네트워크 연결이 여러 가지 편의성 제공하지만 그런 혜택마다 동등하거나 더 큰 위험 수반한다

지난 7월 의미심장하면서도 서로 무관한 듯한 두 가지 IT 관련 기사가 미국 언론매체에 보도됐다. 첫째는 금융업체 캐피털원에서 데이터가 유출돼 1억 명이 넘는 이용자의 민감한 개인정보가 노출됐다. 둘째는 자율주행차 규제에 수반되는 본질적인 복잡성과 뉘앙스를 세심하게 검토하는 법안을 수립하려는 의회의 노력과 관련된 기사였다.

신용카드 데이터 도용과 자율주행차 법안 사이에 무슨 관련성이 많겠나 싶을지 모른다. 그러나 두 기사를 같은 렌즈 아래 두고 보면 자율주행차의 사이버 보안과 관련해 논의하지 않은 부분의 실마리가 드러난다. 대체로 사이버 보안이 충분하지 않다는 점이다.

충분히 예상된 일이다. 캐피털 원과 신용평가 업체 에퀴팩스 같은 대기업이 여전히 대규모 데이터 유출의 타깃이 된다면 신흥 자율주행차 산업이 잠재적인 사이버 보안 위협에 대응은 고사하고 어떻게 그것을 예측이나 할 수 있겠는가? 제조업체들이 자율주행차에 어떤 사이버보안 조치를 도입해야 하는지 판단하기 전에 온갖 잠재적인 위협과 커넥티드(네트워크 연결) 시장의 현황을 고려해야 한다.

이름이 ‘자율주행차’라고 해서 더 방대한 시스템에 속하지 않는다는 의미는 아니다. 이들 차량은 같은 네트워크 내에 통합돼 방대한 생태계에 연결된 집합체의 일부로 활동한다. 주행하는 장소에서 멀리 떨어진 곳에서 이들의 시스템과 데이터를 모니터한다. 이런 집합적인 상호연결로 자율주행 차량들이 작동할 수 있지만 또한 그로 인해 중대한 사이버 보안 위험에 노출되기도 한다. 해커가 테슬라 자율주행 차량 한 대의 조향축을 통제하기보다 이 전체 네트워크에 접속해 동시에 여러 대의 차량을 장악할 수도 있다.

해커가 과시욕 또는 자만심에서 이런 유형의 공격을 시도할 수도 있다. 무대에 올라서 테슬라 또는 구글의 자율주행 차량을 멈추게 한 최근 해킹의 배후임을 선언하면서 세계 각지의 다른 불법적인 IT 전문가로부터 찬사와 박수갈채 받기를 즐기는 인간들이다. 미국 중서부의 중산층 가정은 평소라면 일급 해커의 관심을 끌지 않겠지만 테슬라 자율주행 차량 또는 그 밖의 주목할 만한 자율주행차 브랜드를 소유할 경우 이런 범죄자들의 시야에 잡힌다.

그렇다고 1월 1일 자율주행차의 출시를 준비할 경우 해커들이 바로 다음 날 이들의 네트워크에 침투해 수십 대의 차량을 조작해 인명 사고를 유발하리라는 의미는 아니다. 그러나 자율주행차 사이버 보안에 대한 위험은 개별적인 차량에 그치지 않는다는 점을 제조업체와 소비자가 이해해야 한다.

자율주행차가 대중에 널리 보급될 경우 그 자체가 엔터테인먼트나 레저 존의 형태로 탈바꿈할 것이라고 미래학자와 전문가들은 예측한다. 부모들은 장거리 주행 시 자녀와 함께 애니메이션 영화를 시청할 수 있다. 기업체 중역은 이동 중에 프레젠테이션하고 전화 회의를 할 수 있다. 그리고 타지로 여행하는 탑승자가 면도기나 치약을 깜빡 잊고 챙기지 않았을 경우 차량 네트워크를 통해 간단히 온라인으로 구매하면 호텔에 도착할 때쯤에는 배달됐을 것이다.

자율주행차가 제공할 만한 디지털 편의성 하나하나가 동등한 또는 더 큰 사이버 보안 위험을 수반한다. 해커들이 차량의 음향·영상 시스템을 조작해 스크린 작동을 중단시키거나 악성 콘텐트를 스트리밍할 소지가 있다. 신원을 알 수 없는 익명의 인물이 중역의 통화를 엿듣거나 훔쳐보며 비밀 정보를 빼돌릴 뿐 아니라 차량 외부에 있는 다른 참가자의 컴퓨터 시스템과 네트워크에 접근할 수도 있다. 그리고 타지 여행자의 경우 자율주행 공유차량의 보안에 구멍이 뚫렸음을 알지 못한다면 5.50달러를 주고 면도기와 치약을 구입했다가 신용카드와 ID 절도로 수백 또는 수천 달러의 피해를 볼 수도 있다.

과거 악성 코드가 시스템을 위협하는 요소였기 때문에 컴퓨터에 바이러스 보호 장치가 설치됐다. 소프트웨어 회사와 IT 업체들이 기존의 버그를 수정하기 위해 패치와 업데이트를 배포한다. IT 업계에선 먼저 문제가 발생해야 수정할 수 있다는 인식이 보편적이다. 하지만 자율주행차 제조사들은 미래의 사이버 위협에 대한 준비 작업을 할 수 있다.

이는 사이버 보안을 자율주행차 개발의 어느 특정 지부나 단계로 떠넘기지 않고 생산과정 전반에 걸쳐 처음부터 끝까지 계속 강조하고 대처해야 할 문제로 간주하는 데서 출발한다. 여기에는 법률팀, 공급망 관리자, 지역 판매자의 참여와 협력이 포함되며 이들 대화에서 사이버 보안이 항상 언급되고 의사결정에서 많은 사람이 인풋을 제공해야 한다.

아울러 자율주행차 제조사들은 소프트웨어 업데이트처럼 간단한 듯하지만 중요한 항목과 관련해 안이하게 대처해선 안 된다. 약 1억5000만 명에게 피해를 준 에퀴팩스 데이터 유출은 그 신용평가 업체가 소프트웨어 패치를 제공해 결함을 보완했다면 예방할 수 있었다.

자율주행차 제조사들이 비슷한 피해를 보지 않으려면 취약점을 다방면으로 끊임없이 선제적으로 감지하고 관리해야 한다. 위기관리 규제와 기준에 따라 취약점을 자동으로 분류하고 없애면서 실시간으로 패치와 업데이트를 설치해야 한다. 차량에 영향을 미치는 새로운 취약점에 관한 알림과 경고 메시지를 총 피해 규모 점수에 따라 탑승자에게 전달해 그들의 차량과 개인 데이터를 보호할 수 있도록 해야 한다.

- 타미르 베코르



※ [필자는 클레어몬트대학원의 정보시스템&IT 온라인 석사과정 부교수이자 자동차 사이버 보안 업체 사이모티브 테크놀로지스의 공통창업자다. 이 글은 필자 개인의 견해다.]

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지