취약점은 제보 뒤 패치됐지만, 해당 서비스가 BMW 등 여러 완성차에 쓰인 만큼 ‘한 곳의 결함이 대규모로 번질 수 있다’는 점을 드러낸 사례로 꼽힌다. 원격 권한 탈취가 편의 기능을 넘어 엔진·브레이크·조향 같은 핵심 제어로 확대될 경우, 주행 중 위험 상황을 유발해 사고로 이어질 가능성도 있다는 우려가 제기됐다.
[이데일리 김일환 기자]
특히 차량 해킹의 양상은 제조사(OEM) 한 곳의 문제를 넘어 전방위적인 공급망 보안 이슈로 확장되고 있다. 차량 내부의 전자제어장치(ECU)와 인포테인먼트(IVI), 통신 모듈은 물론, 차량 제어 앱과 전기차 충전기, 서비스 접점인 딜러 시스템까지 외부 영역까지도 모두 해킹의 경로가 되고 있는 셈이다.
◇원격 차량 해킹 급증…텔레매틱스·API가 ‘새 공격면’
이 같은 흐름은 통계에서도 확인된다. 글로벌 자동차 보안 기업 업스트림 시큐리티가 발간한 보고서에 따르면 2024년 전 세계에서 공개된 자동차 보안 사고는 409건으로 전년(295건) 대비 약 39% 늘었다. 이 가운데 92%는 물리적 접촉 없이 이뤄진 원격 공격이었고, 차량 시스템 조작·제어가 수반된 사례도 35%를 넘었다. 정보 탈취를 넘어 차량 기능을 직접 건드리려는 시도가 늘었다는 의미다.
공격 경로도 정교해졌다. 텔레매틱스 및 애플리케이션 서버를 노린 사고 비중이 2024년에 66%까지 올라갔다. 앱·서버·차량을 잇는 API가 뚫리면, 외부에서 보낸 명령이 정상 요청처럼 처리되면서 문 열림, 원격 시동, 위치 조회 같은 기능이 악용될 여지가 생긴다. 2022년 말 시리우스XM 커넥티드카 서비스에서 VIN만으로 원격 명령이 통과할 수 있는 취약점이 공개돼, 잠금 해제·원격 시동·위치 조회·경적/라이트 조작과 일부 이용자 정보 접근 가능성이 제기된 것도 이런 맥락이다. 해당 취약점은 제보 뒤 빠르게 수정된 것으로 알려졌다.
현장형 공격도 사라지지 않았다. 무선 도어 잠금(Keyless Entry)을 노린 릴레이 공격은 여전히 성행한다. 집 안의 스마트키 신호를 중계·증폭해 차량이 키가 근처에 있는 것으로 오인하게 만드는 방식으로, 블루투스 기반 인증을 겨냥한 우회 기법도 연구·보고가 이어지고 있다.
최근에는 ‘물리적 연결고리’ 자체를 공략하는 시연이 공개되며 공격면이 더 넓어졌다. 2026년 1월 일본 도쿄에서 열린 ‘폰투온 오토모티브(Pwn2Own Automotive)2026’에서는 테슬라 인포테인먼트(모델 3/Y 벤치톱 유닛)가 특수 제작된 USB 공격으로 루트 권한을 탈취당했고, 전기차 충전기 제조사 그리즐이(Grizzl-E) 역시 충전 커넥터 프로토콜이 조작되는 취약점이 공개됐다.
◇자동차 사이버보안, ‘사후 대응’에서 ‘판매 요건’으로
차량 해킹 위협이 커지면서 규제도 빠르게 강화되고 있다. 차량 보안은 더 이상 사고 이후의 대응 문제가 아니라, 시장에 진입하기 위한 기본 조건으로 바뀌고 있다는 분석이 나온다.
유럽연합(EU)은 지난해 7월부터 유럽 내에서 생산·판매되는 모든 차량에 자동차 사이버보안 규정(R155·R156)을 전면 적용하고 있다. 사이버보안 관리체계와 소프트웨어 업데이트(OTA) 절차의 안정성을 의무화했고, 기준을 충족하지 못하면 판매 자체가 제한된다. 국내도 지난해 8월 자동차관리법 개정안 시행 이후 사이버보안관리체계(CSMS) 인증 의무화가 단계적으로 확대되고 있으며, 2027년 8월부터는 전 차종으로 적용 범위가 넓어질 예정이다.
규제 강화는 동시에 새로운 시장을 키운다. 시장조사기관 마켓츠앤마켓츠는 글로벌 자동차 보안 시장이 2023년 25억달러에서 2028년 60억달러로 성장해 연평균 18.5% 확대될 것으로 전망했다. 완성차·부품사 입장에서는 컨설팅, 침투 테스트, 시험·평가·인증 등 전 과정에서 보안 역량이 핵심 경쟁력으로 부상하는 셈이다.
임종인 고려대 정보보안학과 교수는 “자동차가 AI와 결합한 모빌리티로 진화하면 단순 사고율을 넘어 안보 관련 정보 탈취 문제로도 번질 수 있다”며 “단순히 자동차 보안 인증 도입을 넘어 AI 안전을 위한 표준 수립과 기술 대응, 관련 산업 지원을 국가적으로 뒷받침할 필요가 있다”고 말했다.
