이유는 단순했습니다.
자동차는 원래 인터넷과 연결되지 않았기 때문입니다.
그런데 상황이 완전히 바뀌기 시작했습니다.
차량이 LTE에 연결되고, 스마트폰 앱으로 시동을 걸고,
OTA 업데이트로 기능이 추가되는 시대가 열렸습니다.
그리고 2015년,
자동차 업계 전체를 뒤흔든 사건이 발생합니다.
고속도로 위에서 아무것도 할 수 없었다
두 보안 연구원은 주행 중인 지프 체로키를 인터넷으로 원격 제어하는 데 성공했습니다. 차 안의 운전자는 아무것도 모른 채 고속도로를 달리고 있었습니다.
공격자는 먼저 에어컨을 최대로 켰습니다. 그다음 라디오 볼륨을 올렸습니다. 와이퍼를 작동시켰습니다. 그리고 마지막으로 — 가속 기능을 차단했습니다. 고속도로 한복판에서 차가 멈춰버렸습니다. 운전자는 아무것도 할 수 없었습니다.
이 영상이 《와이어드》 지에 공개되자 전 세계 언론이 들끓었습니다. 피아트-크라이슬러는 결국 140만 대를 리콜했습니다. 미국 의회는 자동차 사이버보안 관련 법안을 논의하기 시작했습니다.
그런데 이 사건이 유독 충격적이었던 이유는 해킹 자체 때문만이 아니었습니다.
문제는 단순히 차량 한 대가 해킹됐다는 사실이 아니었습니다.
전 세계 수천만 대의 자동차가 이미 인터넷에 연결되어 있었고,
그 누구도 그것이 위험하다고 진지하게 생각하지 않았다는 것이 진짜 문제였습니다.
자동차는 어떻게 '연결된 기계'가 됐나
지프 해킹이 가능했던 이유를 이해하려면 자동차가 어떻게 변해왔는지를 봐야 합니다.
과거의 자동차는 말 그대로 닫힌 기계였습니다. 엔진, 브레이크, 에어백 같은 기능을 담당하는 ECU들이 차량 내부 네트워크(CAN 버스)로 서로 통신했지만, 그 네트워크는 차 안에서만 존재했습니다. 외부에서 접근할 방법 자체가 없었습니다.
그러다 조금씩 균열이 생기기 시작했습니다.
| 시기 | 과거의 자동차 | 지금의 자동차 |
|---|---|---|
| 외부 연결 | 없음. 완전 폐쇄 구조 | LTE/5G, Wi-Fi, Bluetooth 상시 연결 |
| 소프트웨어 업데이트 | 정비소에서만 가능 | OTA로 원격 업데이트 |
| 스마트폰 연동 | 없음 | 앱으로 시동·잠금·위치 확인 |
| 데이터 수집 | 없음 | 주행 데이터 실시간 클라우드 전송 |
| 코드 규모 | 수백만 줄 | 수억 줄 (일부 모델은 항공기 초과) |
경고는 계속 있었다 — 하지만 업계는 듣지 않았다
지프 해킹이 처음부터 갑작스러운 사건은 아니었습니다. 그 전에 이미 수년간 경고가 있었습니다.
2019
왜 자동차 업계는 보안에 늦었나
IT 업계는 이미 수십 년 전부터 보안을 개발 프로세스에 녹여왔습니다. 왜 자동차는 이렇게 늦었을까요. 변명이 아니라 구조적 이유가 있습니다.
-
원래 "닫힌 시스템"이었다 CAN 버스는 1980년대에 만들어진 프로토콜입니다. 설계 당시 전제는 "외부와 단절된 안전한 내부 환경"이었습니다. 보안이 필요 없는 구조였기에, 보안을 고려하지 않았습니다. 문제는 그 전제가 커넥티드카 시대에 완전히 무너졌다는 것입니다.
-
개발 주기가 IT와 다르다 스마트폰 플랫폼은 2년 주기로 바뀝니다. 자동차 플랫폼은 7~10년을 씁니다. 설계 시점에 몰랐던 취약점이 10년 뒤에 발견됩니다. 그리고 그 차들은 여전히 도로를 달립니다.
-
공급망이 너무 복잡하다 차량 한 대에는 수백 개 부품사가 납품한 ECU가 들어갑니다. OEM이 모든 ECU의 소프트웨어를 직접 개발하지 않습니다. 보안 책임의 경계가 불분명했고, "우리 영역이 아니다"는 인식이 강했습니다.
-
기능 안전이 먼저였다 자동차 업계에는 이미 ISO 26262라는 기능 안전 표준이 있었습니다. "고장 없이 동작하는 것"은 수십 년간 다듬어온 영역이지만, "외부 공격으로부터 안전한 것"은 완전히 새로운 개념이었습니다.
-
보안은 비용으로 여겨졌다 ECU 하나당 몇 달러의 원가 차이가 수익성을 결정하는 업계에서, 보안 기능 추가는 곧 원가 상승이었습니다. 법적 의무가 되기 전까지는 투자 이유를 내부에서 설득하기가 매우 어려웠습니다.
그래서 지금 자동차 업계는 어떻게 달라졌나
규제가 생기면서 가장 크게 달라진 것은 사이버보안이 "하면 좋은 것"에서 "하지 않으면 차를 팔 수 없는 것"으로 바뀌었다는 점입니다.
UN R155는 자동차 제조사가 사이버보안 관리 체계(CSMS)를 갖출 것을 요구합니다. 그리고 그 체계가 실제로 작동한다는 것을 인증기관에 증명해야 합니다. 통과하지 못하면 유럽·한국·일본 등 주요 시장에서 형식 승인을 받을 수 없습니다.
물론 규제를 통과했다고 모든 차량이 완전히 안전해지는 것은 아닙니다. 인증기관이 심사하는 건 결국 "프로세스가 갖춰져 있는가"입니다. 하지만 적어도 방향은 생겼습니다. 아무도 신경 쓰지 않던 시절과는 달라졌습니다.
마무리 — 산업의 전환점
2015년 지프 해킹은 단순한 해킹 사건이 아니었습니다. 자동차가 더 이상 "달리는 기계"가 아니라 "네트워크에 연결된 컴퓨터"가 됐다는 사실을 세상에 각인시킨 사건이었습니다.
그리고 그 인식의 전환이 오늘날의 규제를 만들었습니다. SDV(Software Defined Vehicle) 시대로 갈수록, 자동차 안에 들어가는 소프트웨어는 더 많아지고 외부 연결은 더 복잡해집니다. 자동차 사이버보안은 일시적인 이슈가 아니라 산업의 구조적 변화입니다.
핵심 요약
- 자동차는 원래 폐쇄된 기계였다 — 보안을 고려할 필요 자체가 없었다
- 커넥티드카 시대가 열리면서 외부 공격 경로가 생겼다
- 2010년부터 학술 경고가 있었지만 업계는 10년간 자발적으로 움직이지 않았다
- 2015년 지프 해킹이 대중의 공포를 만들었고, 그 공포가 규제를 만들었다
- UN R155(2020)로 사이버보안은 법적 의무가 됐다 — 미충족 시 형식 승인 불가
- 책임은 OEM을 넘어 Tier-1, Tier-2 공급사 전체로 확산됐다
'차량 사이버보안 > 산업 인사이트' 카테고리의 다른 글
| 중국 OEM은 왜 차량 사이버보안을 빠르게 가져갈까까?— SDV 시대, 중국 자동차가 무서운 이유 (0) | 2026.05.27 |
|---|---|
| CSMS에서 CRA, 그리고 CMMC까지 — 왜 산업은 “보안 운영 체계”를 보기 시작했을까? (0) | 2026.05.22 |
| Legacy ECU는 사이버보안을 어떻게 적용할까? (0) | 2026.05.15 |
| Secure Gateway만 있으면 차량 보안은 끝난 걸까? (0) | 2026.05.13 |
| 왜 자동차 사이버보안은 항상 개발 막바지에 터질까? (1) | 2026.05.08 |