Nikkei Automotive_2020.7 특집 요약 (p30-43)

자동차, 소프트웨어로 승부
Vehicle OS시대의 자동차 전략

자동차업체가 점점 소프트웨어 기업이 되어 가고 있다. CASE(Connected, Autonomous, Share & Service, Electricity)의 변화를 배경으로, 자동차의 소프트 비율이 상승하며 소프트 개발력이 승패를 결정하게 됐기 때문이다. 스마트폰 업계의 미국의 애플이나 구글의 모습과도 겹친다. 그러나 인명을 책임지는 자동차에서는 안전성이나 보안에 대한 배려로 인해 현격하게 어려워지게 된다.

Part 1. 소프트웨어를 자체 확보
‘Vehicle OS’의 세계 경쟁 발발

자동차업체의 경쟁 무대가 하드웨어에서 소프트웨어로 이행하고 있다. 상징적인 것이 ‘Vehicle OS’(또는 Car OS)라고 불리는 차량탑재 소프트 기반이다. 독일 폭스바겐은 ‘vw.OS’를 실용화, 도요타자동차 그룹은 ‘Arene OS’를 개발 중이다. 이들 Vehicle OS를 축으로 자동차의 새로운 주도권 경쟁이 시작됐다.

“세계에서 가장 비용 효율이 좋고, 신뢰성이 높은 하드웨어 생산 방식인 도요타 생산 방식(TPS)을 소프트웨어 분야에서도 실현한다”. 도요타자동차 그룹에서 자율주행 소프트를 개발하는 TRI-AD(Toyota Research Institute-Advanced Development)의 James Kuffner CEO는 도요타가 목표하는 방향성에 대해 이렇게 설명한다.

소프트 개발을 효율화하는 중핵 기술은 현재 개발 중인 차량탑재 소프트 기반 ‘Arene OS’다. 애플의 소프트 기반 ‘iOS’나 구글의 ‘Android’처럼, 전세계의 개발자가 Arene OS용으로 소프트를 개발할 수 있도록 한다.

개발한 소프트는, Arene OS를 탑재한 차량이라면 하드웨어의 차이에 상관없이 동작한다. 카내비게이션과 같은 스마트폰 앱에 가까운 것부터 자율주행 소프트웨어까지 자동차용의 폭넓은 소프트웨어를 효율적으로 개발할 수 있다.

그러나 차량 제어를 동반하는 소프트가 정말 안전하게 동작하는가, 사이버 공격에 견딜 수 있는가와 같은 사항은 더욱 검증할 필요가 있다. 스마트폰 앱에서는 오류나 취약성 보고는 일상다반사지만 이것이 자동차에서 발생하면 인명에 관련되기 때문이다. 이 때문에 현재로서는 자사 소프트를 효율적으로 개발하는 시스템으로서 Arene OS를 정비하고 있는 것으로 보인다.

폭스바겐의 차량탑재 소프트 기반 ‘vw.OS’도 사고방식은 동일하다. vw.OS는 20년 여름에 발매하는 신형 전기자동차(EV) ‘ID.3’나, 20년에 발매하는 SUV 타입의 EV ‘ID.4’ 등에 순차 탑재한다. 장기적으로는 폭스바겐 그룹의 전 브랜드에 전개하고, 외부 판매도 시야에 넣는다.

-- 소프트웨어 개발을 내제화 --
vw.OS나 Arene OS는 ‘Vehicle OS’라고 불린다. 자동차업체가 Vehicle OS의 개발에 주력하는 이유는 복잡화되는 소프트가 자동차 개발의 보틀넥이 되기 시작했기 때문이다.

“개발 리드타임도, 개발비도, 소프트가 상당한 비율을 차지하고 있다. 자동차업체는 소프트 개발을 효율화하기 위한 기반 기술(인프라)을 자체 확보함으로써 경쟁력을 높이려 하고 있다”(아이신정기 우에나카(植中) 본부장).

Vehicle OS 중에 실제로 탑재되는 소프트는 극히 일부다. Vehicle OS 상에서 동작하는 소프트를 개발하기 위한 설계 툴이나 검증 툴 등의 인프라가 대부분을 차지한다. TRI-AD의 CTO인 고이부치(鯉渕) 씨는 “개발하고 있는 자율주행 소프트의 90%는 인프라다”라고 말한다. 지금까지 자동차업체는 차량(하드웨어)의 효율적인 생산 기술을 자체 확보함으로써 경쟁력을 높여 왔다. 앞으로는 소프트 개발을 효율화하여 경쟁에서 이긴다는 생각이다.

폭스바겐도 소프트의 자체 확보를 추진하고 있다. 19년 6월에 설립한 그룹 차원의 소프트 개발 조직 ‘Car.Software’는 처음에는 500명 규모로 시작했지만 20년 3월에는 3,000명 규모로 증가했다. 25년까지는 1만명 규모로 확대, 소프트 내작 비율을 현재의 10% 미만에서 60%로 높일 계획이다.

-- 소프트웨어와 하드웨어를 분리하고 싶다 --
자동차의 소프트가 복잡화되는 배경에는 커넥티드나 자율주행과 같은 신기능의 추가도 있지만 소프트와 하드를 분리하기 어려운 자동차 특유의 사정도 있다. 실시간 처리가 요구되는 센서나 액추에이터의 ECU(Electronic Contron Unit, 전자제어유닛)는 소프트와 하드의 상호 의존성이 강해 분리하기 어려운 것이다.

그러나 자동차업체 입장에서는 이것이 큰 부담이 되고 있다. 폭스바겐의 소프트개발을 지휘하는 Christian Senger 씨는 “ECU 벤더가 부품을 바꿀 때마다 다양한 소프트의 검증 작업이 발생하는 현재의 아키텍처는 이미 한계다”라고 지적한다.

Vehicle OS는 하드웨어를 추상화하는 기능(Hardware Abstraction Layer, HAL)을 갖고 있어 ECU 상에서 소프트와 하드를 분리할 수 있다. 이를 통해 자동차업체는 번거로운 검증 작업에서 해방되어, 가장 비용 경쟁력이 높은 ECU 부품을 자유롭게 고를 수 있게 된다.

소프트도 자유롭게 다시 쓸 수 있다. 무선으로 소프트를 경신하는 OTA(Over The Air)를 통해 자율주행 등의 기능을 추가∙개선하면 자동차의 가치를 높일 수 있다. 폭스바겐처럼 자동차를 정보 단말로 해서 데이터를 수집해 새로운 가치를 창출할 수도 있다. 높은 이동 능력을 갖는 자동차는 360도 센서를 통해 외부 정보를 수집할 수 있고, 운전자감시시스템(DMS) 등을 통해 운전자나 동승자의 정보도 수집할 수 있다.

-- 생존하는 것은 전세계에서 3개의 방식뿐인가? --
1) 유럽방식, 2) 미국방식, 3) 중국방식

Part 2. 목표는 통합 ECU
실리콘밸리 스타일을 수용하다

자동차업체가 새로운 소프트웨어 기반으로서 정비하는 ‘Vehicle OS’는 높은 처리 성능을 갖는 통합 ECU에 탑재하는 것이 전제가 된다. 통합 ECU의 경우는 지금까지의 ECU와는 소프트 개발 방법이 달라서 IT 업계의 방법에 가깝다. IT의 본고장인 미국 실리콘밸리 스타일의 노하우를 수용하는 움직임이 시작됐다.

미국 실리콘밸리에 본사를 두고 있는 테슬라는 2019년에 중앙처리형 통합 ECU를 채용했다. 자동차업계에서 이러한 ECU 채용이 본격화되는 것은 2025년 무렵으로 예상된다. 즉, 테슬라는 6년이나 앞서게 된다.

최근에는 폭스바겐이나 도요타자동차도 통합 ECU를 전제로 하는 ‘Vehicle OS’의 개발을 가속하고 있다. 폭스바겐은 ‘vw.OS’의 차량탑재 컴퓨터로서 ‘HPC(High Performance Computer)’라는 통합 ECU를 차량 1대당 3~5개 탑재할 계획이다.

그렇지만 통합 ECU에 대한 폭스바겐이나 도요타 어프로치는 테슬라와 비교하면 느슨하다. 테슬라는 단숨에 중앙처리형 통합 ECU로 이행하는 ‘파괴적 어프로치’를, 폭스바겐이나 도요타는 단계적으로 ECU를 통합하는 ‘지속적 어프로치’를 채용한다. 여기에는 과거 자동차 개발 역사가 관계하고 있다.

-- 무너지지 않는 비용의 벽 --
아이신정기의 우에나카 본부장은 “원래 통합 ECU에 대한 검토는 약 20년 전부터 있었다”라고 말한다. 고성능 프로세서를 사용하는 통합 ECU는 비용이 비싸고, 다양한 차종에 대응하기 어렵다는 과제가 있었다고 한다.

예를 들면 “고급차용으로 통합 ECU를 개발해도, 너무 비싸기 때문에 대중차용으로는 사용하지 못했다”(우에나카 본부장). 대중차부터 고급차까지 다양한 자동차를 갖춘 폭스바겐이나 도요타와 같은 자동차업체는 필요 최소한의 기능만 갖는 저가의 마이크로컴퓨터 베이스의 ECU를 분산 배치하는 방법을 선택했다. 이러한 방법이라면 필요한 기능에 따라서 ECU를 추가 배치함으로써 폭넓은 차종에 대응할 수 있다.

테슬라가 고가의 통합 ECU를 조기에 채용할 수 있었던 것은 “과거에 얽매일 필요가 없고, 차종도 고급차만 있었기 때문이지 않을까?”(우에나카 본부장). 폭스바겐이나 도요타도 커넥티드나 자율주행을 배경으로 통합 ECU로 이행하고 있지만, 과거의 ECU 자산과 항상 비용을 비교하게 된다. 때문에 “지금도 단숨에 통합 ECU로 이행하는 것은 어렵다”(우에나카 본부장).

폭스바겐이나 도요타가 현재 채용하는 것은 파워트레인이나 바디 등 영역(도메인)별로 도메인 ECU를 배치하는 ‘도메인 아키텍처’다. 앞으로 커넥티드와 자율주행을 연계시키는 대규모 시스템을 실현하기 위해서는 보다 대규모의 통합 ECU(센트럴 ECU)가 필요하다.

특히 센서나 액추에이터 제어를 동반하는 시스템의 경우는 통합 ECU에 기능을 넣는 것이 어렵다. 예를 들면 “액추에이터의 움직임을 센서로 통지하면서 실시간으로 제어하는 시스템에서는 ECU를 액추에이터 근처에 배치하지 않으면 통신이 어려운 경우가 있다”(우에나카 본부장). 이른바 ‘반사신경’에 상당하는 부분은 마이크로컴퓨터 베이스의 기존형 ECU를 필요로 한다.

-- 구형 ECU와 신형 ECU 모두를 목표 --
-- Vehicle OS용으로 소프트웨어를 구조화 --
-- 횡적 연계 조직에서 소프트 개발 --
-- IT 분야에서의 기술 도입은 위험도 동반한다 --

Part 3. 고민스러운 보안 문제
2022년에 유럽에서 의무화

자동차의 소프트 개발에서 피할 수 없는 것이 사이버 보안 대책이다. 지금까지는 각 자동차업체가 개별적으로 대응해 왔지만 2022년부터 유럽에서 의무화될 전망이다. 신규격 ‘ISO/SAE 21434’에 준거하는 자동차가 아니면 형식인증을 취득하지 못해 유럽에서 판매할 수 없게 된다. 남은 시간은 얼마 없다. 더 이상 대응을 미룰 수 없는 상황이다.

이 규제는 유엔유럽경제위원회(UNECE)의 ‘자동차기준조화세계포럼(WP29)’에서 책정 중에 있다. 형식인증 요건에 보안 항목이 포함되기 때문에 유럽에서 자동차를 판매하는 자동차업체에게는 대응이 필수가 된다.

규제 이유는 커넥티드카나 자율주행 차에 대한 사이버 공격의 위험이 높아졌기 때문이다. 지금까지도 이탈리아-미국 합작 자동차업체 피아트 크라이슬러(FCA)의 ‘Jeep’이나 미국 테슬라의 EV에 대한 사이버 공격 사례가 보고되었다. 차량을 외부에서 원격 조작하는 등 인명에 직결되는 위험이 지적되고 있다.

유럽에서는 22년 이후에 신차에 대한 커넥티드 기능 탑재가 의무화될 전망이다. 커넥티드카를 통해 데이터를 활용하는 것이 목적이지만 사이버 공격을 당할 위험이 커진다. 때문에 유럽에서는 WP.29의 형식인증에 사이버 보안 대책을 포함시킴으로써 강제적으로 대책을 촉구할 생각이다.

이 규제는 유럽에 국한되지 않고 WP.29에 준거하는 일본이나 한국, 러시아 등 50개 이상의 국가나 지역으로 확대될 것으로 보인다. 세계 최대 자동차 시장인 중국이나 북미는 WP.29에 준거하고 있지만 WP.29와 거의 동등의 규제를 독자적으로 도입할 전망이다.

-- 신 규제 ‘ISO/SAE 21434’ --
WP.29의 형식인증의 경우, 자동차업체는 사이버 보안 요건 ‘CSMS(Cyber Security Management System)’과 소프트 경신 요건 ‘SUMS(Software Update Management System)’을 충족하고, ‘CSMS증명서’ ‘SUMS증명서’를 심사 회사에 제출해야 한다. 사이버 보안은 나날이 진화하기 때문에 무선으로 차량탑재 소프트웨어를 경신하는 OTA(Over The Air)와 세트로 태세를 정비할 필요가 있다.

CSMS나 SUMS의 구체적인 내용에 대해서는 국제표준화기구(ISO)와 미국자동차공학회(SAE)가 공동으로 책정 중인 국제표준 ‘ISO/SAE 21434’를 참조할 필요가 있다. 즉, WP.29의 형식인증을 취득하기 위해서는 ISO/SAE 21434에 대한 준거가 요구된다. 그 대상은 자동차업체나 1차 부품업체(티어1)뿐 아니라 ECU와 관련된 2차 이후의 부품업체도 포함될 전망이다.

ISO/SAE 21434는 국제표준안(Draft International Standard, DIS)이 20년 2월에 공개됐다. 현재는 최종 리뷰 중이며, 문제가 없으면 20년 후반, 어떤 경신이 있을 경우는 21년 초에 최종판이 나온다.

-- 보안 인재 확보가 곤란 --
CSMS나 SUMS는 사이버 보안을 담보하기 위한 조직적인 관리 체제나 프로세스를 규정하는 것으로, 자동차의 개발, 제조, 판매 후의 운용까지를 커버하는 내용으로 되어 있다. 구체적으로는 사이버 보안 관리팀을 발족시키고, 프로세스를 정의하고, 개발팀이 프로세스를 따르기 위한 시스템을 정비한다. 위험 평가 방법이나, 그 결과에 대한 대처 방법, 보안 테스트 내용 등을 정의하고, 자동차 판매 후의 보안 감시 방법이나 취약성이 발견됐을 때의 대처 방법도 정한다. 또한 OTA가 제대로 실시되는 태세도 정비한다.

이처럼 WP.29나 ISO/SAE 21434에 대한 대응에서는 조직적인 변경이 필요한 경우가 많아 기업에 따라서는 대응에 시간이 걸린다. 지금 바로 준비하지 않으면 22년에 맞출 수 없다. 특히 사이버 보안에 정통한 인재를 확보하는 것은 쉽지 않다는 지적이 많다.

-- 새로운 IT 투자가 필요한 경우도 --
-- 거래 관계가 끊기는 위험 --
-- ‘ISO 26262’와는 비슷하지만 다른 것 --

 -- 끝 --

Copyright © 2020 [Nikkei Automotive] / Nikkei Business Publications, Inc. All rights reserved.