“세상엔 두 종류의 기업이 있다. 해킹을 당한 곳과, 아직 그 사실을 모르는 곳.” 세계적 보안업체 시스코의 진단이다. 완벽한 방어는 없으며 공격자는 결국 침투할 방법을 찾아낸다. 그래서 보안 전략의 근간은 기술이 아닌 프로세스에 있다. 조직 설계와 절차 개선, 꾸준한 투자가 끊임없이 순환하는 과정이다. 끝나지 않는 전쟁, 디지털 자산을 지키려는 기업들의 방패는 얼마나 견고할까. 더벨 SR(서치앤리서치)본부가 두드려봤다.
자동차 산업의 패러다임이 하드웨어 중심에서 소프트웨어 중심 차량(SDV, Software Defined Vehicle)으로 이동하고 있다. 자동차 산업에서 정보보안은 더 이상 부가적 관리 영역이 아니다.
차량이 네트워크에 상시 연결되고 소프트웨어 업데이트와 데이터 수집이 일상화되면서 완성차 기업은 사실상 ‘움직이는 IT 플랫폼’을 운영하는 주체가 됐다. 차량 해킹은 안전사고로 직결될 수 있고 커넥티드 서비스와 연계된 개인정보 유출은 기업 신뢰도에 치명적 영향을 미친다.
차량에 대한 사이버 공격 위협 또한 기하급수적으로 증가하는 추세다. 이에 따라 글로벌 완성차 기업들은 정보보안을 더 이상 선택이 아닌 필수 생존 전략이자 품질의 척도로 인식하고 있다. 글로벌 규제 환경 역시 이러한 변화를 전제로 강화되는 흐름이다.
유럽연합(EU)은 ISO/SAE 21434와 UN R155·R156을 통해 차량 사이버보안과 소프트웨어 업데이트 관리 체계를 의무화했고 미국과 일본 등 주요국 역시 이에 준하는 엄격한 기준을 적용하거나 제도화하는 추세다.
현대차와 기아는 글로벌 규제 환경에 대응하는 기본적인 정보보안 체계를 갖추고 있으며 차량 보안과 기업 보안을 연계하는 방향으로 진화 중이다. SDV 전환이 가속화될수록 정보보안은 기술 경쟁력과 직결되는 요소가 된다. 완성차 기업의 보안 체계는 더 이상 내부 관리 이슈가 아니라 글로벌 시장에서 기업을 평가하는 핵심 기준으로 자리 잡고 있다.
현대자동차와 기아는 최근 2~3년 사이 커넥티드카와 SDV 전략을 본격화하면서 정보보안 조직과 내부 통제 체계를 확대하고 있다. 현대차는 차량과 서비스 전반에 대한 사이버 위협에 대응하기 위해 보안전담 조직을 운영하고 있으며 사업 추진 과정에서 발생 가능한 보안 리스크를 상시 모니터링하고 있다. 차량 사이버보안은 연구·개발 단계부터 설계 검증, 양산 이후 모니터링까지 전 주기를 관리 대상으로 삼고 있으며 전사 정보보안 정책은 그룹 공통 기준에 맞춰 정비됐다.
현대차 이사회 내부에도 IT 및 정보보안 전문가가 늘어나고 있다. 사내이사로서 ICT 담당인 진은숙 부사장은 NHN 출신의 IT 전문가다. 서울대에서 계산통계학 및 전산과학을 전공했고, NHN 재직 당시 CTO(최고기술경영자)를 지냈다.
도진명 사외이사는 이사회 내에서 소프트웨어(SW)와 정보보안 분야의 전문성을 대변하는 핵심 인물이다. 미국 보스턴대 컴퓨터공학 학사, 터프츠대 전자공학 석사 학위를 취득한 그는 퀄컴에서 QCT 수석부사장 및 아시아 사장, 반도체부문 수석부사장 및 글로벌 세일즈 총괄 대표, 아시아 부회장 등을 지냈다.
기아 역시 현대차그룹 표준에 맞춰 정보보호 관리 체계를 통합적으로 재정비했고 차량 보안과 내부 IT 보안을 연계하는 구조를 갖췄다. 기아는 정보보호시스템 구축과 보안전담 조직을 운영하며 보안수준 진단 결과를 비롯한 현대차그룹 ICT 정책의 이행 수준을 CEO의 성과평가(KPI)에 반영하고 있다.
현대차 정보보호 관련 조직
◇토요타의 '조직화', 테슬라의 '개방성'... 글로벌 기업의 보안전략
글로벌 완성차 기업 가운데 토요타는 가장 체계적 정보보안 거버넌스를 구축한 사례로 꼽힌다. 토요타는 전담 CISO 조직을 두고 본사와 주요 글로벌 거점 간 분산된 보안 체계를 운영한다. 차량 사이버보안, 내부 IT 보안, 공급망 보안을 각각 관리하면서도 중앙 보안위원회를 통해 정책과 리스크를 통합 관리하는 구조다. 이러한 체계는 ESG 보고서와 기술 문서를 통해 비교적 명확하게 공개돼 있다.
혼다는 정보보안 관련 공시의 투명성이 두드러진 기업이다. 혼다는 ESG 데이터북을 통해 사이버보안과 개인정보 보호, 컴플라이언스 교육 이수율 등을 정량 지표로 공개한다. 단순히 조직 구조를 설명하는 데 그치지 않고 임직원 교육과 내부 통제 운영 현황을 수치로 제시하는 점이 특징이다.
BMW는 규제 대응 중심의 정보보안 공시가 특징이다. BMW는 GDPR, ISO/SAE 21434 등 유럽 규제에 맞춰 사이버보안 조직 구성, 내부 감사, 교육 체계, 차량 보안 프로세스를 세부 항목별로 설명한다. 차량 개발 단계에서의 보안 검증과 양산 이후 취약점 관리까지 전 과정이 문서화돼 있으며, 외부 이해관계자가 확인할 수 있는 정보의 범위도 넓다.
메르세데스-벤츠는 연간 보고서와 지속가능성 보고서에서 사이버보안 관리 시스템을 독립 장으로 다룬다. 기업 보안과 차량 보안을 구분하면서도 동일한 관리 프레임 안에서 설명하고 최고경영진의 감독 구조를 명시하는 점이 특징이다. 이는 정보보안을 경영 리스크 관리의 일부로 인식하고 있음을 보여준다.
테슬라는 다른 완성차 기업과 결이 다른 접근을 택하고 있다. 내부 통제 중심의 전통적 보안 체계보다는 전 세계 보안 연구자들을 대상으로 한 버그바운티 프로그램을 적극 활용한다. 외부 연구자가 발견한 취약점에 대해 포상금을 지급하고, 이를 통해 차량 소프트웨어와 서비스의 취약점을 상시 점검하는 방식이다. 이는 빠른 소프트웨어 업데이트와 OTA 기반 서비스 구조를 전제로 한 전략으로 평가된다.
행동주의 개입 명분 만드는 역설
