차량 SW 보안으로 세계시장 개척하는 아우토크립트
10년 넘게 차량 보안 ‘한 우물’… 포스텍 출신 공동창업자 4인
유럽-일본, 지난해 보안 의무화… 한국은 올 8월 新차종부터 적용
“독자 암호체계 개발해 성능 높여… 車제조사와 함께 성장해 나갈 것”
차량 해킹 소식은 심심찮게 들려온다. 지난해 6월에는 윤리적인 해커들에 의해 기아차의 흠결이 발견됐다. 이 해커들은 차량 번호만 가지고 차 소유주 개인 정보 탈취는 물론 차 문을 열고 시동을 걸거나 멈추게 하고, 차량 위치를 추적했다. 사실상 차량 탈취가 가능했다. 이들은 기아차에 이 같은 취약점을 알렸고, 기아차는 8월 문제점을 없앴다.
자율주행 시대가 다가오면서 차량용 소프트웨어(SW)는 점점 더 많아지는 추세다. 차량에 SW가 많이 탑재될수록 그만큼 해킹 당할 위험은 커진다. 아우토크립트(공동대표이사 김덕수 이석우 김의석)는 자율주행을 비롯해 차량이 SW 중심으로 운행되는 시대의 보안 문제를 해결하고자 2019년 설립됐다.
지난달 20일 서울 영등포구 본사에서 만든 김덕수 공동대표이사(50)는 “차량은 내부에 있는 약 200개 전자제어장치(ECU)들이 서로 통신하면서 움직이는 구조”라며 “작은 컴퓨터인 셈인 ECU 가운데 1개만 (해킹에) 뚫려도 보안 문제가 생길 수 있다”고 했다.
아우토크립트는 전력을 덜 쓰면서도 효율적으로 구현되는 자동차 관련 보안 솔루션을 개발했다. 김덕수 대표는 “세계적인 해킹 대회인 데프콘 차량 보안 분야에서 세계 4위 실력을 유지할 정도로 뛰어난 보안 기술을 보유하고 있다”고 했다.
● “핵심은 자율주행에 지장 없는 보안”
아우토크립트는 차량 내부 보안(IVS)과 협력자율주행 통신 보안(V2X), 전기차 및 충전 인프라 보안, 보안 테스팅 통합 플랫폼 개발 등으로 나눠 사업을 전개하고 있다.
IVS 기술은 침입 신호를 실시간으로 감시하며 ECU를 보호한다. V2X 솔루션은 차량과 도로 인프라, 다른 차량과의 통신을 보호하는 기술이다. 자율주행은 실시간 통신이 중요하기 때문에 보안 SW가 시스템에 부하를 주지 않도록 개발됐다. 작지만 강력한 암호체계를 활용 중이다. 전기차 충전 시스템 보안도 중요하다. 자동차에서 수집된 개인 데이터 보호는 물론이고 전력망 자체가 비윤리적인 해커들의 공격을 받지 않도록 보호한다.
차량 보안 시장은 일반적인 정보기술(IT) 시장과는 달리 독특한 특성이 있다. 금융이나 공공 분야에 주로 적용되는 IT 보안은 해당 기관 지원 부서인 전산실과 협업해 솔루션을 제공하면 된다. 하지만 차량 보안은 제조회사와 부품회사를 비롯해 수많은 기업의 생산 부서를 상대해야 한다. 개별 하드웨어에 보안 SW가 결합돼야 완전한 상품이 되는 식이다. 아우토크립트는 여러 회사가 만드는 다양한 차량 ECU에 보안 문제는 없는지 스스로 테스트해 볼 수 있는 보안 테스팅 통합 플랫폼까지 만들었다. 김덕수 대표는 “보안 테스팅 통합 플랫폼을 활용하면 차량용 ECU의 보안 취약점을 단번에 알 수 있다. 이상이 없을 경우 자동차 회사에 납품이 가능하도록 검사보고서까지 작성해 준다”고 했다.
아우토크립트 엔지니어들이 서울 강남구 삼성동에 있는 자사 미래모빌리티센터에서 차량의 보안 취약점을 분석하고 있다. 미래모빌리티센터는 차량 사이버보안 연구와 해킹 시뮬레이션을 위한 시설이다. 아우토크립트 제공 아우토크립트 보안 기술은 자동차 환경에 최적화돼 있다. 제한된 컴퓨팅 환경에서도 효율적으로 작동할 수 있도록 자동차 특화 암호기술을 만들어 활용 중이다. 김덕수 대표는 “효율성이 좋아 경쟁사 대비 컴퓨팅에 40%나 작은 부담을 주면서 성능은 67% 향상시켰다”고 했다.
아우토크립트는 기술력을 인정받아 세계적인 자동차 회사는 물론 세계적인 부품회사의 40%가량을 고객으로 확보했다. V2X 분야에서는 국내 차세대 지능형 도로교통 체계(C-ITS)를 모두 수주할 정도다. 한국도로공사는 물론 관련 인프라를 구축한 여러 지방자치단체가 고객이다.
● IT 보안 회사에서 분사
아우토크립트는 2019년 펜타시큐리티시스템 차량 보안 사업부에서 분사했다. 김덕수 대표는 “일반 SW 분야는 미국과 이스라엘이 이미 주도하고 있어 우리가 앞서가기에는 한계가 있어 보였다. 하지만 자동차 보안은 우리나라 자동차 하드웨어 생태계가 잘 조성돼 있어 여기에 SW 역량을 더한다면 글로벌 강자가 될 수 있겠다고 판단했다”고 창업 배경을 설명했다.
회사는 공동 창업자 4명 중 3명이 공동대표이사를 맡아 운영한다. 공동대표이사 제도는 각자대표 체제와 달리 회사 운영의 주요 사항을 대표이사 모두가 합의해 결정한다.
공동 창업자 4명은 모두 포스텍(포항공대) 출신이다. 전자전기공학과를 나온 김덕수 대표는 정보보안 전문가다. 펜타시큐리티시스템 연구소장 등을 거쳐 아우토크립트에서 제품 개발과 운영을 맡고 있다. 산업공학을 전공한 이석우 공동대표(57)는 펜타시큐리티시스템을 창업해 2022년까지 대표이사를 지냈다. 아우토크립트 해외 사업과 사업 전략을 담당한다. 아우토크립트 대주주다. 물리학을 전공한 김의석 공동대표(53)는 펜타시큐리티시스템 최고기술책임자(CTO) 출신이다. 아우토크립트에서 국내 사업 부문을 책임지고 있다. 포스텍 전자전기공학 박사 출신인 공동 창업자 심상규 부사장(52)은 현재 CTO다.
● 차량 보안 의무화 이제 시작
글로벌 시장에서 차량 보안은 점점 의무화되고 있다. 유엔 유럽경제위원회(UNECE) 사이버보안 관리 시스템(R155)과 SW 업데이트 관리 시스템(R156) 규정을 도입하는 국가가 늘고 있다. 유럽연합(EU)은 지난해 7월부터 전 차종에 두 규정의 적용을 의무화했다. 보안 요구 사항을 충족시키는 데 어려움이 있었던 포르쉐 마칸과 도요타 GR86, 스바루 BRZ는 유럽에서 단종되기도 했다. 일본도 같은 시기에 차량 보안을 의무화했다.
한국은 올 8월부터 신차종에, 2027년 8월부터는 전 차종에 적용한다. 중국은 한국보다 5개월가량 늦은 2026년 1월부터 신차종에, 2028년 1월부터 전 차종에 적용될 예정이다. 미국은 지난달 자율주행 차량 평가 및 감독을 위한 체계(AV ATEP)를 발표했다. 2027년형 모델부터 외국 적대세력과 연관된 SW 사용을 금지한다는 내용 등이 담겼다.
아우토크립트는 지난해 5월 아시아태평양 지역 최초로 유럽 형식승인 평가기관(TS) 자격을 획득했다. 자동차 제조사가 유럽 형식승인을 받는 데 필요한 리포트를 검토하고 적격 여부를 확인해 주는 기관이 된 것이다. 김덕수 대표는 “세계시장에서 기술력을 인정받았다는 것, 그리고 중장기적으로 연간 수백 억 원의 새 수익원을 가지게 됐다는 의미가 있다”고 했다.
아우토크립트는 코스닥 상장을 위한 상장 예비 심사를 신청한 상태다. 기술특례 상장 방식이다. 2023년 기준 매출액은 약 213억 원, 영업손실은 198억 원이다. 김덕수 대표는 “차량의 복잡한 전자통신 시스템을 보호하고 새로운 차량에 적용된 기술과 법규에 대응하기 위해서는 연구개발이 중요하다”며 “연구개발 부담으로 올해까지는 적자를 예상하지만 내년부터는 흑자가 날 것으로 기대한다”고 했다. 이어 “일반 IT 보안은 시스템을 구축해 놓은 다음에는 유지·보수비만 받지만 차량 보안은 차량 판매가 늘수록 부품 수량만큼 로열티 또는 라이센스 비용을 받는 차량 SW 부품사업”이라고 했다.
아우토크립트는 미국과 독일에는 법인을 설립했고 일본과 중국 사우디아라비아에는 사무소를 두고 있다. 현지 자동차 기업이나 정부 기관을 대상으로 자동차 보안과 차세대 지능형 교통 체계 구축 영업을 벌이고 있다.
김덕수 대표는 “아우토크립트는 자율주행 시대를 대비해 차량 SW보안과 미래 차 통신 시장을 선점해 글로벌 SW 부품사로 성장할 것”이라고 했다.
