[이데일리 윤정훈·권하영 기자]2025년 1월 공개된 일본 스바루의 커넥티드 서비스 ‘스타링크(Starlink)’는 소프트웨어중심차량(SDV)시대 자동차 보안의 취약한 단면을 드러냈다. 관리자 포털 인증 로직 결함을 악용할 경우 이메일 정보만으로도 차량 원격 제어권을 얻어 시동·도어 잠금 해제, 실시간 위치 추적까지 가능한 ‘슈퍼 유저’ 권한을 탈취할 수 있다는 내용이다. 자동차가 ‘기계’에서 소프트웨어로 옮겨가면서 해킹은 일부 모델의 문제가 아니라 업계 전반의 구조적 리스크로 번지고 있다.

테슬라·현대차도 예외 없다…공급망이 새 공격면

테슬라는 글로벌 해킹 대회 ‘폰투오운(Pwn2Own)’의 단골 타깃이다. 올해 1월 테슬라 충전 인프라 등에서 76개 제로데이(보안 패치 없는 최신 취약점)가 보고됐다는 소식도 나왔다. 국내에서도 유명 해커 샘 커리가 현대차를 포함해 BMW, 도요타 등 글로벌 완성차들이 사용하는 텔레매틱스 공급망으로 지목된 ‘시리우스XM’ 취약점을 폭로하며, 개별 제조사 이슈가 공급망 리스크로 확대될 수 있음을 지적했다.

글로벌 보안 기업 빅원에 따르면 전 세계 자동차 사이버 공격 추정 손실액은 2022년 11억달러에서 2024년 225억달러로 2년 만에 20배 이상 늘었다. 자동차 관련 취약점(CVE)도 2014년 6건에서 2024년 530건으로 급증했다. 공격 표적은 일반 IT 시스템과 인포테인먼트(IVI), 자율주행 보조, 전기차 충전 인프라까지 차량 전 영역으로 확산되는 흐름이다.

EU는 이미 ‘판매 요건’…한국도 2027년 전 차종 의무화

규제는 곧바로 ‘무역 장벽’으로 작동하고 있다. 유럽연합(EU)은 지난해 7월부터 유럽 내 생산·판매되는 모든 차량에 사이버 보안 규정을 의무화했고, 한국도 2027년 8월부터 전 차종 보안 인증이 적용된다. 기준을 충족하지 못하면 판매 자체가 제한될 수 있어, 완성차 업체들은 보안을 비용이 아니라 기본 품질로 봐야 한다는 압박을 받고 있다.

국내 차량 보안 기업 아우토크립트의 김덕수 대표는 “사이버 보안은 자율주행 기능 등 고성능 소프트웨어를 올리기 위한 가장 기초적인 바텀 라인”이라며 “이제는 소프트웨어 안전이 기본 품질의 척도”라고 말했다.

전문가들은 해법으로 ‘보안 내재화’를 꼽는다. 김승주 고려대 정보보호대학원 교수는 “플랫폼 보안은 개인정보 유출에 그치지만 자동차 보안은 인명사고로 직결될 수 있어 차원이 다른 문제”라며 “단순 모의 해킹을 넘어 설계·구현·테스트 전 과정에 보안을 녹여 넣는 체계가 필요하다”고 강조했다. 이어 “보안 미비 차량은 법적으로 리콜 대상이 될 수 있다”고 덧붙였다.