자동차 사이버보안 인증제도 가이드라인 행사 후기— 한국의 CSMS 인증제도

현업에서 보는 차량 보안 정책 흐름

행사 전에 가졌던 기대

"가이드라인 소개 자리겠지, 뭐 새로운 게 있겠어?"

"또 R155 얘기 반복 아닐까?"

"제도 홍보 행사니까 실무 얘기는 없겠지"

"AI 보안 트렌드 얘기 한 번 더 듣는 자리?"

솔직히 그랬습니다. 가기 전까지는요.

그런데 현장 분위기는 달랐습니다. 정책 홍보 행사라기보다, 산업계 전체가 한자리에 모여 "이제 어떻게 할 것인가"를 공개적으로 꺼내놓은 자리에 가까웠습니다.

한국도 이제 차량 사이버보안을
"기술 문제"가 아니라,
"제도와 산업 운영 체계" 관점으로 보기 시작했다는 느낌이었습니다.

---

행사 개요

ℹ️ 2026.05.27(수) 14:00~15:30  ·  양재 엘타워 루비홀(B1F)

주최 : 국토교통부  ·  주관 : 한국교통안전공단 자동차안전연구원(KATRI)
초청 대상 : 국내외 제작사 및 부품사, 보안업계 등 관련 산업계

현장에는 국토교통부 모빌리티자동차국장, 자동차안전연구원장을 비롯해 국내외 제작사·부품사·보안업계·학계까지 폭넓게 참석했습니다. 생각보다 실무 업계 비중이 높았고, 단순 정책 발표보다는 실제 산업 적용을 고민하는 분위기에 가까웠습니다.

---

주요 프로그램 한눈에 보기

KATRI

가이드라인 및 정책 동향 소개

인증제도 방향, 국내 적용 체계. 주제별로 따로 정리해볼 내용이 많았다.

테슬라코리아

사이버보안 사고 대응 우수 사례

CAN Spoofing으로 FSD 지역 규제 우회 시도 — 국토부·KATRI·테슬라 3자 공동 대응 사례.

페스카로

사이버보안 최신 기술 동향

AI 신기술보다 보안 대응 자동화에 집중. 현업 관점에서 가장 현실적인 발표였다.

패널토론

자동차 사이버보안 제도 발전 방향

정부·OEM·협회·학계·보안업계 7개 기관. "규제 강화"보다 "운영 가능한 체계" 논의.

---

테슬라 사례 — 이게 진짜 현실이다

개인적으로 가장 현실감 있었던 발표였습니다. 기술 트렌드 얘기가 아니라 실제 일어난 사고 대응 이야기였으니까요.

⚠️ 사건 개요

일부 3rd Party 장비가 차량 CAN 데이터를 조작(CAN Spoofing)해
FSD(Full Self-Driving)가 허용된 국가 차량처럼 속이는 방식으로
지역 규제를 우회하려 했습니다.

FSD는 국가별로 허용 여부가 다릅니다. 한국은 아직 제한적입니다. 이를 우회하기 위해 차량이 FSD 허용 국가에 있는 것처럼 CAN 신호를 조작하는 3rd Party 장비가 실제로 유통됐다는 이야기입니다.

기술적으로 흥미로운 사례이기도 했지만, 더 주목할 건 대응 방식이었습니다.

실제 사고 대응 흐름

1

이상 징후 탐지 — CAN Spoofing을 통한 지역 규제 우회 시도 확인

2

신고 및 공유 — 테슬라코리아가 국토교통부·KATRI에 공식 신고

3

3자 공동 대응 — 국토부·KATRI·테슬라가 함께 대응 체계 운영

4

사례 공유 — 업계 전체가 참고할 수 있도록 공개 발표

💡 단순 기술 취약점이 아니라, 제조사·정부기관·연구원이 함께 움직이는
사고 대응 생태계가 실제로 작동하고 있다는 걸 보여준 사례였습니다.

이게 R155가 요구하는 CSMS의 핵심입니다. "보안 기능을 넣었다"가 아니라 "이상을 감지하고, 신고하고, 대응하고, 공유하는 체계가 돌아가는가"입니다.

---

KATRI 발표 — 앞으로 주제별로 정리할 내용들

가이드라인 및 정책 동향 발표는 내용이 많아 이번 후기에서 다 담기 어렵습니다. 개인적으로는 발표를 들으면서 "이건 블로그에서 주제별로 따로 정리해봐야겠다"는 생각이 계속 들었습니다.

앞으로 하나씩 다뤄보려는 주제들입니다.

주제	왜 중요한가
CSMS 운영 방향	인증 후 어떻게 지속 운영할 것인가 — 가장 현업 부담이 큰 영역
국내 자기인증 구조	한국은 VTA가 아닌 자기인증 체계 — R155와 어떻게 정합성을 맞출 것인가
공급망 보안 관리	OEM뿐 아니라 Tier-1·협력사까지 증적 요구가 확산되는 흐름
사고 대응 체계	테슬라 사례처럼 탐지·신고·대응·공유 체계가 실제로 있어야 한다
OTA와 지속 운영	양산 이후 보안 업데이트와 취약점 관리를 어떻게 할 것인가

---

페스카로 발표 — AI보다 "자동화"가 현실이다

요즘 보안 업계에서는 AI 이야기가 넘칩니다. 그런데 페스카로 발표는 다른 방향이었습니다.

❌ AI가 새로운 공격 기법을 만들어낸다 — 차량 보안도 AI로 대응해야 한다

✅ 진짜 문제는 "사람이 감당할 수 없는 규모" — AI보다 자동화가 먼저다

Static Analysis 수만 건, SBOM 관리, OSS 취약점 대응, OTA 보안 검증. 이 모든 걸 사람이 수작업으로 관리하는 건 이미 한계입니다. 페스카로 발표의 핵심은 새로운 AI 기법이 아니라, 기존 보안 대응 프로세스를 어떻게 자동화할 것인가였습니다.

실제로 최근 업계 흐름도 이쪽입니다. SAST 자동화, CI/CD 보안 연계, SBOM 자동 생성, 취약점 매핑 자동화. SDV 시대에 수백만 라인 코드를 사람이 전부 검토하는 건 구조적으로 불가능합니다.

---

패널토론 — 7개 기관이 꺼낸 진짜 고민

국토교통부

자율주행정책과
임월시 과장

자동차안전연구원

자율주행본부
김시우 본부장

국민대학교

전상훈 교수

현대차

주형진 상무

KAMA

이재연 상무

KAIDA

박주선 상무

아우토크립트

김덕수 대표

정부·OEM·수입차협회·자동차제조협회·학계·보안업계가 한자리에 모인 구성이었습니다. 전체 논의의 무게중심은 이쪽이었습니다.

ℹ️ "규제를 얼마나 강화할 것인가"가 아니라,
"산업이 실제로 운영 가능한 체계를 어떻게 만들 것인가"

특히 공급망 현실, OEM 부담, 실무 적용 가능성, 국제 규제 정합성 사이의 균형이 핵심 화두였습니다. 규제를 강화하면 산업 부담이 커지고, 느슨하면 글로벌 정합성이 떨어집니다. 이 긴장 관계를 어떻게 풀 것인가가 결국 한국 차량 보안 제도의 핵심 과제입니다.

---

그래서 한국은 R155를 어디까지 가져가려는 걸까

이게 이번 행사에서 제가 가장 주목한 질문이었습니다.

한국은 유럽처럼 VTA(형식 승인) 구조가 아닙니다. 기본 철학은 제작사 자기인증 + 사후 관리입니다. 유럽이 "사전에 정부가 인증"이라면, 한국은 "제작사가 책임지고, 문제 생기면 사후 대응"에 가깝습니다.

❌ 한국도 R155처럼 정부 주도 사전 인증 체계로 간다

✅ 자기인증 체계를 유지하되, 실질 운영은 R155 수준으로 수렴 중

형식은 자기인증이지만, CSMS 요구·OTA 관리·사고 대응 체계·공급망 증적 등 실질 요구사항은 R155와 점점 비슷해지고 있습니다. "제도의 형태"는 다르지만 "요구하는 내용"은 글로벌 흐름과 수렴하는 방향입니다.

이번 가이드라인 발간이 그 흐름의 공식적인 한 걸음처럼 느껴졌습니다.

---

현업에서는 이렇게 느껴졌다

현장에서 느낀 4가지

차량 사이버보안은 이제 정책 레벨로 올라왔다 — ECU 안 보안 기능 문제가 아니라, 산업 운영 체계 수준의 논의가 공식 무대에서 이뤄지기 시작했다. 이게 의미하는 건, 보안을 "나중에 붙이는 것"이 점점 어려워진다는 뜻이다.

"출시 전 보안"보다 "양산 이후 대응"이 핵심이 됐다 — 테슬라 사례가 잘 보여줬다. 인증받고 끝이 아니라, 탐지·신고·대응·공유 체계가 실제로 돌아가야 한다.

공급망 부담은 앞으로 더 커진다 — OEM뿐 아니라 Tier-1·협력사까지 보안 증적 요구가 확산되는 건 막을 수 없는 흐름이다. 지금부터 준비하지 않으면 나중에 한꺼번에 터진다.

자동화 없이는 이 규모를 감당할 수 없다 — 페스카로 발표가 결국 이 얘기였다. SDV 시대에는 보안 대응을 자동화하지 않으면 사람이 버텨낼 수 없는 규모가 된다.

---

마무리

예전 차량 보안은 "기능 추가"에 가까웠습니다.

이제는 "산업 전체를 어떻게 운영 가능한 보안 체계로 만들 것인가"를
고민하는 단계로 들어가고 있습니다.

이번 행사는 단순 가이드라인 발간 자리가 아니었습니다. 한국 자동차 산업이 R155 이후 시대를 어떻게 준비할 것인가를 산업계 전체가 공개적으로 꺼내놓은 자리였습니다.

KATRI 발표에서 나온 내용들은 앞으로 주제별로 하나씩 정리해보려 합니다. CSMS 운영, 자기인증 구조, 공급망 보안, OTA 지속 관리 — 각각 현업에서 체감하는 무게가 다른 주제들입니다.

이번 행사 핵심 요약

1

한국 차량 보안 제도는 자기인증 유지, 실질은 R155 수렴 방향 — 형식은 다르지만 요구 내용은 글로벌 흐름과 맞춰가고 있다

2

테슬라 CAN Spoofing 사례 — 사고 대응 생태계가 실제로 작동했다 — 국토부·KATRI·테슬라 3자 공동 대응이 R155 CSMS의 실제 구현이다

3

AI보다 자동화가 현실적인 과제 — 수만 건 보안 대응을 사람이 수작업으로 감당하는 건 이미 한계에 왔다

4

패널토론의 핵심은 "운영 가능한 체계" — 규제 강화보다 산업이 실제로 돌아갈 수 있는 균형점을 고민하는 단계다

5

공급망 보안 요구는 계속 확산된다 — OEM에서 Tier-1·협력사까지, 지금부터 준비하지 않으면 나중에 한꺼번에 터진다

R155 CSMS 자동차사이버보안 KATRI 국토교통부 CANSpoofing 테슬라 SDV OTA 자동차보안정책 공급망보안 자동차안전연구원