보험업계, "긍정적으로 평가하지만 아직 갈 길 멀어"
![이달 초 열린 K-City, 사이버 보안센터 준공식. [사진=국토교통부]](https://cdn.financialpost.co.kr/news/photo/202511/237379_275758_751.jpg)
자율주행 자동차보험 활성화를 이끌 제도적 기반이 갖춰지고 있다. 국토교통부가 사이버보안 관리체계 인증제도를 법령과 고시로 연달아 확정하면서 자율주행차의 보안수준과 소프트웨어 이력을 표준화된 기준으로 평가할 수 있는 여건이 마련됐기 때문이다. 다만 실제 자율주행 환경에서 책임 주체 명확화와 데이터 접근권 문제 등 해결해야 할 구조적 과제가 남아 있어 보험상품 도입까지는 시간이 더 필요하다는 지적도 나온다.
10일 보험업권 등에 따르면 국토교통부는 이달 초 ‘사이버보안 관리체계 인증 등에 관한 고시’를 제정, 발표했다. 고시는 자동차 사이버보안 관리체계 인증 신청 시 필요한 사전 준비사항, 절차, 평가기준을 규정하고 차량 제어, 통신, 백엔드 시스템 전반에 영향을 미칠 수 있는 사이버위협을 ▲악성 V2X 메시지 ▲서비스 거부(DoS) 공격 ▲OTA(무선 업데이트) 조작 ▲암호키 훼손 등으로 세분화해 각각의 보안조치 기준을 명확히 제시했다. 관련 소프트웨어와 차량을 개발·생산·운행하는 단계에서 발생 가능한 위협을 표준화해 관리할 수 있게 된 것이다.
이번 고시는 국토부가 지난 8월 시행한 자동차관리법 시행규칙 및 관련 하위법령 개정을 토대로 마련된 후속 조치다. 당시 개정된 법령에서는 ▲자동차 사이버보안 관리체계 인증제도 명문화 ▲인증 대상·절차 법적 근거 ▲위반 시 인증취소·효력정지 등 행정처분 기준 ▲무선 소프트웨어 업데이트(OTA) 관련 사전자료 제출 의무 ▲시정조치 이행 책임 등이 포함되면서 자율주행차 보안 관리체계의 법적 기반을 먼저 구축했다. 즉 법령이 제도적 틀을 만들고, 이번 고시가 그 틀을 실제 운영할 수 있는 세부 기준을 확정한 것이다.
이와 함께 국토부는 같은 달 자동차안전연구원 K-City에서 ‘K-City 3단계 고도화 사업’과 ‘자동차 사이버보안센터 준공식’을 개최하며 자율주행 기술·보안 검증 인프라도 확충했다. K-City는 실제 도로환경과 유사한 조건에서 자율주행 기술을 시험할 수 있는 대표 인프라이며, 사이버보안센터는 올해 8월부터 시행된 '자동차 사이버보안 관리제도'의 운영·인증·평가를 총괄하는 핵심 시설이다. 차량 개발 및 생산, 운행 전 주기에서 발생할 수 있는 개인정보 탈취, 외부 해킹, 주행 교란 등 다양한 위협을 실시간 감시·대응하는 기능을 갖췄다.
이같은 정책적 정비가 연속적으로 이뤄지면서 보험업계에서도 변화에 대한 기대가 커지고 있다. 손해보험업계는 고시와 법령 개정이 맞물리며 자율주행차보험 개발을 위한 리스크 평가 기반이 구체화됐다는 점을 긍정적으로 평가한다.
자동차 사이버보안 관리체계 인증제를 법령에 명시하면서 대상과 절차가 구체화됐다. 유엔 기준에 따라 운영되던 사이버보안 인증이 국내법으로 편입, 보험사들이 이를 보험상품 설계와 리스크 평가에 참고할 수 있는 근거가 마련된 것이다.
특히 사이버보안 관리체계 인증제가 법령에 명시되면서, 앞으로는 인증 이행 수준, 보안관리 체계, OTA 이력 등이 요율·보장구조 설계의 핵심 지표로 활용될 수 있다는 전망이 나온다. 예를 들면 인증을 성실히 이행한 제작사 또는 차량에 대해 보험료 우대나 보장 강화 전략이 가능하고, 반대로 인증 취소·미이행 시 인수 기준을 강화하는 차별화된 접근도 검토할 수 있게 된다.
OTA 업데이트 이력 또한 보험사 입장에서 중요한 요소다. 업데이트 상태는 사고 당시 차량 소프트웨어 기능이 정상적으로 동작했는지 여부를 판단하는 핵심 자료로, 법령과 고시가 정한 자료 제출·보완 의무는 사고 원인 규명 과정에서 실질적인 참고 근거가 될 수 있다.
다만 보험업계는 제도 변화에도 불구하고 해결해야 할 구조적 과제는 여전히 남아 있다고 본다. 대표적으로 사고 발생 시 책임 주체 명확화 문제가 있다. 자율주행 환경에서는 운전자 외에도 차량 제조사, 소프트웨어 공급자, 통신 사업자, 운행관리 사업자 등 다양한 주체가 사고에 영향을 미칠 수 있다. 이에 따라 사고 유형별 책임 분담 구조를 보다 구체적으로 명확히 하는 법·제도 정비가 필요하다는 지적이다.
또 사고조사를 위한 데이터 접근권 문제 역시 지속적인 과제로 꼽힌다. 현재는 개인정보보호법·자동차손해배상보장법 등의 영향으로 차량운행기록·영상데이터 등 핵심 자료를 충분히 확보하기 어려운 구조가 존재한다. 이에 보험업계는 자율주행차에 운행기록장치(EDR) 장착을 의무화하고 사고 조사나 책임 판정, 보험금 지급을 위한 목적에 한해 데이터를 활용할 수 있도록 법적 근거를 마련할 필요가 있다고 강조한다.
