'커넥티드카 시대' 오는데…"사이버보안 인증기준 없어"

등록 2022.12.29 06:00:00수정 2022.12.29 07:23:41

진화하는 사이버 해킹에 기준·입법도 고도화

국내 사이버 보안 기준 수출 걸림돌 되지 않아야

[그래픽]

[서울=뉴시스]강주희 기자 = 국내 완성차 기업들이 전동화 전환에 속도를 내고 있는 가운데 자동차의 사이버 보안 기준을 주기적으로 고도화해야 한다는 지적이 나왔다.

29일 국회입법조사처가 공개한 '자동차 해킹방지를 위한 사이버 보안 기준 수립 현항과 과제'에 따르면 현재 사이버 보안에 대한 인증 방식은 사실상 부재 상황이나 다름없다.

한국은 2003년부터 자동차가 보안 안전 기준에 적합한지 여부를 제조사가 스스로 인증하는 자기인증제도를 시행하고 있는데, 사이버 보안 역시 이 인증 방식을 유지할 것인지에 대한 결정이 필요하다.

자기인증제도는 자동차 및 자동차 부품 안전성에 대한 기존 규제방식이 그대로 유지되는 것이 장점이다. 하지만 국내에서 제작한 자동차를 수출할 경우 수출 대상국의 규제 현황에 따른 별도의 대응이 필요하다는 단점이 있다.

정부는 2003년 이전까지는 제조사가 정부의 승인을 받아야만 자동차를 판매할 수 있는 형식승인제도를 유지했지만 제조사에 경제적 부담이 된다는 지적에 따라 이후 자기인증제도를 도입해 운영 중이다.

이에 대해 입법조사처는 "어느 인증 방식을 채택한다 하더라도 사이버 보안 기준은 주기적으로 고도화해 평가를 보완해야 한다"고 지적했다. 자동차 해킹이 개인정보 유출을 넘어 사고로 이어질 수 있는 만큼 안전 기준을 높여 새로운 위협과 공격 방법에 대비해야 한다는 것이다.

입법조사처는 또 현행 '자동차관리법' 하위 법령 등에 자동차 보안 관련 규정을 신설할 경우 기존 법률인 '개인정보보호법', '위치 정보의 보호 및 이용 등에 관한 법률' 등과의 적용 및 상충 여부 등을 면밀히 검토해야 한다고 밝혔다.

향후 제조사가 차량 소유주의 개인정보에 대한 접근이 보다 광범위해지는 만큼 수집한 개인정보의 이용 및 제공을 엄격히 제한하고 있는 현행법과 충돌하는 부분이 없는지 등을 살펴야 한다는 지적이다.

아울러 국내 자동차 사이버 보안 기준이 국제기준과 조화를 이룰 수 있도록 해야 한다고 강조했다. 현재 국토교통부는 유엔 유럽경제위원회가 채택한 자동차 사이버 보안 국제기준(UNR 155)에 맞춰 자동차 제조사의 자동차 사이버보안 관리 체계(CSMS)를 의무화하고 정부의 승인·감독을 받도록 하는 자동차관리법 하위 법령 개정을 준비 중이다.

이에 대해 입법조사처는 "자동차 사이버보안 기준에 따라 국내 자동차 제작사가 CSMS를 갖추고, 차량에 대한 사이버보안 승인이 적정한 시기에 가능해지도록 해야 한다"며 "사이버보안 기준이 국내 자동차의 해외 수출 시 부담으로 작용되지 않도록 해야 할 것"이라고 당부했다.

◎공감언론 뉴시스 [email protected]