자동차에서 시작된 사이버보안 규제, 이제 산업 전체로 확산되고 있다— R155와 CSMS는 자동차만의 이야기가 아니게 되고 있다

현업에서 보는 차량 보안 트렌드

몇 년 전만 해도 차량 사이버보안은 자동차 업계 안에서만 이야기되는 주제에 가까웠습니다. R155, CSMS, ISO 21434, TARA 같은 용어들도 대부분 자동차 업계 사람들만 알았습니다.

그런데 최근 분위기가 달라지고 있습니다. IoT, 산업제어 시스템, 의료기기, 네트워크 장비, 소비자 전자제품 전반에서 비슷한 흐름이 나타나기 시작했습니다.

예전 보안은 "네트워크"와 "서버" 중심이었다면,
지금 보안은 "연결되는 모든 제품"으로 확장되고 있습니다.

그리고 자동차 업계는 그 변화를 가장 먼저,
가장 강하게 경험한 산업 중 하나였습니다.

왜 자동차에서 시작된 보안 규제가 산업 전체로 확산되고 있는지, 그리고 이게 자동차 업계 엔지니어 입장에서 어떤 의미인지 이야기해봅니다.

---

자동차는 생각보다 빨리 "연결된 제품"이 됐다

자동차는 전통적으로 기계 산업에 가까웠습니다. 하지만 최근 10년 사이 급격히 달라졌습니다.

OTA 업데이트, 모바일 앱 연동, 클라우드 연결, 원격 진단, V2X, 디지털 키, 차량 내 앱. 이런 것들이 빠르게 들어오면서 차량은 항상 네트워크에 연결된 소프트웨어 플랫폼이 됐습니다.

자동차 보안 규제의 흐름

2015

Jeep Cherokee
해킹 사건

원격 차량 제어 가능 공개

2020

UNECE
R155 채택

CSMS 기반 형식승인 요구

2021

ISO/SAE
21434 발행

Product Cybersecurity 표준화

2024

EU CRA
발효

디지털 제품 전반으로 확산

Now

산업 전반
확산 중

IoT·의료·산업제어까지

그리고 연결이 현실이 되자, 공격도 현실이 됐습니다. 2015년 Jeep Cherokee 해킹 사건은 원격으로 인포테인먼트 시스템에 침입해 CAN 버스에 접근하고 차량 기능을 제어할 수 있다는 걸 공개적으로 보여줬습니다. 업계 전체가 충격을 받았고, OEM들은 깨닫기 시작했습니다. 기능 안전(Functional Safety)만으로는 부족하다는 것을.

---

R155가 요구한 것 — 기술이 아니라 "운영 체계"

UNECE R155는 단순히 "Secure Boot 넣어라", "암호화해라" 같은 기술 요구사항만 말하지 않습니다. 오히려 더 중요하게 보는 건 보안 운영 체계(CSMS)입니다.

📦 예전 제품 개발 관점

• 제품 출하하면 보안 끝
• 기능 동작 중심
• 개발 조직 단독 책임
• 제품 자체만 고려
• 취약점 발견 후 사후 대응
• 공급망은 별개

🔒 R155 / CSMS 이후 관점

• 양산 이후에도 지속 관리
• 보안 운영 체계 중심
• 전사적 보안 체계 필요
• 공급망 전체 고려
• 지속적 모니터링·대응
• Incident 대응 프로세스 필수

⚠️ 보안은 더 이상 "개발 기능"이 아닙니다.

제품 Lifecycle 전체를 관리하는 활동으로 바뀌었습니다. R155는 그 첫 번째 강제 규제였습니다.

---

CRA — 자동차 밖으로 나온 같은 개념

EU의 CRA(Cyber Resilience Act)를 보면, 자동차 업계 엔지니어들은 굉장히 익숙한 느낌을 받습니다. 요구하는 내용이 R155와 매우 닮아있기 때문입니다.

항목	🚗 UNECE R155 / ISO 21434	🌐 EU CRA
적용 대상	연결된 차량	연결된 디지털 제품 전반
핵심 개념	CSMS 운영	Secure by Design
취약점 관리	필수 PSIRT 운영	필수 취약점 대응 프로세스
보안 업데이트	필수 OTA 보안 관리	필수 제품 수명 동안 업데이트
공급망	필수 Tier 관리·Audit	필수 SBOM 관리
Incident 보고	필수 당국 보고 의무	필수 24시간 내 보고
Lifecycle 관리	필수 양산 후 지속 관리	필수 EOL까지 보안 유지

자동차 업계는 사실상 CRA 시대를 먼저 경험한 산업에 가깝습니다.
CRA가 새롭게 느껴지는 다른 산업과 달리, 자동차 엔지니어에게는 익숙한 내용입니다.

---

이제 같은 흐름이 산업 전체로 퍼지고 있다

CRA의 적용 대상은 자동차가 아닙니다. 디지털 요소를 포함한 연결 제품 전반입니다.

🏭

산업제어 시스템

ICS·SCADA 보안 요구 급증. 인프라 공격 현실화

🏥

의료기기

FDA·EU MDR에서 사이버보안 요구 강화

📡

네트워크 장비

라우터·스위치 제조사에 보안 인증 요구 확산

🏠

IoT / 스마트홈

CRA 직접 적용 대상. Secure by Design 요구

✈️

항공·방산

DO-326A 등 항공 사이버보안 표준 강화

⚡

에너지·인프라

스마트그리드·충전 인프라 보안 요구 증가

공통점이 있습니다. 전부 "연결된 제품"이라는 점입니다. 네트워크에 연결되는 순간, 공격 표면이 생기고, 규제가 따라옵니다.

---

공급망 보안 — 가장 크게 달라진 것

이 변화에서 가장 눈에 띄게 달라진 게 공급망 보안입니다. 예전에는 부품사가 만든 SW는 OEM이 크게 신경 쓰지 않는 경우도 많았습니다. 지금은 다릅니다.

공급망 보안 추적 구조

Tier-2 / 3

부품·SW 공급사

→

Tier-1

시스템 통합

→

OEM

차량 제조사

→

규제 기관

형식승인

이제 OEM은 Tier-1뿐 아니라 Tier-2·3까지 보안 관리 추적이 필요합니다.
어떤 오픈소스가 들어갔는지, 어떤 취약점이 있는지, SBOM이 있는지까지 — 공급망의 취약점이 제품 전체의 Risk가 되기 때문입니다.

SBOM(Software Bill of Materials)이 중요해지는 이유:
제품에 들어간 SW 구성요소를 전부 목록화해야 합니다. Log4Shell 같은 오픈소스 취약점이 터졌을 때 "우리 제품에 해당 컴포넌트가 들어갔는가"를 즉시 확인할 수 있어야 합니다.

---

핵심은 "보안 기능"이 아니라 "보안 운영 능력"이다

최근 규제들이 공통으로 강조하는 게 있습니다. 단순히 "암호화 넣었나, Secure Boot 있나"보다 이걸 더 중요하게 봅니다.

취약점 대응 능력

취약점 발견 후 나중에 대응

PSIRT 운영 + 정해진 시간 내 패치

R155, CRA 모두 취약점 대응 프로세스를 명시적으로 요구합니다.

Incident 대응 능력

사고 발생 시 수습 중심

사전 대응 계획 + 당국 보고 의무

사고 발생 시 24~72시간 내 당국 보고가 의무화되고 있습니다.

공급망 관리 능력

납품 받으면 신뢰

SBOM + 공급망 Audit + 취약점 추적

공급망 전체를 추적 가능해야 합니다.

Lifecycle 관리 능력

출하 후 보안 종료

EOL까지 보안 업데이트 제공

제품 수명 내내 보안을 유지할 책임이 제조사에게 부여됩니다.

✅ 이게 자동차 업계 엔지니어에게 익숙한 이유:
CSMS, PSIRT, 공급망 Audit, OTA 보안 — 자동차 업계는 이걸 R155로 이미 경험했습니다.
다른 산업이 "처음"이라고 느끼는 것들이 자동차 업계에는 이미 일상입니다.

---

SDV 시대에 이 흐름이 더 강해지는 이유

SDV(Software Defined Vehicle) 시대에는 OTA, 지속 업데이트, 기능 활성화, 클라우드 연동, 앱 생태계가 계속 늘어납니다. 차량은 출고 후에도 계속 변하는 제품이 됩니다.

변화가 계속된다는 건 공격 표면도 계속 변한다는 뜻입니다. 한 번 보안 검증하고 끝나는 게 아니라, 지속적인 보안 운영·취약점 관리·Continuous Validation이 필수가 됩니다.

자동차에서 시작된 Product Cybersecurity 흐름은 SDV 시대와 맞물려 앞으로 더 강해질 가능성이 높습니다.

---

현업에서는 이렇게 느낀다

현업 경험 4가지

보안 요구가 ECU 수준을 넘어 조직 전체로 확장된다 — 개발팀뿐 아니라 품질·생산·IT·운영 조직까지 연결되기 시작합니다. "보안은 개발팀 일"이었던 시대가 끝나고 있습니다.

OEM들이 공급망 보안 요구를 점점 강화하고 있다 — SBOM, 취약점 대응 프로세스, PSIRT 운영 여부까지 확인하는 경우가 늘고 있습니다. Tier-1뿐 아니라 Tier-2·3까지 영향이 내려오고 있습니다.

자동차 업계 경험이 다른 산업에서 주목받기 시작한다 — R155·ISO 21434에서 경험한 Lifecycle 기반 접근이 CRA와 거의 같다는 걸 다른 산업도 인식하기 시작했습니다. 자동차 보안 경험이 레퍼런스가 되는 상황이 늘고 있습니다.

이제 보안은 제품 인증의 일부가 됐다 — EMC, 기능 안전, 품질 인증처럼 사이버보안 체계 자체가 제품 승인 요소가 되고 있습니다. 자동차에서는 이미 R155가 그 역할을 합니다.

---

마무리

자동차는 가장 먼저 "연결된 제품"이 되었고,
그래서 가장 먼저 Product Cybersecurity 규제를 경험한 산업이 됐습니다.

그리고 지금 그 흐름이 산업 전체로 확산되고 있습니다.

CRA, 공급망 보안, SBOM, Lifecycle 기반 보안 관리. 자동차 업계 엔지니어에게는 낯설지 않은 개념들이 이제 다른 산업의 과제가 되고 있습니다.

차량 사이버보안은 더 이상 자동차만의 이야기가 아닙니다. 오히려 앞으로 디지털 제품 산업 전체가 어떤 방향으로 가게 될지를 먼저 보여준 사례에 가까워지고 있습니다.

핵심 요약

1

자동차는 "연결된 제품"의 선두주자 — OTA·클라우드·원격 연결을 가장 먼저 대규모 도입한 산업입니다

2

R155는 기술이 아닌 운영 체계를 요구했다 — CSMS, PSIRT, 공급망 관리, Lifecycle 보안이 핵심입니다

3

CRA는 같은 개념의 산업 전반 확산 — R155를 경험한 자동차 엔지니어에게는 익숙한 내용입니다

4

공급망 보안과 SBOM이 핵심 과제로 부상 — 공급망 취약점이 제품 전체 Risk가 되는 시대입니다

5

차량 사이버보안은 산업 전반 보안의 선행 사례 — 자동차 업계의 경험이 다른 산업의 레퍼런스가 되고 있습니다

CRA CSMS R155 ISO21434 ProductCybersecurity 차량사이버보안 SBOM 공급망보안 SDV 자동차보안