스피드와 파괴 본능으로 많은 이들이 좋아하는 영화 <분노의 질주> 8편 더 익스트림에는 해킹된 차량들이 한 방향으로 달리면서 통제불능의 아비규환 상태가 되는 장면이 나온다. 사이퍼 조직의 해킹으로 도로의 차들이 자동으로 움직이는데, 미리 입력된 프로그램에 따라 일사분란하게 자동차 군단을 형성하면서 공격하는 장면은 이 영화의 백미로 꼽힌다. 물론 자율주행차가 아닌 일반 자동차들도 해킹으로 조종하는, 약간의 상상력이 더해지긴 했지만 자율주행차의 해킹 위험성을 영화는 말해주고 있다. 

지난 5월 중국에서는 이런 일도 발생했다. 중국 정부가 미국의 자율주행차 테슬라 차량의 정부 청사 출입을 금지시킨 것이다. 앞서 중국은 이미 지난 3월 군부대 주변은 물론 민감한 산업시설, 주요 인사의 주거지 부변에서 테슬라 차량의 출입을 금지한 바 있다. 자율주행차에 촬영된 정보가 유출될 수 있다는 우려 때문이었다. 자율주행차가 국가간 스파이 행위에 적극적으로 활용될 수도 있다는 점을 인정한 것이다. 이와 관련해 미 전략국제문제연구소(CSIS)는 지난 6월 발표한 보고서에서 자율주행차 기술이 미국 등 세계 각국의 국가 안보에 미치는 영향이 매우 커지고 있으며, 자동차의 위치, 속도, 문자와 이메일, 음성 등 자율주행차의 민감한 정보가 언제든 해킹당할 수 있다고 발표했다.

자율주행차는 인간의 운전 개입 정도에 따라 6단계로 구분된다. 현재 우리나라는 레벨3 자율주행차 상용화를 목전에 두고 있다. 레벨3 자율주행차는 일정한 조건하에서만 자율주행이 가능하다. 자율주행 중에는 운전자가 운전석에 탑승해 언제든지 차량 제어권을 회수할 수 있는 상태로 대기해야 한다. 따라서 레벨3는 완전한 의미의 자율주행이 아닌 '조건부 자율주행'이라고 부른다.

운전자의 개입이 필요하지 않은 무인운행은 레벨4 이상인 고도 자율주행 단계부터 가능하고 완전 자율주행인 레벨5부터는 제약 없이 모든 상황에서 자율주행이 가능하다. 우리나라는 2027년까지 레벨4+ 상용화를 위한 기반을 마련하는 것을 목표로 하고 있다.

정부 주도의 자율주행 기술개발혁신사업단은 레벨4+ 자율주행차 상용화 관련 53개 세부과제를 선정하고 올해 정부예산 850억4000만원을 들여 기술개발에 나섰다. 산업통상자원부, 과학기술정보통신부, 국토교통부, 경찰청 등 4개 부처는 2027년 융합형 레벨4+ 자율주행의 상용화를 목표로 총 1조974억원 규모의 자율주행 기술개발혁신사업에 올해부터 착수했다.

융합형 레벨4+는 자율주행 기술뿐 아니라 인프라와 사회 서비스까지 모두 레벨4 이상으로 혁신한다는 의미다. 부처별로 산업부는 자율주행 차량부품 개발을 포함한 16개 세부과제를 현대모비스, 만도, 서울로보틱스, 한국자동차연구원, 한국표준협회, 카이스트(KAIST) 등 총 104개의 기관에서 개발을 진행하고 과기부는 데이터 수집·가공 자동화 기술, 차량통신·보안, 클라우드·엣지 연계 자율주행 인공지능(AI) 소프트웨어(SW) 개발 등 15개 세부과제를 개발한다.

국토부는 현대자동차, SK텔레콤, 카카오모빌리티, 오토노머스에이투지, 한국교통안전공단, 한국교통연구원, 연세대 등과 함께 도로-교통기술, 동적지도, 모빌리티 서비스 실증 등을 개발하며 경찰청은 LG유플러스, 네이버시스템, 차지인, 도로교통공단, 한국전자기술연구원, 한양대 등과 도로교통법 등 법제도 전반 검토, 자율주행차의 운전능력 사전검증 및 운행 지원체계 개발 등의 개발에 나선다.

최근 유럽과 일본 등 각국 정부는 해킹 등에 따른 피해를 예방하기 위해 차량 보안시스템 구축을 의무화하고 있다. 우리 정부 역시 내년 상반기를 목표로, 차량 보안 프로그램을 의무적으로 구축하는 내용의 법 제정을 추진하고 있다.

자동차관리법 제2조에 따르면 자율주행차는 운전자 또는 승객의 조작 없이 자동차 스스로 운행이 가능한 자동차로 정의하고 있다. 자동차 스스로 운행을 하기 위해서는 카메라(Camera), 라이다(LiDAR), 레이더(Rader) 등의 센서를 통해 주행 상황을 인지하고 주행경로와 주행 상황에 따른 주행 전략을 판단해 조향각과 가감속과 같은 운행 과정의 제어를 수행해야 한다. 

기존 모빌리티 시장이 완성차 위주의 하드웨어 중심인 것과 달리 자율주행차는 빅데이터, AI, 클라우드 등의 IT 기술과 긴밀하게 결합해야 한다. 2018년에 발간된 ‘ICT R&D 기술로드맵 2023’의 자율주행차 기술요소에 따르면 자율주행차 기술 요소를 ▲주행환경 인지·판단 ▲차량 제어 ▲지도·측위 ▲휴먼 인터페이스 ▲통신·보안 ▲협력주행 ▲교통시스템 및 서비스 ▲차량-드론 협력 모빌리티 서비스 등 8개 분야로 구분하고 있다.

자율주행차에서 외부 공격 요인으로는 전자제어 장치나 센서, 액추에이터 등 하드웨어에 대한 물리적 공격, 펌웨어 위·변조 등으로 인한 장애 유발, 보안설계 미흡으로 인한 권한 탈취 및 임의 접근의 한계, 유무선 네트워크 연계로 인한 공격 벡터 증가, 보안성 검토 및 진단 시스템 표준화 부재로 인한 사고 원인 분석의 한계 등이 거론되고 있다. 

자율주행차에서 야기될 수 있는 이 같은 보안 위협 요인과 관련해 유엔 유럽 경제위원회(UNECE)는 자동차 사이버 보안 국제 표준인 ISO/SAE 21434의 보안 요구사항에 기반한 위협 식별 및 대응 방안을 제시하고 있다. 사이버 보안 관리, 사이버 보안 위험평가, 차량 보안 위협 분야 등으로 분류된 항목을 점검함으로써 백엔드 서버, 차량 통신 채널, 의도하지 않은 사용자 행동에 의한 사이버 보안 공격 등을 통제할 수 있어야 한다는 것이다.

아울러 유엔 유럽경제위원회는 자동차제작사를 대상으로 차량 사이버보안 관리체계(CSMS)를 갖추고 차량 형식에 대한 위험 평가·관리를 받도록 규정하고 있다. 자율주행차는 물론 승용차, 승합차, 화물차를 비롯해 전자제어 장치가 장착된 트레일러, 자율주행 기능이 장착된 초소형사 등이 이 규정에 적용 받는다. 이에 따라 내년 7월부터 CSMS 인증과 형식승인을 받지 못한 자동차제작사는 유럽 지역에 차량을 판매할 수 없게 된다. 우리나라도 이 안에 서명했다.

이에 따라 자동차제작사는 사이버보안을 위한 세 가지 프로세스를 갖췄는지 입증해야 CSMS 인증을 획득할 수 있다. 보안 위협을 식별·평가·분류·관리하기 위한 프로세스, 차량 보안성 시험을 위한 프로세스, 보안 위협을 모니터링하고 탐지·대응하는 프로세스 등이 입증 대상이다. 

이와 관련해 국토교통부는 자율주행차 윤리 가이드라인, 사이버보안 가이드라인, 레벨4 제작·안전가이드라인을 지난해 12월 발표했다. 윤리 가이드라인은 자율주행차가 인명 보호를 최우선 하도록 설계·제작되어야 한다는 원칙을 중심으로 한다. 이에 따라 자율주행차는 재산보다 인간 생명을 최우선해 보호할 것, 사고 회피가 불가능할 경우 인명피해를 최소화할 것 등의 내용을 제시하고 있다. 사이버보안 가이드라인의 경우 제작사가 사이버보안 관리체계를 갖추고 그 체계에 따라 자동차 사이버보안을 관리해야 한다는 내용으로 요약된다.

레벨4 자율주행차 제작 및 안전 가이드라인은 융복합 미래포럼 연구 결과를 중심으로 마련했으며 시스템 안전, 주행 안전, 안전교육 및 윤리적 고려 등으로 구성되어 있다. 시스템 안전 분야는 자율주행차의 설계오류·오작동을 최소화하고 사이버 위협으로부터 안전성을 확보하기 위한 기능안전, 운행가능영역, 사이버보안, 통신안전, 자율협력주행시스템, 무선 소프트웨어 업데이트 등 6개 안전항목으로 구성돼 있다.

한편, 과기부는 자율주행차를 해킹하면 8억원을 지원하는 사이버 보안 챌린지 대회를 개최하는 등 차량용 소프트웨어에 대한 보안기술을 확보한다는 계획이다. 지난 ㄴ2020년에는 ‘차량 내부 네트워크 보안’을 주제로 차량 내부네트워크에 직접 공격을 수행하기도 했다. 올해는 작년에 이어 차량 내부 네트워크에 대한 사이버 공격 경로로 이용될 수 있는 차량용 인포테인먼트 시스템에 대한 공격과 탐지를 주제로 대회를 진행할 계획이다.