터’임을 보여주었습니다. 국내에서도 2025년 원격 급제동·조향 시연이 공개되어, 일반 운전자에게도 차량 해킹의 위험성이 직관적으로 전달되었습니다.​

공급망 측면에서는 2024년 미국 CDK Global 랜섬웨어 공격으로 1만5천여 개 딜러십의 판매·정산 시스템이 중단되면서, 차량이 아닌 딜러 관리 소프트웨어 하나가 마비되어도 산업 전체가 멈출 수 있다는 사실이 드러났습니다. 2025년 B사에서 약 80만 명 전기차 운전자의 위치·주행 이력이 유출된 사건은 차량 데이터 보안과 프라이버시 이슈를 부각시켰고, 중국산 전기버스의 제조사 원격접속 기능 논란은 차량이 국가 안보·데이터 주권과도 연결될 수 있음을 보여주었습니다.​

이러한 위협에 대응하기 위해 국토교통부는 자동차 관리법 개정을 통한 자동차 사이버보안 관리체계 인증을 의무화하고, 2025년 11월 자율주행 실험도시 K‑City 내에 자동차 사이버보안센터를 준공하여, CSMS 인증·해킹 시험·위협 모니터링을 수행하는 국가 차원의 시험·평가 허브를 구축했습니다.​

2. 자동차 사이버보안 규제 제도 변화

글로벌 자동차 시장에서는 국가별로 사이버보안 규제가 강화되고 있으며, 각국의 규제는 UN R155를 기반으로 하되 세부 요구사항에서 차이를 보입니다. 다음은 주요 국가 및 지역의 자동차 사이버보안 규제 현황입니다.

국제 표준으로는 ISO/SAE 21434가 자동차 사이버보안 엔지니어링의 글로벌 기준으로 자리잡았습니다. 이 표준은 차량 전 생애주기에 걸친 위험 기반 사이버보안 접근 방식을 제시하며, 기업들은 차량의 설계 단계부터 보안 위험 분석 프로세스(TARA)를 체계화하여, 발생 가능한 모든 사이버 위협을 사전에 점검하고 평가해야 합니다, 보안 설계, 검증 및 사후 관리를 포함합니다. 대부분의 국가 규제는 ISO/SAE 21434를 준수 기준으로 요구하거나 권장하고 있습니다.​

국내 자동차관리법의 핵심은 공급망 전체로 보안 책임이 확대되었다는 점입니다. 완성차 제조사뿐만 아니라 ECU, 텔레매틱스, 인포테인먼트 시스템 등을 공급하는 1차 협력업체(Tier 1)도 자체적인 사이버보안 관리체계를 구축해야 합니다. 2025년 3월부터 자동차부품기업을 대상으로 사이버보안 컨설팅 지원 사업이 시행되어, 중소 부품업체의 보안 역량 강화를 돕고 있습니다. 국토교통부는 인증받은 제조사에 대해 사후 관리 및 정기 점검을 실시하며, 위반 시 시정명령, 판매정지, 인증 취소 등의 제재를 가할 수 있습니다.​​

3. 법적/정책적 쟁점과 실무 영향 실무적 과제 및 대응 전략

가. 법적/정책적 쟁점

첫째, 책임 범위가 완성차에서 공급망 전체로 확장되고 있다는 점입니다. 국내 자동차관리법, UN R155 모두 CSMS 안에 협력사 관리와 공급망 보안을 포함하도록 요구하고 있어, 부품사·소프트웨어·클라우드 사업자도 사실상 규제의 일부가 되었습니다. 완성차 입장에서는 협력사 보안 수준을 평가·관리해야 하고, 협력사는 ISO/SAE 21434 수준의 최소한의 보안 프로세스를 갖추지 않으면 주요 프로젝트에서 배제될 수 있습니다.

둘째, 각국 규제의 세부 차이로 인한 중복 대응 부담입니다. EU는 UN R155·R156을 형식승인과 직접 연계해 강한 규범력을 가지고 미국은 형식승인 대신 NHTSA 프레임워크·가이드·면제 프로그램을 조합하는 방식을 사용합니다. 기업은 동일 차량에 대해서도 EU·미국 등 각국으로 문서·시험·운영 요구가 달라지는 상황을 피하기 어렵고, 이는 개발·인증·운영 비용 증가로 이어집니다.

셋째, 데이터·원격제어·OTA를 둘러싼 책임과 권한의 경계입니다. 최근 대규모 차량 데이터 유출, 중국 전기버스 원격 제어 논란은 누가 어떤 데이터에 접근할 수 있고, 누가 어떤 조건에서 차량을 원격으로 제어할 수 있는지를 명확히 해야 한다는 문제를 드러냈습니다. OTA 이후 성능·기능 변화에 대한 이용자 고지·동의, 보안 패치를 거부한 차량에서 사고가 발생했을 때의 책임 분담, 외국산 차량의 데이터 저장 위치·원격접속 권한에 대한 국가 차원의 검증 기준 등이 대표적인 논점입니다.

나. 기업이 바로 챙겨야 할 핵심 과제

첫째, ‘글로벌 공통 보안 표준 확보 전략으로 재설계할 필요가 있습니다. ISO/SAE 21434와 UN R155를 참조하여 유럽, 미국 등 지역별 모든 시장에 적용 가능한 핵심 보안 기능의 표준화('글로벌 공통 보안 표준' 전략)를 구축하는 것이 비용 효율적입니다. 여기에 국내 자동차관리법, 미국 NHTSA 가이드 추가 요구사항을 매핑하는 방식이 현실적인 접근입니다. 이렇게 하면 각국 인증·감사 시마다 별도의 체계를 만들지 않아도 되고, 프로젝트별로 차이점만 관리하면 되므로 실무 부담이 크게 줄어듭니다.​

둘째, 공급망 보안 거버넌스를 “문서화된 프로세스”로 만드는 것이 중요합니다. OEM은 협력사 선정·평가·계약·개발·운영 단계별로 최소 보안 요구사항을 정의하고, 이를 체크리스트·계약 조항·정기 점검으로 연결해야 합니다. 협력사 입장에서는 “우리는 보안에 신경 쓰고 있다”는 수준을 넘어서, 위협 분석, 코드·제품 보안 검토, 취약점 관리, 로그·증적 보관 등 기본적인 사이버보안 활동을 최소 단위라도 체계적으로 운영하고 있다는 점을 보여줄 수 있어야 합니다.​

셋째, CSMS·OTA 운영을 눈에 보이게 관리할 수 있는 도구와 조직을 갖추는 것입니다. 스프레드시트와 메일에 흩어진 위협 분석, 테스트 결과, 인증 문서를 한 곳에 모으지 못하면, 규제 대응과 사고 조사 시에 큰 비효율이 발생합니다. CSMS 포털·티켓 시스템·로그 관리 도구 등을 활용해 “누가, 언제, 무엇을, 어떻게 검토·조치했는지”를 추적 가능하게 만드는 것이 실무의 핵심입니다. 이를 뒷받침하기 위해, 전담 조직 또는 최소한의 책임자 지정과 의사결정·보고 라인도 명확히 해야 합니다.​

넷째, 사고 발생 시 대응과 커뮤니케이션을 미리 대비하는 것이 필요합니다. 데이터 유출이나 해킹 사고가 발생했을 때, 어떤 기준으로 신고·통지·복구·재발 방지 조치를 할지, 누구와 어떤 순서로 소통할지(규제당국, 고객, 협력사, 언론)를 사전에 시나리오로 준비해 두면 실제 상황에서 리스크를 크게 줄일 수 있습니다. 특히 여러 국가에 차량·서비스를 제공하는 기업은, 국내법뿐 아니라 EU·미국·중국 규제당국의 보고 의무까지 동시에 고려한 최소 공통 대응 플로우를 마련해 둘 필요가 있습니다.​

4. 시사점

자동차 사이버보안은 단순한 기술적 과제를 넘어, 공급망 전체의 생존과 직결된 전략적 이슈로 자리잡았습니다. 2015년 지프 체로키 원격 해킹, 2024년 CDK Global 사건, 2025년 폭스바겐 데이터 유출, 중국산 전기버스 원격 제어 논란은 공급망 내 단 하나의 취약점이 전체 산업을 마비시키거나 운전자의 생명을 위협할 수 있음을 보여주었습니다. 2025년 8월 국내 규제 시행과 함께 유럽, 중국, 미국, 인도 등 주요 시장에서 사이버보안 인증이 필수 요건이 되면서, 글로벌 시장 진출을 위해서는 각국 규제에 부합하는 관리체계를 구축해야 합니다. 완성차 제조사부터 중소 부품업체까지 모든 이해관계자는 ISO/SAE 21434 기반의 사이버보안 역량을 확보하고, 지속적인 모니터링과 업데이트를 통해 위협에 대응해야 합니다. 더불어 국내 자동차 사이버보안센터의 준공은 국가 차원의 실시간 감시·대응 체계를 갖추었음을 의미하므로, 정부 지원 프로그램을 활용한 역량 강화와 협력업체 간 정보 공유 체계 구축을 통해 공급망 전체의 보안 수준을 높이는 것이 필요합니다.

화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.