시청자 여러분 안녕하십니까. 파워인터뷰 김덕조입니다. 자동차가 이제는 단순한 이동수단을 넘어 이른바 ‘바퀴 달린 컴퓨터’로 진화하고 있습니다. 소프트웨어와 통신 기능이 늘어나면서 편의성은 높아졌지만, 반대로 해킹과 사이버 공격 위험도 함께 커지고 있는데요.

특히 SDV(소프트웨어중심차) 확산과 함께 차량 사이버보안은 선택이 아닌 필수 영역으로 떠오르고 있습니다. 오늘은 이런 변화 속에서 차량 통합 보안 플랫폼 시장을 개척하고 있는 기업, 페스카로의 홍석민 대표를 모시고 이야기 나눠보겠습니다.

페스카로는 아직은 다소 생소한 기업이기도 합니다. 상장한 지 얼마 되지 않은 새내기 기업인데요. 먼저 어떤 회사인지 소개를 부탁드립니다.

▶ 페스카로는 2016년에 설립된 자동차 사이버보안 전문 플랫폼 기업입니다. 자동차 전자식 제어기를 개발하는 개발자 그룹과 화이트해커 출신의 보안 연구원 그룹, 두 전문가 집단이 모여 출발했습니다. 저희의 특징은 자동차 사이버보안 규제 대응에 필요한 전 영역의 보안 기술을 보유하고 있다는 점입니다. 단순히 기술만 가진 것이 아니라 실제 차량에 적용해 양산 검증과 인증까지 받은, 검증된 기술을 보유한 기업이라고 보시면 됩니다.

그러니까 단순한 보안 소프트웨어 회사가 아니라, 차량 전체 보안을 설계부터 양산, 인증까지 연결할 수 있는 회사라고 이해하면 되겠군요.

▶ 네, 맞습니다. 차량 전체 보안 아키텍처를 설계하고, 구현하고, 통합 검증하고, 최종 인증까지 전 영역을 담당할 수 있는 기업이라고 보시면 됩니다.

차량 보안이라는 말이 익숙한 듯하면서도 어렵습니다. 시청자들이 이해하기 쉽게, 일반 IT 보안과 자동차 보안은 무엇이 다른지 설명해 주시죠.

▶ 쉽게 말씀드리면 IT 보안은 해킹 공격이 실제로 실현될 확률이 리스크를 판단하는 데 중요한 요소입니다. 그런데 자동차는 다릅니다. 물론 확률도 고려하지만, 자동차 관점에서는 확률이 높으냐보다 0이냐 아니면 0.1%라도 가능성이 존재하느냐가 더 중요합니다. 그 이유는 제조물 책임과 연결되기 때문입니다. 자동차는 사람의 안전과 직결되는 제품이기 때문에, 보안 문제가 발생해 소비자 피해로 이어질 가능성이 있다면 그 자체로 규제와 위험관리 대상이 됩니다.

결국 자동차 보안은 기술 문제가 아니라 사람의 생명과 안전, 그리고 제조사의 책임까지 연결된 문제라는 얘기군요.

▶ 네, 맞습니다. 그래서 자동차 보안은 일반적인 IT 보안보다 훨씬 더 엄격한 관점에서 접근해야 합니다.

방금 규제라는 말씀을 하셨는데요. 차량 보안은 단순히 기술을 개발했다고 해결되는 문제가 아니라, 사람의 생명과 연결돼 있는 만큼 반드시 인증을 받아야 하는 산업이라고 볼 수 있지 않습니까. 이 부분을 좀 더 설명해 주시죠.

▶ 자동차 사이버보안 시장은 규제 시장입니다. 사이버보안 관련 인증을 획득하지 못하면 완성차 제조사 입장에서는 차량 판매 자체가 불가능합니다. 규제의 직접 대상은 완성차 업체이지만, 실제 자동차 보안은 전자식 제어기 같은 부품 수준에서도 필수적으로 요구됩니다. 그래서 부품을 제조하고 공급하는 부품사들 역시 간접적인 규제 대상이라고 보시면 됩니다.

결국 선택이 아니라 필수라는 거군요. 지금의 자동차는 전자장비가 워낙 많이 들어가니까, 보안이 없으면 차를 팔 수 없는 시대라고 봐야겠네요.

▶ 네, 맞습니다. 이미 규제로 제정돼 시행되고 있고, 2022년 유럽과 일본을 시작으로 2025년 한국, 2026년 중국, 2027년 인도 등 전 세계적으로 자동차 사이버보안 규제가 확대 시행되고 있습니다. 이제는 사이버보안 인증을 받지 못하면 판매 자체가 불가능한 상황이라고 보시면 됩니다.

그럼 시청자들께서 가장 궁금해하실 질문을 드리겠습니다. 페스카로는 차량 보안에서 구체적으로 무엇을 하는 회사입니까?

▶ 많은 분들이 차량 보안이라고 하면 제어기에 백신처럼 들어가는 소프트웨어 보안 솔루션만 떠올리십니다. 하지만 규제 대응은 그것만으로 끝나지 않습니다. 제작사나 부품사 내부에 사이버보안 관리 체계와 전문 조직, 그리고 실제 업무 절차가 기본적으로 수립돼 있어야 합니다. 그래서 저희는 이런 관리 체계를 전문적으로 구축해주는 컨설팅을 하고 있습니다. 또 보안 솔루션을 적용하기 전에 먼저 사이버보안 위협을 분석하고 위험도를 평가하는 TARA라는 전문 방법론이 선행돼야 합니다.

예를 들어 자동차에는 100개 안팎의 전장 부품이 들어가는데, 모든 부품에 동일한 수준의 보안을 적용하는 것은 비효율적입니다. 그래서 각 부품별로 위협을 식별하고 위험 수준을 평가한 뒤, 그 결과에 따라 맞춤형 보안을 적용해야 합니다. 마지막으로 이렇게 보안이 적용된 이후에도 실제로 취약점이 없는지, 제대로 구현됐는지를 검증하는 유효성 확인 영역이 필요합니다. 저희는 이처럼 컨설팅, 위협 분석, 설계 지원, 솔루션 공급, 검증까지 다양한 제품과 서비스를 제공하고 있습니다.

대표님 설명을 듣다 보니 좀 더 쉽게 정리가 필요할 것 같습니다. 크게 보면 사이버보안 사업과 전장 제어기 사업, 두 가지가 있는데요. 그럼 사이버보안이라는 것은 자동차 안의 어디에 적용되는 겁니까?

▶ 보안은 결국 소프트웨어 취약점과 밀접하게 연결돼 있습니다. 그런데 자동차의 소프트웨어는 사실상 전자식 제어기 부품들에 들어가 있습니다. 그래서 차량 보안이라고 하지만, 직접적인 적용 대상은 전자식 제어기들이라고 보시면 됩니다.

그쪽에 들어가는 거군요. 그렇다면 아까 말씀하신 컨설팅 같은 것도 결국 매출이 발생하는 사업인 거죠?

▶ 네, 맞습니다. 부품사들이 보안 솔루션을 적용할 때 그냥 적용하는 것이 아니라, 먼저 어떤 수준의 보안이 필요한지 근거 자료가 있어야 합니다. 저희는 그 분석과 설계 가이드를 제공하고, 구현 단계에서는 솔루션도 공급하고, 검증과 인증 심사 대응까지 전반적인 서비스를 제공합니다.

그럼 정리를 한번 해보죠. 지금 사이버보안 사업과 전장 제어기 사업, 매출 비중은 어느 정도입니까?

▶ 현재는 사이버보안 사업이 약 70%, 전장 제어기 사업이 약 30% 정도입니다.

그러면 사이버보안 쪽은 부품사들에 컨설팅과 데이터, 설계 가이드를 제공하는 사업이고요. 나머지 30% 전장 제어기 사업은 어디에 납품하는 겁니까?

▶ 전장 제어기 사업은 완성차 업체에 공급하는 사업입니다. 저희가 보안 게이트웨이 제어기 자체를 부품사 포지션에서 완성차에 공급하고 있다고 보시면 됩니다.

국내만 하는 겁니까, 아니면 해외도 합니까?

▶ 보안 제어기 사업은 국내 제작사 중심으로 공급하고 있고요. 사이버보안 사업은 국내 부품사뿐 아니라 해외 부품사 일부와도 하고 있습니다. 또 국내 부품사들이 해외 제작사에 공급하는 경우도 많기 때문에, 간접적으로는 전 세계 다양한 제작사에 연결돼 있다고 보시면 됩니다.

그런데 두 사업을 함께 가져가는 이유가 궁금합니다. 처음 시작은 사이버보안이었는데, 왜 전장 제어기 사업까지 확장한 겁니까?

▶ 보통 자동차 사이버보안 기업들은 단일 기술, 요소기술 솔루션 공급에 머무르는 경우가 많습니다. 하지만 저희는 차량 전체 보안 아키텍처를 설계하고 구현하는 단계까지 사업을 하다 보니, 엔드포인트 제어기만으로는 한계가 있다는 점을 보게 됐습니다. 실제 공급망을 보면 어떤 부품사는 보안 적용이 잘 돼 있지만, 어떤 부품사는 일정이나 여러 이유로 충분히 대응하지 못하는 사례도 있습니다. 그럼에도 완성차 입장에서는 전체 차량 수준에서 규제 대응을 해야 하기 때문에, 상위 수준에서 전체를 커버하는 보안 전용 게이트웨이 제어기가 필요해집니다. 그래서 저희가 자연스럽게 보안 전용 게이트웨이 제어기 사업까지 진출하게 됐습니다.

결국 부족한 부분을 상위에서 보완하는 역할을 하는 거군요. 향후에는 이 제어기 사업 비중도 커질 수 있겠네요.

▶ 네, 맞습니다. 처음에는 사이버보안 규제를 효율적으로 대응하기 위해 시작했지만, 이 과정에서 일반 전장 부품사로서 필요한 리소스와 조직, 자격도 자연스럽게 확보하게 됐습니다. 그래서 앞으로는 사이버보안을 중심으로 하되, 좀 더 확장된 전장 사업으로 확대해 나가려고 합니다.

이 시장에 페스카로만 있는 건 아닐 겁니다. 국내에도, 해외에도 경쟁사들이 있을 텐데요. 그런 기업들 가운데 완성차나 부품사들이 페스카로를 선택하는 이유, 경쟁력은 무엇입니까?

▶ 규제 시장에서의 업무 흐름을 보면, 먼저 제작사나 부품사가 차량과 제품 수준의 보안 아키텍처를 설계하고, 어떤 요구사항을 적용할지 정의해야 합니다. 일반적인 보안 회사들은 그렇게 정의된 요구사항에 맞춰 구현 중심의 요소기술을 공급하는 경우가 많습니다. 그런데 자동차 사이버보안 시장은 아직 초기 단계이기 때문에, 완성차나 부품사 입장에서는 어떤 아키텍처를 짜고 어떤 요구사항을 내야 하는지 자체가 큰 부담이 됩니다. 저희는 단순히 서드파티 솔루션을 공급하는 벤더가 아니라, 고객사 입장에서 보안 아키텍처와 무엇을 해야 하는지까지 함께 디자인해 줍니다. 결국 고객사의 업무 효율을 높여주는 통합 보안 플랫폼 기업이라는 점이 저희의 차별점입니다.

지금 사이버보안 매출 비중이 70%라고 하셨는데, 상장 이후 이 시장을 더 키우기 위해 준비하고 있는 제품이 있습니까?

▶ 네. 저희는 사이버보안 전 영역에서 사업을 하고 있는데, 다양한 부분에서 매출 비중이 비교적 고르게 나오고 있습니다. 이 부분을 더 극대화하기 위해 사이버보안 CSMS 포털이라는 차세대 제품을 개발했습니다. 작년에 완성차용을 먼저 출시했고, 올해 상반기에는 부품사 전용 제품 출시를 앞두고 있습니다.

기존에는 컨설팅, 설계 지원, 검증, 심사 대응 같은 영역이 전문 인력과 조직 중심으로 운영됐습니다. 그런데 스케일업을 하려면 사람과 조직 기반만으로는 한계가 있다고 판단했습니다. 그래서 이런 업무를 IT 기반 시스템으로 전환하는 제품을 개발한 것이 바로 포털입니다.

그러면 기존 인력 중심 사업을 플랫폼화하는 거군요. 이게 하나의 새로운 캐시카우가 되는 겁니까?

▶ 네, 맞습니다. 기존에는 조직과 사람이 앞에서 세일즈와 프로젝트 관리, 이행을 했다면 앞으로는 포털이 최전방에서 많은 부분을 자동화하고, 추가 지원이 필요한 부분만 사람이 보완하는 구조로 변화하게 됩니다. 자동차 사이버보안은 한 번 인증받고 끝나는 시장이 아니라 3년마다 재인증이 필요하고, 차종마다 인증이 반복되며, 매년 사후 심사도 있습니다. 그래서 이제는 얼마나 효율적으로 운영할 것이냐가 중요해졌고, 저희 포털은 바로 그 운영 효율화를 담당하는 제품입니다.

어떻게 보면 자동차를 넘어 모빌리티 보안 시장입니다. 로봇, 드론, 중장비까지 생각하면 앞으로 시장이 훨씬 더 커질 것 같은데요. 어떻게 준비하고 계십니까?

▶ 제품 사이버보안 시장은 결국 규제 시장입니다. 제작사 입장에서 규제가 생겨 필수 대응이 되는 순간 시장이 크게 열리게 됩니다. 유럽에서는 이미 사이버 리질리언스 액트, CRA가 제정돼 있고 2027년 12월 시행을 앞두고 있습니다. 이 규제는 자동차에만 국한되는 것이 아니라, 소프트웨어가 탑재된 거의 모든 제품을 포괄할 정도로 범위가 넓습니다. 로봇, 농업용 트랙터, 건설기계, 중장비, 드론 등 다양한 제품군이 대상이 될 수 있습니다. 저희는 현재 갖고 있는 리소스와 조직, 기술 자산을 최대한 활용해 이 산업으로 확장하고 있습니다.

코스닥 상장이 어떻게 보면 제2의 창업일 수 있는데요. 3년 뒤 페스카로는 어떤 모습이길 기대하십니까?

▶ 두 가지 측면에서 말씀드릴 수 있습니다. 첫째는 사이버보안 부문입니다. 자동차 산업뿐 아니라 모빌리티 전반으로 사업을 확장해, 자동차 보안 하면 페스카로를 넘어 모빌리티 전반의 신뢰할 수 있는 사이버 시큐리티 파트너로 자리 잡고 싶습니다. 보안은 갈수록 더 복잡해지고 기술도 고도화되기 때문에, 고객들이 저희와의 파트너십을 통해 어려운 문제를 해결하고 본업에 집중할 수 있도록 하는 것이 목표입니다.

둘째는 전장 사업입니다. 사이버보안을 넘어서 전장 사업 자체만으로도 독립적인 부가가치를 창출하는 사업으로 키우고 싶습니다. 단순히 로드맵 차원이 아니라, 상장사로서 실적으로 그 가능성을 보여드리는 것이 목표입니다.

끝으로 투자자와 시청자 여러분께 한 말씀 부탁드립니다.

▶ 올해 7월이면 페스카로가 설립 10주년을 맞습니다. 상장을 했기 때문에 이제 끝난 것 아니냐는 농담도 듣지만, 저와 페스카로 구성원들은 상장 다음 날부터 오히려 본게임이 시작됐다고 생각하고 있습니다. 상장사로서 자금 조달력과 협업 기회 등 활용할 수 있는 기반도 넓어진 만큼, 다시 창업한다는 마음으로 회사를 더 잘 경영해 나가겠습니다. 앞으로도 자동차와 모빌리티 보안 시장에서 신뢰받는 기업이 되도록 최선을 다하겠습니다.

오늘은 페스카로의 홍석민 대표와 함께했습니다. 자동차 산업이 소프트웨어 중심으로 재편되는 지금, 보안은 더 이상 뒤에 숨어 있는 기술이 아니라 시장의 문을 여는 핵심 조건이 되고 있습니다.

눈에 보이지는 않지만, 결국 소비자의 신뢰와 기업의 경쟁력을 키우는 힘이 될 것으로 보이는데요. 차량 통합 보안 플랫폼과 보안 게이트웨이 제어기, 그리고 모빌리티 전반으로의 확장을 준비하는 페스카로의 행보도 지켜보겠습니다.

오늘 인터뷰는 여기까지입니다. 지금까지 파워인터뷰 김덕조였습니다. 시청해주신 여러분, 고맙습니다.