자율주행차용 사이버보안 규제 UNECE WP.29 이해하기

 

자율주행차용 사이버보안 규제 UNECE WP.29 이해하기

― 미래차의 보안은 도로보다 먼저 준비되어야 한다

 

■왜 자동차도 사이버보안이 필요한가?

 

“자동차에 해킹이 된다고요?”

이제는 아주 현실적인 이야기입니다.

자율주행차, 전기차, 커넥티드카처럼 소프트웨어로 움직이는 자동차가 보편화되면서, 해킹과 보안 위협은 실제 도로 위의 사고 못지않게 위험한 요소가 되었습니다.

 

차량 내부 네트워크에 침투하면,

 

○브레이크 작동 차단

 

○핸들 조작 방해

 

○실시간 위치 추적

 

○개인 정보 탈취

같은 생명과 직결된 문제가 발생할 수 있습니다.

 

 

이런 위협에 대응하기 위해 만들어진 것이 바로 UNECE WP.29 자동차 사이버보안 규제입니다. 

이 규제는 "국제 연합 유럽경제위원회(UNECE)의 차량 규제 워킹그룹(WP.29)"이 제정한 국제 표준으로, 자동차 사이버보안과 소프트웨어 업데이트를 의무화한 첫 글로벌 법제입니다.

 

 

 

 

■UNECE WP.29란 무엇인가?

 

"UNECE(유엔 유럽경제위원회)"는 유럽을 중심으로 국제적인 기술 기준을 설정하는 기구입니다.

이 중 "WP.29(World Forum for Harmonization of Vehicle Regulations)"는 자동차와 관련된 모든 기술 규격을 다루는 핵심 워킹그룹입니다.

 

WP.29는 자율주행, 배출가스, 안전 장치, 조명 등 다양한 분야의 국제 규정을 만들며,

그중 ‘R155’와 ‘R156’이 바로 자동차 사이버보안과 소프트웨어 업데이트를 다룬 핵심 규제입니다.

 

○UN R155: 차량의 사이버보안 체계와 관리 규정

 

○UN R156: 차량 소프트웨어 업데이트 시스템 규정

 

 

이 규제들은 단순한 ‘권고’ 수준이 아니라, 실제 차량을 판매하려면 반드시 인증을 받아야 하는 강제 규제입니다.

 

 

 

 

■R155 – 차량 사이버보안 시스템 의무화

 

UN R155는 제조사가 자동차를 만들 때부터 사이버보안을 어떻게 설계하고 운영할 것인지에 대해 구체적으로 규정하고 있습니다. 

요약하자면, 자동차 제조사는 아래 4가지를 갖추어야 합니다:

 

① 사이버보안 관리 체계(CSMS) 구축

 

제조사는 사이버 위협을 탐지, 대응, 완화하는 조직과 절차를 마련해야 합니다. 

예를 들어, 해킹 발생 시 어떤 부서가 어떤 순서로 대응할지를 명확히 문서화해야 합니다.

 

② 위협 분석과 위험 평가

 

차량의 기능, 연결된 서비스, 업데이트 시스템 등에서 발생할 수 있는 사이버 위협을 식별하고, 그 위험성을 평가해야 합니다.

 

③ 사이버보안 기술 적용

 

무단 접근 차단

 

데이터 암호화

 

소프트웨어 무결성 검증

 

OTA(무선 업데이트) 보안 강화 등

기술적 방어 장치를 의무적으로 갖춰야 합니다.

 

 

④ 지속적인 모니터링 및 대응

 

차량이 판매된 이후에도 지속적으로 보안 위협을 모니터링하고, 새로운 위협에 대응할 수 있는 체계를 유지해야 합니다.

 

이 규정은 2022년부터 신규 차량에 적용되기 시작했으며,

2024년부터는 유럽, 일본, 한국 등 UNECE 가입국 내 모든 신차에 의무 적용되고 있습니다.

 

 

 

 

■R156 – 안전한 소프트웨어 업데이트(OTA)의 필수 조건

 

UN R156은 차량의 소프트웨어가 업데이트될 때 어떻게 하면 안전하고 신뢰성 있게 이뤄질 수 있는지를 규정합니다.

 

기존에는 리콜을 통해 직접 정비소에 가야만 했던 기능 개선이,

이제는 OTA(Over The Air) 방식으로 무선 업데이트가 가능해지면서 보안 문제가 더욱 중요해졌습니다.

 

R156의 핵심 요구사항:

 

소프트웨어 업데이트 관리 시스템(SUMS) 구축

제조사는 업데이트 대상, 버전, 이력 등을 기록하고 관리해야 함

 

업데이트 과정의 무결성 보장

누가 업데이트를 배포했는지, 해시값 검증, 암호화 등을 통해 해커 개입 방지

 

사용자 승인과 알림 기능

사용자는 어떤 업데이트가 진행되는지 사전에 안내받고, 경우에 따라 승인할 권리가 있음

 

리콜 대응 체계 연계

소프트웨어 문제가 발견될 경우 OTA로 대응하거나, 필요한 경우 빠르게 오프라인 리콜도 가능해야 함

 

 

결국 R156은 소프트웨어 업데이트도 제조사 책임이라는 점을 명확히 합니다.

 

 

 

 

■한국과 글로벌 업계의 대응

 

○한국의 대응

 

2023년부터 CSMS, SUMS 인증제도 도입

국토교통부는 UNECE 기준에 따라 국내 인증체계 마련

 

현대자동차, 기아, 르노코리아 등 대기업은 이미 CSMS 인증 획득

 

 

○글로벌 대응

 

메르세데스-벤츠, BMW, 토요타 등은 WP.29 기준 충족 완료

 

중국은 UNECE 회원국이 아니지만, WP.29와 유사한 자체 기준 제정 중

 

미국은 직접 채택하진 않았지만, NHTSA(도로교통안전청)를 통해 유사 규정 추진

 

 

스타트업이나 중소기업들도 전장 시스템 설계 초기부터 CSMS를 고려해야 하며, 부품사 역시 완성차 업체의 보안 요구사항을 따라야 하기 때문에 산업 전체에 영향을 미치는 규제입니다.

 

 

 

 

■결론 – 도로 위의 보안은 소프트웨어부터 시작된다

 

자율주행차, 전기차 시대가 본격적으로 열리면서 자동차는 ‘움직이는 컴퓨터’가 되었습니다.

따라서 해킹에 대한 방어는 더 이상 선택이 아니라 필수입니다.

 

UNECE WP.29의 R155와 R156은 자동차 제조사가 “보안에 대한 책임을 명확히 지는 것”을 요구합니다.

이 규제는 단지 기술적인 요건이 아니라, 인명과 연결된 안전 문제이자 국제 시장 진출의 핵심 장벽이기도 합니다.

 

자동차 산업의 미래를 준비하는 기업이라면

이제부터는 바퀴보다 먼저 코드와 보안 시스템을 설계해야 하는 시대입니다.

그리고 그 시작점이 바로 WP.29 규제의 올바른 이해입니다.