수년 동안 중국 국내 OEM은 커넥티드 기능부터 로보택시까지 다양한 영역에서 기술 혁신과 경제성 간의 균형을 맞추는 데 앞장서 왔습니다. 예를 들어, 중국에서 가장 인기 있는 국내 OEM 중 하나인 BYD는 2025년형 시걸 EV를 72,000위안(한화 약 9,900달러 또는 7,690파운드)부터 판매하고 있습니다. BYD는 현재 글로벌 업계에서 세계 최대 규모의 전기차 제조업체 중 하나이지만, 이러한 성공은 대부분 내수 판매에서 비롯되었으며, 이는 아태 지역의 다른 OEM과도 공통된 부분입니다.
그러나 중국에서 성공을 거둔 BYD와 같은 OEM은 이제 전 세계로 확장할 계획을 수립하고 있으며, 일부의 경우 실행에 옮기고 있습니다. 소비자 입장에서는 이러한 계획이 많은 중국 OEM이 제공하는 보다 접근하기 쉬운 가격대로 인해 전기차 도입에 더 쉽게 접근할 수 있는 경로가 될 수 있습니다. 하지만 일부 해외 정부의 입장에서는 이러한 OEM이 자국 자동차 제조업체의 강력한 경쟁자일 뿐만 아니라 자국의 인력, 네트워크, 인프라 보안에 위협이 될 수 있습니다.
이러한 위험 때문에 최근 바이든-해리스 행정부는 중국과 러시아를 주요 예로 들며 '우려 국가'에서 생산된 커넥티드 및 자율주행차 하드웨어와 소프트웨어의 수입을 금지할 것을 제안했습니다. 이번 인사이트에서는 이 제안의 내용과 이유를 자세히 살펴본 후, SBD 북미 지역 책임자인 Alex Oyler 으로부터 이 제안이 미칠 영향에 대해 듣고 금지 조치 시행에 앞서 이에 대응하기 위한 모범 사례를 간략하게 설명합니다.
금지 조치란 무엇이며 왜 이런 일이 발생하나요?
이 제안의 기원은 2월 말 바이든 대통령이 지시한 커넥티드 차량 소프트웨어에 대한 미국 상무부(DoC)의 조사에서 찾을 수 있습니다. 3월에 실시된 이 조사는 커넥티드 차량에 사용되는 특정 기술과 관련된 국가 안보 위험에 대한 여론을 측정하기 위한 것이었습니다. 이 조사의 결과는 궁극적으로 2024년 9월 23일에 발표된 제안, 즉 제안된 대로 통과될 경우 다음과 같은 규칙 제정 예고(NPRM)에 힘을 실어주었습니다. '우려 국가에서 특정 기술 및 특정 부품이 사용된 커넥티드 차량의 판매 또는 수입을 금지'합니다.
DoC는 이 제안이 특정 연결 및 자동 운전 시스템을 사용하는 국가의 커넥티드 차량의 수입 또는 판매와 연결 하드웨어의 수입을 보다 광범위하게 제한할 것이라고 강조했습니다. 하지만 동시에 예상치 못한 불필요한 혼란을 최소화하기 위해 일부 당사자(예: 소규모 OEM)에게 예외적으로 예외를 허용하는 절차도 포함될 것입니다.
발표 이후 NPRM은 30일간의 공개 의견 수렴 기간에 들어갔으며, 이를 통해 바이든-해리스 행정부는 최종 규칙을 개발하는 과정에서 관심 있는 자동차 이해관계자들의 의견을 공유하도록 독려하고 있습니다. 이 기간이 지나면 차기 미국 대통령이 취임하는 2025년 1월 20일 이전에 제안을 마무리하는 것을 목표로 하고 있습니다. 이 법안이 통과되면 소프트웨어 관련 금지 조항은 2027년 모델부터, 하드웨어 관련 금지 조항은 2030년 모델부터(또는 모델 연도가 없는 차량의 경우 2029년 1월 1일부터) 시행될 예정입니다.
백악관은 차량의 움직임을 제어하기 위한 다양한 시스템의 사용, 자동 운전 기능을 구현하기 위한 카메라와 센서의 사용을 지적하며, 이러한 금지 조치의 동기는 점점 더 많은 새로운 차량의 특성( 커넥티드 )에 뿌리를 두고 있다고 말했습니다. 이러한 발전의 개요를 설명하면서 역으로 악의적인 공격자가 커넥티드 차량이 어떻게 차량 탑승자 데이터와 미국 인프라에 대한 자세한 정보 등 민감한 정보를 수집하고 악용할 수 있는지를 강조했습니다. 또한, 지역 및 중요 인프라에 대한 특정 하드웨어 및 소프트웨어 정보를 통해 공격자가 이러한 인프라의 운영을 방해할 수 있을 뿐만 아니라 커넥티드 차량도 조작할 수 있다고 주장했습니다.
조사를 통해 DoC는 중국 및 러시아와 같은 적대국의 커넥티드 차량에 사용되는 특정 기술이 미국의 공급망 내 기술을 감시 및 방해 행위로 악용하여 국가 안보를 약화시킬 수 있다는 사실을 추가로 확인했습니다. 이 조사 결과를 바탕으로 바이든-해리스 행정부는 미국의 공급망을 외국의 위협으로부터 탄력적이고 안전하게 유지한다는 중요한 목표를 가지고 이 제안을 개발했습니다.
DoC의 제안이 미칠 수 있는 잠재적 영향 자세히 살펴보기
이 제안이 미국 전역과 그 너머에 미칠 수 있는 영향력을 인식하고 있습니다, Alex OylerSBD 북미 담당 이사는 다음과 같이 말했습니다: "미국 소비자의 잠재적인 개인정보 침해뿐만 아니라 전기차가 미국의 국가 (중요) 에너지 인프라에서 점점 더 중요한 부분이 됨에 따라 중요 인프라 보호와 관련된 사이버 보안 문제가 실제로 존재합니다.
특히 소프트웨어 추적성 분야에서 시행상의 어려움이 있을 것이며, 이에 따라 OEM의 소프트웨어 자재 명세서(SBOM) 기술 채택이 가장 중요해질 것입니다. 대부분의 자동차 제조업체 사이버 보안 팀은 이제 막 해외에서 UNECE R155를 준수하기 위한 대규모 투자에서 회복하고 있지만, 이는 또 다른 규정 준수 관련 투자의 물결이 될 것입니다. NHTSA는 규정 준수 노력을 간소화하고 미국 소비자의 비용을 낮추기 위해 자동차 공급망에서 SBOM 표준을 채택하도록 우선적으로 지원해야 합니다."
다음 단계
미국, 중국 및 전 세계의 자동차 제조업체들이 이 금지 조치에 대응하여 요구 사항에 맞게 기술과 차량 라인업을 조정함에 따라 이제 OEM과 소비자 모두 중국 지역에서 생산된 자동차 하드웨어 및 소프트웨어를 사용하거나 통합함으로써 발생할 수 있는 사이버 보안 위험에 대해 더 잘 인식하게 될 것입니다.
중국에서 생산된 차량과 기술을 금지하는 중국 교통부의 제안( 커넥티드 )의 범위와 배경에 대해 간략히 설명했지만, 이 제안의 동기가 된 사이버 보안 위협은 전 세계 차량에 영향을 미치는 수많은 위협 중 하나에 불과하며 OEM, 공급업체, 정부 등이 조치를 취하도록 독려하고 있습니다. 이러한 위협은 사이버 보안 전문가들이 정기적으로 파악하고 평가하는 사이버 인텔리전스( 가이드)의 일부로, 시중에 출시된 최신 차량에 영향을 미치는 수백 건의 최신 차량, 백엔드 및 스마트폰 앱 공격을 보다 광범위하게 분류하고 있습니다.
차량 사이버 보안에 대한 다양한 위협과 취약성을 분석하고 이에 대한 인식을 높이기 위해 설계된 사이버 인텔리전스 가이드 는 자동차 사이버 보안에 대한 사고 대응 분석의 중요성을 강조하면서 이에 대한 권장 방어 및 완화 대책에 대한 심층적인 통찰력을 제공합니다. 가이드 에서는 전문가들이 새로운 사이버 보안 위협을 UNECE R155에서 제공하는 취약성 목록과 연관시키고 시스템 개발자와 경영진이 조직 전체와 공급망에 걸쳐 위험 관리를 어떻게 적용해야 하는지에 대한 인사이트를 얻을 수 있도록 지원합니다.
댓글