페스카로, SDV 시대 車 보안 ‘그랜드슬래머’

FESCARO HyunJung Lee        페스카로 이현정 CTO

지난해 세계 4대 자동차 사이버보안 인증 컨설팅 그랜드슬램을 달성한 페스카로. 7월부터 적용되는 UNECE WP.29 자동차 사이버보안규제, SDV 시대의 차량 안전성 확보 등 자동차 업계의 사이버보안 이슈에 실리적인 기술적 돌파구를 제시하는 이 회사의 이현정 CTO와 만났다. 이현정 CTO는 자동차 보안은 복잡하고 다면적인 문제로 전체적(overall) 접근이 요구된다고 강조했다. 

글｜윤범진 기자_bjyun@autoelectronics.co.kr

SDV 진가 발휘하는 SW 중심 운영관리 (autoelectronics.co.kr)
SDV 시대, 티어가 직면한 세 가지 허들은? (autoelectronics.co.kr)








FESCARO 
페스카로는 8년이라는 짧은 업력에도 불구하고 글로벌 자동차 산업의 시급한 현안으로 떠오른 사이버보안의 협업 파트너로서 실력과 패기로 그 존재감을 드러내고 있다. 2016년 자동차 전자제어시스템(ECU) 개발자와 화이트해커가 의기투합해 설립한 페스카로는 국내외 자동차 제조사 및 제어기 개발사에 ‘맞춤형 사이버보안 솔루션’ 제공을 시작으로 2023년 세계 4대 자동차 사이버보안 인증 컨설팅 그랜드슬램(CSMS, VTA, SUMS, ISO/SAE 21434)을 달성했다. 최근 188억 원 규모의 시리즈 B 투자 유치도 성공적으로 마무리했다.

젊고 패기 있는 회사란 느낌을 받았습니다. 주요 구성원과 어떤 탤런트를 갖고 있는지 궁금합니다.
LEE    홍석민 CEO는 현대케피코와 현대오트론 출신의 자동차 전장 시스템 개발 전문가로 국내 최초 차량 사이버보안 모듈을 개발하고 국산화한 이력이 있습니다. 저는 IT 보안 분야에서 커리어를 쌓았는데, 홍 CEO와 차세대 보안 리더 양성 프로그램(BoB)에서 만나 공동창업을 했습니다. 휴맥스 출신의 구성서 CSO는 자동차 제어기 및 보안 솔루션을 포함한 임베디드 SW 개발 경력 20년이 넘는 베테랑입니다. 이랜드 및 버디버디 출신 이영탁 CFO는 국내 기업의 상장을 여러 차례 성공시킨 이력이 있습니다. 또, 국내외 유수 기업으로부터 평균 업력 20년 이상의 베테랑들을 신중하게 모셔와 탄탄하고 폭넓은 기술 리더십을 구축했습니다. 현재 페스카로 전체 임직원의 80%가 기술 인력입니다.

페스카로는 ‘젊은 기업’같다는 이야기를 많이 듣습니다. 실제로 창업 8년차이기도 하지만, 에너지와 활력이 넘친다는 의미로 이야기합니다. 주니어/시니어 구성원 모두 공통적으로 성장 욕구가 강하고, 도전을 두려워하지 않는 분들이 많아서 그런 것 같습니다. 이분들이 또다시 비슷한 기질을 가진 사람을 끌어당기는 효과가 있습니다. 저희는 주니어 양성에도 진심입니다. 신입도 이런 DNA를 가진 사람을 체계적으로 발굴하고 육성하니, 조직 전반적으로 업무 주도성이 높고 대응이 빠른 편입니다. 페스카로에서는 모두가 스스로의 기준을 높이는 ‘바 레이저(bar-raiser)’가 되기를 장려합니다. 이런 조직문화가 제로 베이스에서 2년 만에 사이버보안 전용 제어기(SGW)의 SW와 HW를 모두 자체 개발하고 누적 100만 대 수주를 이뤄낼 수 있었던 핵심 동력이라고 생각합니다.


페스카로가 일궈낸 주요 성과를 소개해주세요. 그리고 더 큰 도전은 무엇인가요? 
LEE    창업 당시에는 사이버보안이 자동차 업계의 주요 관심사가 아니었습니다. 그럼에도 페스카로는 꾸준히 관련 솔루션을 개발하고 각종 국제 인증을 획득하며 경험과 실력을 쌓아왔고, 이를 기반으로 KG모빌리티(KGM)로부터 자동차 OEM 대상 첫 프로젝트를 수주했습니다. 한정된 자원에도 불구하고 KGM이 조기에 UN R155와 R156 인증을 획득할 수 있도록 긴밀하게 협업했고, 그 성과를 인정받아 ‘KGM 파트너스 데이 2024(KGM PARTNER’S DAY 2024)’에서 우수 파트너로 선정됐습니다.

이런 성과의 구심점 역할을 하는 것이 바로 IT 인프라 솔루션입니다. 사이버보안은 지속적이고 체계적인 관리가 매우 중요합니다. 이를 위해 SGW, 보안 솔루션 등을 활용한 계층적 방어 체계 구축과 IT 인프라 기반 보안 관제 시스템 도입이 필요합니다. 페스카로의 IT 인프라 솔루션은 총 세 가지의 상호 유기적인 시스템으로 구성되며, 차량 개발부터 고객에게 인도된 후 폐차되기 전까지의 차량 생애주기 전반에 걸쳐 적용됩니다.

KGM은 이 IT 인프라를 통해 밸류체인 전체에 걸친 사이버보안 업무 관리를 일원화하고, 규제 대응 업무와 본래 업무를 연동하여 업무 효율을 향상시켰습니다. 또한, 소프트웨어 업데이트 시 발생하는 유기적 영향도를 모든 파생 프로젝트까지 추적 관리하고, SGW와 연동되는 실시간 사고대응 시스템을 통해 보안 이슈에 선제적으로 대응해 피해 확산을 예방할 수 있게 됐습니다. 모든 작업을 전산화해 전방위적으로 일어나는 보안 관련 업무 이력을 체계적으로 통합 관리할 수 있기 때문에 추후 소명자료로 활용할 수 있어 만족도가 높습니다. 
사실 현재의 IT 인프라 솔루션은 저희가 구상한 것의 절반도 실현되지 않았습니다. 앞으로 이것들을 순차적으로 실현해 궁극적으로는 국내 자동차 산업의 경쟁력 강화에 기여하는 것이 다음 목표입니다.


그동안 자동차 업계의 사이버보안 인식과 대응에 있어 현장서 느끼는 아쉬움은 없었나요? 
LEE    자동차 사이버보안이 국제적으로 법제화되기 전에는 그 필요성과 중요성을 인정하지 않는 분위기였습니다. 그러나 UNECE WP.29 총회에서 UN R155를 채택하고, 우리나라에서도 자동차 제작사의 사이버보안 및 소프트웨어 업데이트 안전관리 조치를 의무화한 ‘자동차관리법’ 개정안이 국회 본회의를 통과하면서 관련 규정 미준수 시 자동차를 판매할 수 없게 되었습니다. 이제 사이버보안 인증은 선택이 아닌 필수라는 인식이 지배적이지만, 그럼에도 아직은 ‘규제만 만족하면 되지’라든가 ‘한 번 인증 받으면 끝’이라는 인식에 머무르는 경우도 많습니다.
자동차 사이버보안도 컴퓨터 바이러스 백신처럼 지속적인 업데이트가 필수적입니다. 보안 기술과 동시에 해킹 기술도 진화하기 때문에 보안 솔루션을 적용했다고 100% 안전을 확신할 수 없습니다. 관련 규제에서 지속적인 업데이트와 관리를 요구하는 이유입니다. 따라서, 단발성 규제 대응을 넘어 궁극적으로 안전한 차량 보안을 구축하고 유지하기 위해서는 사이버보안 규제 대응이 본연의 업무에 녹아들어가야 한다고 봅니다. 현재 사이버보안 규제 대응 업무가 실제 업무와 별도 운영되는 경우가 많은데, 그 갭을 최소화하는 것이 중장기적으로 매우 중요합니다.
 

단순 규제 대응 넘어 지속적인 차량 보안 구축   
규제 업무와 실제 업무 연동해 업무 효율 제고

페스카로를 차별화해주는 핵심 기술은 무엇입니까. 고객에게 제공하는 가치는 무엇인가요? 
LEE    사이버보안은 자동차 산업 밸류체인은 물론, 차량 생애주기 전반에 걸친 복잡하고 다면적인 문제입니다. 페스카로는 단순히 서드파티 입장에서 보안 솔루션을 공급하거나 요구사항을 구현하는 것에 그치지 않고, OEM의 관점에서 차량에 대한 전체적 접근이 가능합니다. 이를 통해 규제 대응을 포함한 사이버보안 올인원 솔루션을 턴키로 제공하고, 사이버보안 관련 실질적인 티어 0.5 역할을 성공적으로 수행할 수 있었습니다. 올인원 솔루션은 차량의 내부 시스템, 차량과 인프라 간의 통신 채널을 보호하는 것뿐만 아니라 IT 인프라 기반 실시간 사고대응 체계도 포함합니다.
또한, 페스카로는 고객사의 상황과 환경에 최적화된 가장 실리적인 솔루션을 제공하려고 합니다. IT 인프라 솔루션으로, 예를 들면 부서 간은 물론 협력사와의 이해관계까지 고려해 최적화된 업무 플로를 설계하고 구현합니다. 기성 솔루션 도입 시 각 솔루션이 유기적으로 연계되어 있지 않기에 중복 업무 발생이 불가피하지만, 페스카로 솔루션은 전체 그림을 파악해 한 번에 여러 시스템을 연계해 구현하는 만큼 업무 효율과 시너지는 극대화하고 시간 및 비용은 획기적으로 절감할 수 있어서 높은 평가를 받고 있습니다.

여러 고객사에서 페스카로의 장점은 ‘복잡한 것을 쉽게 만드는 것’이라고 합니다. 예를 들어 IT 인프라 기반 보안관제시스템은 SGW와 연계해 보안 이슈가 발생하면 빠르게 인지하고 대응할 수 있는 실시간 사고대응 체계를 구축합니다. 차량 출고 후 SGW를 통해 필드 운행 차량 데이터를 수집하고, 지역별, 차종별, 차량별, 생산라인별 보안 이슈를 지속적으로 모니터링해 유저 친화적인 대시보드를 통해 시각화된 데이터를 제공해 신속하고 효과적인 대응을 가능하게 합니다.


자동차 산업의 생태계, 가치사슬에서 단계별 기업의 사이버보안 대응은 어떻게 다른가요?
LEE    OEM은 차량 관점에서 자체적으로 사이버보안 요구사항을 정의하고 관리체계를 구축해 지속적으로 운영해야 하며, 티어는 OEM의 요구사항에 기반해 제어기 관점에서 사이버보안을 구현해야 합니다. 

사이버보안은 특정 도메인에 한정되지 않고 전사적으로 접근해야 하는 분야인 만큼 OEM은 전문 업체 컨설팅을 통해 사이버보안 대응 전략을 수립하고 실현하는 편입니다. 티어 입장에서는 OEM마다 요구사항이 일부 상이해 OEM에 따라 대응하기에 파생 프로젝트 관리 등의 어려움이 존재합니다. 따라서, 티어도 다양한 OEM에 대해 일원화해 대응할 수 있도록 국제표준 및 규제를 모두 만족하는 자체적인 사이버보안 대응 전략을 수립하는 것이 좋습니다. 페스카로에서 컨설팅한 카네비오토모티브(현 카네비모빌리티)는 2023년 4월 자동차 사이버보안 엔지니어링 국제표준 ISO/SAE 21434에 기반한 사이버보안 관리체계 인증을 국내 최초로 획득하는 성과를 달성했습니다.

최근에는 OEM에서 티어에게 자체 키 관리 시스템(Key Management System, KMS)을 구축할 것을 요구하는 경향도 있습니다. 페스카로의 KMS 솔루션은 OEM별로 프로젝트를 관리할 수 있고, 티어의 생산라인과 연계가 가능하다는 점에서 기존 KMS와 차별화됩니다. 현재 HL 클레무브(HL Klemove와 긴밀히 협력해 KMS 프로젝트를 진행 중입니다.


자동차관리법 개정안의 시행을 앞두고 OEM과 티어는 어떻게 준비해야 하며, 페스카로가 제공하는 서비스와 솔루션은 어떻게 도움을 줄 수 있나요? 
LEE    자동차관리법 개정안에서 사이버보안 및 소프트웨어 업데이트 관련 내용이 중요한 부분을 차지하기에 고객사로부터 많은 문의를 받았습니다. 지난 4월 초, 당사에서 운영하는 ‘보안고민상담소’ 웨비나 시리즈를 통해 발 빠르게 해당 주제를 다뤘고, 자주 묻는 질문에 대해 전문 패널이 답변을 제공하는 방식으로 반응이 뜨거웠습니다. 핵심 내용은 자동차관리법 개정안이 UN R155/156 기준으로 수립되기에 큰 맥락에서는 다르지 않다는 것입니다. 자동차관리법 개정안과 UN 규정에서 공통적으로 요구하는 것은 크게 두 가지입니다.

첫째, 사이버보안 관리체계(CSMS)를 구축해 사이버 위협으로부터 자동차를 보호하고 안전성을 확보해야 합니다. 둘째, 자동차 안전에 영향을 미칠 수 있는 SW 업데이트 관리체계를 마련해야 합니다. 당연히 업데이트 후에도 이슈가 없도록 관리하는 것이 중요합니다.인증 획득에 대해서는 차이가 있습니다. 국내에서 자동차를 판매하려는 OEM은 반드시 사이버보안 관리체계(CSMS) 인증을 획득해야 합니다. 하지만, UN 규제에서는 소프트웨어 업데이트 관리체계(SUMS) 인증도 필수로 요구하는 반면, 국내법에서는 이 부분에 대한 인증을 별도로 요청하지는 않습니다. 다만, 자동차 SW 업데이트에 대한 필요 정보(사전, 사후)를 보고해야 합니다. 

티어는 OEM별 다각화된 요구사항에 효과적으로 대응하기 위해 앞서 언급한 자동차 사이버보안 엔지니어링 국제 표준인 ISO/SAE 21434을 준수한 사이버보안 관리체계를 수립하는 것이 좋습니다. 해당 표준은 관련 UN 규정과 밀접하게 연계됩니다.
페스카로는 기존 UN 규제 대응 솔루션을 자동차관리법에 맞게 최적화했습니다. 자동차관리법 개정안은 UN 규제 기준으로 수립된 만큼 UN 규제에 대한 핸즈온(hands-on) 성공사례를 보유한 페스카로가 효과적으로 도와드릴 수 있습니다.





국외 진출과 관련하여 현재 활동과 어떤 계획이 있나요?     
LEE    사이버보안이 글로벌 자동차 산업의 당면과제이다 보니 다양한 루트를 열어놓고 검토 중입니다. 변수도 많지만, 기회 요소가 많은 중국 시장에서는 올해 초부터 본격적인 영업 활동을 시작했습니다. 전기차 대중화 속도도 가장 빠르기도 하고 새로운 기술과 방법론에 오픈돼 있다 보니 창의력을 요하는 다양한 협업 기회가 존재한다고 보고 있습니다. 또, 꼭 차량이 아니더라도 충전기와 같은 미래 모빌리티와 밀접한 유관 산업으로의 확장도 긍정적으로 고려하고 있습니다.


SDV와 함께 차량의 E/E 아키텍처가 도메인 아키텍처에서 영역 아키텍처로 진화하고 있습니다. 사이버보안 측면에서는 대응 방식이 어떻게 달라져야 할까요? 페스카로는 어떤 역할을 할 수 있나요? 
LEE    SDV 시대에는 차량 생애주기가 DevOps와 같은 순환형 구조로 진화하고, 출시 이후 단계의 중요성이 높아질 것으로 전망합니다. 따라서 SW 기술도 지속적으로 고도화되고 SW 기반 유기적인 영향 또한 훨씬 더 복잡해지기 때문에 지금처럼 실제 업무 따로, 규제 대응 따로 하는 방식은 머지않아 사람이 수작업으로 대응할 수 없게 될 겁니다. 

KGM이 선제적으로 구축한 IT 인프라처럼, 밸류체인과 차량 생애주기 전체에 걸친 효율적인 운영관리 시스템의 중요성이 대두될 것으로 봅니다. 모든 SW 버전 관리는 물론, SW 업데이트 시 기존의 모든 항목 인증에 대한 영향과 잠재 부작용 등을 지속해서 체계적으로 파악하고 관리할 수 있어야 합니다. 페스카로의 IT 인프라 솔루션을 통해 이런 복잡한 업무 프로세스를 자동화함으로써 내부 관계자의 사용자 경험이 향상되고, 개선된 생산성은 결국 수익효율성 증대와 미래 경쟁력 제고로 이어질 것으로 보고 있습니다. 더 나아가, SDV로 패러다임이 전환되면서 단순히 제품만 소프트웨어 중심으로 개발하는 것이 아니라 일하는 방식이나 생각하는 방식도 소프트웨어 중심이 되면 시너지를 극대화할 수 있을 것으로 기대합니다. 

또한, 기존 방식으로 문제가 해결되지 않을 때 새로운 돌파구를 찾아내는 창의력이 중요한 핵심 역량으로 부상할 것으로 예상합니다. 페스카로의 새로운 비전이 ‘Hack the Mobility(핵 더 모빌리티)’입니다. 소프트웨어 중심적 사고를 가진 사람이 모여, 모빌리티 산업에 창의적으로 접근해 문제를 해결하고자 합니다. SDV의 영역(Zonal) 제어기 개발의 근간이 되는 사이버보안 강화 제어기(SGW)를 개발한 것도, SGW를 IT 인프라와 연계해 실시간 사고대응체계를 구축한 것도 하나의 예가 될 수 있겠습니다.


올해 Automotive Innovation Day 컨퍼런스에서는 어떤 메시지를 전달할 건가요? 
LEE    지금까지 이야기한 것과 연결되는데요. SDV와 시너지를 낼 수 있는 ‘SW 중심 운영관리 솔루션’의 필요성을 알리고 싶습니다. 협력 구조가 기존의 HW 중심 분업화에서 밸류체인 전반에 걸친 매트릭스 구조로 진화할 것으로 전망하며, 차량 생애주기 전체에 걸쳐 양산 이후에도 사이버보안을 지속적이고 체계적으로 운영할 수 있도록 유기적으로 연계된 관리체계를 갖춰야 한다고 생각합니다. 페스카로가 실제로 구축한 성공사례를 기반으로 소개할 예정이며, 이는 SDV 시대에 경쟁력을 좌우하는 핵심 요소가 될 것으로 전망합니다.

홍석민 CEO는 기조연설을 하게 되었는데, 앞으로 경쟁의 판도가 어떻게 바뀔지, 미래 경쟁력을 위해 필요한 핵심 역량은 무엇인지, 업계에 어떠한 인식 변화가 필요한지 등 저보다 더 큰 그림을 가지고 이야기할 것입니다.

---

AEM_Automotive Electronics Magazine