한 줄 결론: 2026년 7월부터 국내 판매되는 모든 신차는 UN R155 사이버보안 인증을 받아야 하며, 이미 출시된 차량도 OTA 업데이트 보안 기준(UN R156)이 적용된다 — 커넥티드카 시대에 내 차의 해킹 위험과 대응법을 알아야 할 때다.
이 글이 필요한 사람- 커넥티드카·스마트카 기능을 쓰면서 보안이 걱정되는 사람
- 원격 시동, 앱 제어, OTA 업데이트를 사용 중인 차주
- 신차 구매 시 사이버보안 인증 여부가 궁금한 사람
- 자동차 해킹 뉴스를 보고 내 차는 괜찮은지 확인하고 싶은 사람
자동차가 스마트폰처럼 인터넷에 연결되면서 편의성은 올라갔지만, 해킹 위험도 함께 커졌다. UN(유엔)은 이 문제에 대응해 자동차 사이버보안 국제 기준인 UN R155와 소프트웨어 업데이트 기준인 UN R156을 만들었고, 한국도 2026년부터 전면 적용한다. 이 글에서 규제 내용, 실제 해킹 사례, 브랜드별 대응 현황, 그리고 차주가 당장 할 수 있는 보안 수칙을 정리한다.
※ 이 글은 2026년 3월 기준으로 작성됐습니다. UN R155/R156 적용 일정은 국토교통부 자동차안전기준 고시 기준이며, 브랜드별 대응 현황은 공식 발표 기준입니다.
UN R155와 R156은 유엔 유럽경제위원회(UNECE)가 제정한 자동차 사이버보안 국제 규정이다. 쉽게 말하면 자동차 제조사에게 "차를 해킹으로부터 보호하라"는 법적 의무를 부여한 것이다.
| 구분 | UN R155 (사이버보안) | UN R156 (소프트웨어 업데이트) |
|---|
| 핵심 내용 | 차량 개발·생산·운행 전 과정에서 사이버 위협을 식별하고 방어해야 한다 | OTA 등 소프트웨어 업데이트 과정의 무결성·안전성을 보장해야 한다 |
| 인증 대상 | 제조사(CSMS 인증) + 차량 형식(형식승인) | 제조사(SUMS 인증) + 차량 형식(형식승인) |
| 한국 적용 | 2026.7 신형식 전면 의무화 | 2026.7 신형식 전면 의무화 |
| 미인증 시 | 형식승인 불가 → 판매 불가 | OTA 업데이트 배포 불가 |
※ CSMS: Cyber Security Management System, SUMS: Software Update Management System. 출처: UNECE WP.29, 국토교통부 자동차안전기준
핵심은 이것이다 — 사이버보안 인증 없이는 차를 팔 수 없다. 제조사 입장에서는 선택이 아니라 생존의 문제가 됐다.
자동차 해킹은 이론이 아니라 이미 현실에서 발생하고 있다. 대표적인 사례를 보면 왜 UN R155가 필요한지 바로 이해된다.
사례 1. 지프 체로키 원격 제어 (2015)
보안 연구원 2명이 인터넷을 통해 주행 중인 지프 체로키의 에어컨, 와이퍼, 스티어링, 브레이크를 원격 조작했다. 피아트크라이슬러는 140만 대를 리콜했고, 이 사건이 UN R155 제정의 직접적 계기가 됐다.
사례 2. 테슬라 원격 잠금해제 (2022~2024)
BLE(저전력 블루투스) 릴레이 공격으로 테슬라 모델 3·Y의 문을 열고 시동을 거는 시연이 여러 차례 공개됐다. 테슬라는 OTA 업데이트로 UWB(초광대역) 인증을 추가해 대응했다.
사례 3. 기아 원격 제어 취약점 (2024)
보안 연구원이 기아 딜러 포털의 API 취약점을 발견해 번호판만으로 차량 위치 추적, 문 잠금해제, 시동이 가능함을 시연했다. 기아는 해당 API를 즉시 패치했다.
공통점이 보인다 — 차량 자체보다 연결 지점(통신 모듈, 앱 API, 블루투스)이 공격 대상이다. 차가 인터넷에 연결될수록 공격 표면은 넓어진다.
| 공격 유형 | 방법 | 위험도 | 실제 발생 여부 |
|---|
| 원격 네트워크 공격 | 텔레매틱스·V2X 통신을 통한 원격 침투 | 매우 높음 | 지프 체로키 사례 |
| 근거리 무선 공격 | 블루투스·NFC·스마트키 릴레이 | 높음 | 테슬라 BLE 릴레이 |
| 앱/클라우드 API 공격 | 제조사 앱·딜러 포털 API 취약점 악용 | 높음 | 기아 API 취약점 |
| OBD·물리 접근 공격 | OBD2 포트·USB 등 물리적 접근 후 ECU 조작 | 중간 | 차량 절도에 활용 |
UN R155는 이 네 가지 공격 유형을 모두 포괄한다. 제조사는 각 유형에 대한 위협 분석(TARA)을 수행하고, 대응책을 설계 단계부터 반영해야 한다.
주요 제조사들의 UN R155 대응 현황을 정리했다. 2026년 7월 의무화를 앞두고 대부분의 제조사가 CSMS 인증을 완료한 상태다.
| 제조사 | CSMS 인증 | 주요 대응 |
|---|
| 현대·기아 | 취득 완료 | 차량 보안 관제센터(V-SOC) 운영, 침입탐지시스템(IDS) 탑재, OTA 암호화 |
| 테슬라 | 취득 완료 | 버그바운티 프로그램 운영(최대 $100K), OTA 코드 서명, UWB 디지털키 |
| BMW·벤츠 | 취득 완료 | 차량 SOC 24시간 모니터링, 하드웨어 보안 모듈(HSM) 전 차종 적용 |
| 토요타 | 취득 완료 | ECU간 인증 암호화, 게이트웨이 ECU 분리 아키텍처 |
| GM·포드 | 취득 완료 | 차량 방화벽(Vehicle Firewall), OTA 다중 서명 검증 |
※ 2026년 3월 기준, 각 제조사 공식 발표 및 UNECE 인증 데이터베이스 참조. V-SOC: Vehicle Security Operations Center
주목할 점은 테슬라의 버그바운티 프로그램이다. 외부 보안 연구원이 취약점을 발견하면 최대 10만 달러(약 1.3억 원)의 보상금을 지급한다. 이런 투명한 접근이 오히려 보안을 강화한다는 점에서, 다른 제조사에도 확산되는 추세다.
UN R155는 제조사의 의무지만, 차주도 기본 보안 수칙을 지키면 해킹 위험을 크게 줄일 수 있다.
- 소프트웨어 업데이트를 미루지 마라
제조사가 배포하는 OTA 업데이트에는 보안 패치가 포함돼 있다. "나중에 하지"를 반복하면 이미 알려진 취약점이 방치되는 것이다. 알림이 뜨면 24시간 이내에 적용하자. - 제조사 공식 앱만 사용하라
차량 원격 제어 앱은 반드시 제조사 공식 앱(현대 Bluelink, 기아 Connect, 테슬라 앱 등)만 사용한다. 비공식 앱이나 서드파티 OBD 앱은 인증 토큰을 탈취당할 위험이 있다. - 스마트키 신호 차단 파우치를 써라
릴레이 공격은 스마트키의 무선 신호를 증폭해 문을 여는 방식이다. 집에서 키를 보관할 때 신호 차단 파우치(패러데이 파우치)에 넣으면 이 공격을 원천 차단할 수 있다. 가격은 1~2만 원대. - 차량 앱 비밀번호를 분리하라
Bluelink, 기아 Connect 등 차량 앱의 비밀번호를 다른 서비스와 동일하게 쓰지 마라. 다른 서비스에서 유출된 비밀번호로 차량 앱에 로그인되면 차 문이 열린다. - OBD2 포트 잠금장치를 고려하라
OBD2 포트는 운전석 하단에 노출돼 있어 물리적 접근이 쉽다. 고급 차량이나 절도 위험이 높은 지역이라면 OBD 포트 잠금장치(2~5만 원)를 설치하는 것도 방법이다. - 차량 공유·렌트 후 연결을 해제하라
렌터카나 차량 공유 서비스를 이용한 후에는 블루투스 페어링과 내비게이션 개인정보를 반드시 삭제하라. 다음 이용자가 내 연락처와 위치 기록에 접근할 수 있다.
자동차 사이버보안은 더 이상 SF 영화의 소재가 아니다. 2026년 UN R155 전면 의무화는 제조사에게는 인증의 문제지만, 차주에게는 "내 차가 해킹당할 수 있다"는 현실을 인식하는 계기다. OTA 업데이트를 제때 적용하고, 스마트키 관리에 신경 쓰고, 차량 앱 비밀번호를 분리하는 것만으로도 대부분의 위협을 막을 수 있다.
기준일: 2026년 3월 | 출처: UNECE WP.29 UN R155/R156 규정, 국토교통부 자동차안전기준 고시, Upstream Security 2026 Global Automotive Cybersecurity Report
