차량 보안과 AI는 어떻게 만날까? — AI Vehicle 시대가 오면 사이버보안은 무엇이 달라질까

트렌드 — SDV·AI 시대의 자동차 보안

시리즈 전체 구성

1

지금 읽는 글

차량 보안과 AI는 어떻게 만날까?

AI Vehicle 시대, 사이버보안 패러다임의 변화

NOW

2

다음 글

AI가 차량에 들어가면 TARA는 어떻게 바뀔까?

위협 분석·리스크 평가 방법론의 진화

NEXT

3

예정

ISO/PAS 8800 — AI 차량 시대의 새로운 안전 표준

21434로 부족한 이유, 그 다음은 무엇인가

SOON

4

예정

Adversarial Attack이 자율주행차를 속이는 방법

스티커 한 장으로 AI를 속일 수 있다면

SOON

업계에서 자주 듣는 말

"AI는 그냥 음성비서 아닌가요? 보안이랑 무슨 상관이죠?"

"21434 다 갖추면 AI 차량도 충분하지 않나요?"

"AI 공격은 아직 연구 수준이고 실차엔 해당 없지 않나요?"

"모델 파일도 Secure Boot로 검증하면 되는 거 아닌가요?"

자동차 사이버보안은 오랫동안 "누가 시스템에 접근했는가"를 막는 일이었다.

AI가 차량에 들어오면 그 질문이 바뀐다. "AI가 왜 그런 판단을 했는가"까지 보호해야 하는 시대가 오고 있다.

---

자동차는 오랫동안 예측 가능한 시스템이었다

브레이크를 밟으면 감속하고, 핸들을 돌리면 방향을 바꾼다. ECU는 개발자가 작성한 소프트웨어대로, 그리고 오직 그대로만 동작했다.

덕분에 지금까지의 자동차 사이버보안은 비교적 명확한 구조를 가질 수 있었다. CAN 메시지를 보호하고, OTA 업데이트를 검증하고, Secure Boot로 위변조를 막고, HSM으로 암호키를 격리하면 됐다.

ℹ️ 현재 차량 보안의 핵심 3요소는 인증(Authentication), 무결성(Integrity), 접근 제어(Access Control)다. 공통점은 모두 "누가, 무엇에 접근했는가"를 통제하는 구조라는 점이다.

그런데 최근 자동차 산업은 전혀 다른 방향으로 움직이고 있다.

---

AI Vehicle — 음성비서가 아니라 판단하는 시스템

많은 사람들이 차량 AI를 네비게이션이나 음성비서 정도로 인식한다. 하지만 SDV(Software Defined Vehicle)의 실제 방향은 다르다.

❌ "AI는 편의 기능이다 — 보안 위협과 직접 연결되지 않는다"

✅ "AI는 차량의 의사결정 자체를 담당하게 된다"

자율주행, 주행 판단, 객체 인식, 운전자 모니터링 — 이 모든 기능이 AI 모델 기반으로 전환되고 있다. AI가 "편의"가 아니라 "제어"에 개입하는 순간, 보안 문제는 안전 문제와 직결된다.

기존 Rule-Based 시스템은 동작이 정해져 있었다. 속도가 80km/h를 넘으면 차선유지 기능이 활성화되고, 브레이크 신호가 들어오면 제동 제어가 수행되는 식이다. 결과를 예측할 수 있기 때문에 보안도 설계할 수 있었다.

AI 기반 시스템은 다르다. 모델이 어떤 입력을 받아 어떤 판단을 내렸는지, 그 판단이 신뢰할 수 있는 것인지 — 이것 자체가 새로운 보안 문제가 된다.

---

AI는 해킹하지 않아도 공격할 수 있다

기존 차량 해킹은 대부분 ECU나 네트워크에 대한 직접 접근을 전제로 했다. CAN Injection, Diagnostic Abuse, OTA 공격 — 모두 어떤 형태로든 시스템 내부에 침투해야 했다.

AI는 다르다. 입력 데이터 자체를 조작하는 것으로 차량의 판단을 바꿀 수 있다.

⚠️ Adversarial Attack (적대적 공격)

도로 표지판에 작은 스티커 몇 장만 붙여도 자율주행 AI가 STOP 표지판을 SPEED LIMIT으로 오인식하는 사례가 학계에서 이미 수차례 검증됐다. 공격자는 ECU에 접근하지 않았다. CAN도 건드리지 않았다. 그러나 차량의 판단을 바꾸는 데 성공했다.

이것이 AI 시대 보안의 핵심 변화다. 공격 표면(Attack Surface)이 시스템 내부에서 세상 전체로 확장된다. 차량이 보는 모든 것 — 도로, 신호, 보행자, 날씨 — 이 잠재적인 공격 벡터가 될 수 있다.

---

AI 모델 자체가 새로운 공격 표면이다

기존 ECU 소프트웨어는 코드였다. Secure Boot와 코드 서명으로 무결성을 검증하는 구조가 성립했다.

하지만 AI는 코드가 아니라 모델이다.

AI 모델 관련 새로운 공격 시나리오

1

Model Poisoning (모델 오염) — OTA를 통해 배포되는 AI 모델 파일 자체를 조작. 특정 조건에서만 오동작하도록 백도어를 심을 수 있다.

2

Training Data Attack (학습 데이터 공격) — 모델 학습에 사용된 데이터를 사전에 오염시켜 모델이 특정 패턴을 잘못 학습하도록 유도한다.

3

Model Extraction (모델 탈취) — 차량 AI 모델의 구조나 가중치를 추출해 공격자가 취약점을 연구하거나 역공학에 활용한다.

4

Adversarial Input (적대적 입력) — 운행 중 카메라, 라이다, 레이더로 들어오는 실시간 센서 데이터를 조작해 AI의 판단을 실시간으로 교란한다.

💡 Secure Boot로 모델 파일의 서명을 검증하는 것은 필요하지만 충분하지 않다. 서명된 모델이 이미 오염되어 있다면? 정상적으로 서명된 악성 모델을 막을 방법은 별도로 존재해야 한다.

---

OTA의 의미가 달라진다

현재 OTA는 주로 ECU 소프트웨어를 업데이트한다. 배포 주기도 비교적 느리고, 업데이트 단위도 명확하다.

AI Vehicle 시대에는 구조가 바뀐다. 객체 인식 모델, 주행 판단 모델, 운전자 모니터링 모델 — 이 모델들은 현장 데이터를 기반으로 지속적으로 재학습되고 배포될 수 있다. 업데이트 주기가 훨씬 빠르고, 배포 대상도 SW 코드에서 모델 가중치(weight)로 바뀐다.

구분	기존 OTA	AI Model OTA
배포 대상	ECU 펌웨어, 소프트웨어	AI 모델 파일 (.bin, .onnx 등)
검증 방식	코드 서명, Hash 검증	서명 검증 + 모델 무결성 + 행동 검증(Behavioral Validation)
배포 주기	수개월 ~ 연 단위	주 단위, 경우에 따라 더 빠름
롤백 기준	버전 기반	성능 지표 + 안전 지표 기반
책임 소재	SW 개발사 명확	AI 판단 오류 시 책임 경계 불명확

---

ISO/SAE 21434만으로 충분할까?

현재 자동차 사이버보안의 중심 표준은 ISO/SAE 21434다. TARA(위협 분석 및 리스크 평가), CSMS(사이버보안 관리 체계) 등 지금까지의 차량 보안 프레임워크는 모두 이 표준을 기반으로 구성되어 있다.

❌ "21434를 잘 따르면 AI 차량도 충분히 보호된다"

✅ "21434는 AI 모델의 신뢰성 문제를 직접 다루지 않는다"

21434가 만들어질 당시는 AI가 차량 제어에 직접 개입하는 시대가 본격화되기 전이었다. 표준 자체가 코드 기반 시스템을 전제로 설계되어 있어, AI 모델 보안, Adversarial Attack, AI 판단의 신뢰성 검증 같은 영역을 충분히 다루지 못한다.

그래서 최근 업계에서 주목받는 표준과 프레임워크들이 있다.

ℹ️ 주목해야 할 새로운 프레임워크

• ISO/PAS 8800 — AI 기반 차량의 안전 요구사항. ISO 26262(기능안전)와 21434(사이버보안)의 교차점에서 AI를 다룬다.
• EU AI Act — 고위험 AI 시스템(자율주행 포함)에 대한 유럽 규제. 투명성과 설명 가능성 요구.
• NIST AI RMF (AI Risk Management Framework) — AI 시스템의 리스크 관리를 위한 미국 표준 프레임워크.

---

AI Vehicle은 결국 로봇과 같은 보안 문제를 가진다

AI 차량은 점점 자동차보다 로봇에 가까워지고 있다. 주변 환경을 인식하고, 판단하고, 행동한다. 이 순간부터 자동차 보안은 전통적인 ECU 보안 영역에서 Robot Security로 확장된다.

실제로 업계에서 함께 논의되기 시작한 개념들이 있다.

✅ AI Vehicle 보안 관련 신규 개념들

AI Security / Model Security / Data Security / Robot Security / Physical AI Security

이 개념들은 각각 분리된 영역이 아니라 AI 차량 보안이라는 하나의 문제를 서로 다른 관점에서 바라보는 프레임이다.

---

🔧 현업에서 느끼는 변화 3가지

검증 범위가 늘어나고 있다 — 이전에는 "이 코드가 변조되지 않았는가"를 검증하면 됐다. 이제는 "이 모델이 이 입력에 대해 올바른 판단을 내리는가"까지 검증 범위가 확장되고 있다. Validation의 기준 자체가 바뀌어야 할 수 있다.

TARA에서 AI 관련 위협 항목이 등장하기 시작했다 — 고객사 프로젝트에서 AI 기능이 포함된 제어기에 대한 TARA를 수행할 때, 기존 위협 카탈로그로는 커버되지 않는 항목들이 나오고 있다. Adversarial Input을 어떻게 위협으로 정의하고 리스크를 산정할 것인지 아직 명확한 방법론이 없다.

OEM이 모델 신뢰성 관리를 요구하기 시작했다 — 단순히 SW 패키지에 서명하는 것을 넘어, AI 모델의 성능 지표와 안전 지표를 함께 추적하고 배포 이력을 관리해야 한다는 요구사항이 나오고 있다. 이것은 기존 보안 솔루션 벤더들이 준비되지 않은 영역이다.

지금까지 자동차 보안은 시스템을 보호하는 일이었다.

AI Vehicle 시대에는 그 위에 새로운 목표가 추가된다 — 차량의 판단을 보호하는 것.

AI가 무엇을 보고, 어떻게 판단하며, 그 판단이 신뢰할 수 있는지를 검증하는 것. 이것이 다음 세대 자동차 사이버보안의 핵심 과제다.

핵심 요약

1

보안 질문이 바뀐다 — "누가 접근했는가"에서 "AI가 왜 그런 판단을 했는가"로.

2

공격 표면이 외부로 확장된다 — ECU/네트워크에서 센서 입력, 모델 파일, 학습 데이터로.

3

Adversarial Attack은 연구 수준이 아니다 — 이미 실증된 공격 기법이며 자율주행 시스템의 현실적 위협이다.

4

ISO/SAE 21434만으로는 부족하다 — ISO/PAS 8800, EU AI Act 등 AI 시대의 새로운 기준을 함께 봐야 한다.

5

AI Vehicle은 로봇 보안의 문제를 가진다 — 자동차 보안 엔지니어는 AI Security까지 이해해야 하는 시대가 오고 있다.

AI Vehicle 자동차 사이버보안 Adversarial Attack ISO/PAS 8800 Physical AI SDV OTA Model Security ISO/SAE 21434 Robot Security 자율주행 보안