[데이터넷] 완전 자율주행 자동차 시대가 가까이 다가오면서 스마트카 보안 문제도 대두되고 있다. 그러나 자동차 공급업체의 보안 문제 대응이 대단히 미흡한 것으로 나타났다. 자동차 보안 리서치 그룹(ASRG)가 사이벨리움 의뢰로 진행한 설문조사에 따르면 자동차 관련 제조사의 58%가 새로운 취약성이 발견된 후 리스크를 평가하기까지 2~4주가 걸린다고 답했으며, 15%는 취약성 평가에 대한 특정 기한이 없다고 답했다.

이 조사는 자동차 관련 산업 분야 50여 곳의 글로벌 OEM과 1~2차 공급업체를 대상으로 실시한 것으로, 응답기업의 63%는 취약성 관리 프로세스를 자동화하지 않았다고 답했다. 새롭게 발견된 취약성에 대해 24시간 이내에 리스크를 평가한다는 기업이 단 10%에 불과했고, 17%가 일주일 미만 기간 내에 평가한다고 답했다. 취약성 관리 자동화 한 사례는 64%가 사전 프로덕션 단계에서의 보안검사에 사용했으며, 35%는 컴플라이언스와 라이선싱을 위해 사용한다고 답했다.

자동차가 스마트해질수록 보안 문제는 심화되는데, 자동차용 소프트웨어는 2년 동안 2배의 코드라인이 증가해 소프트웨어 보안 위협이 더욱 높아질 것으로 예상된다. 이에 응답자의 65%가 새로운 취약성에 대한 적절한 평가가 중요하다고 답했으며, 현재 수동 취약점 점검과 평가는 한계가 있으며 자동화된 대응이 필요하다는데 동의하고 있다.

또한 자동차 관련 규제가 복잡해지고 있으며, 여러 협력업체들이 관련돼 있는 자동차 생태계 내에서 자동화된 취약점 관리 문제는 더 심각한 상황이다.

설문 조사 참여 기업 중 43%는 사이버보안에 대한 수동 관리로 인하여 보안 평가에 많은 시간이 소요된다고 언급했으며, 42%는 복잡한 공급망에 대한 관리의 어려움으로 인해 시의 적절한 보안 평가를 어려웠다고 언급했다.

보고서에서는 “자동차 업계에서 규제준수를 위해 취약성 관리 프로세스를 체계화하고자 한다. 그러나 규제는 고객과 기업을 보호하기 위한 최소의 요건이다. 수동 프로세스는 심각한 취약성을 완전히 간과하며, 지속적인 리스크를 초래할 수 있다. 자동화를 채택하면 이 같은 위협은 크게 감소된다”고 지적했다.

실제로 자동화 프로세스를 택한 기업의 63%가 업계 규제와 표준을 준수할 수 있게 됐으며, 55%는 제품의 보안평가를 이행할 수 있다고 답했다.

존 헬드레스(John Heldreth) ASRG 창립자는 “한국, EU, 일본 등에서 자동차 사이버 보안 법규인 UNECE WP. 29 F155 준수 및 시행이 빠르게 추진되고 있고, ISO/SAE 21434가 공식 발표되어 요구 사항에 대한 준수가 강제될 예정”이라며 “2022년부터는 자동차 분야의 사이버보안 강화를 위한 요구 사항 준수가 의무화되고 강제적으로 시행될 예정이기 때문에 새로운 시대에 대비하는 것이 필요하다”고 강조했다.

슬라바 브론프만(Slava Bronfman) 사이벨리움 CEO는 “사이버보안 위험이 다양해지면서 수동 관리 프로세스만으로는 각종 보안 위험에 대응할 수 없게 됐다. 자동차 분야 보안 취약점 관리 영역을 확장하기 위해 제품 보안 평가 및 제품 생산 단계 이후에 이뤄지는 보안 작업을 자동화해야 한다”며 “사이벨리움과 ASRG의 설문 조사에 따르면 자동차 산업 분야의 OEM및 공급업체의 주요 관심사 역시 보안 관리 자동화 프로세스라는 것을 확인할 수 있다”고 밝혔다.

김선애 기자 다른기사 보기