유럽에서 드러난 중국산 전기버스의 보안 구멍 — 한국에 던지는 경고

유럽에서 드러난 중국산 전기버스의 보안 구멍 — 한국에 던지는 경고

728x90

728x90

---

최근 북유럽에서 중국산 전기버스를 둘러싼 보안·안보 리스크가 표면화되고 있습니다. 도시교통의 저탄소 전환이라는 명목으로 각국이 적극 도입해 온 전기버스가, 한순간에 ‘공공 인프라의 취약점’으로 전락할 가능성이 제기된 상황입니다. 특히 중국의 버스 제조사인 Zhengzhou Yutong Group Co., Ltd.(이하 Yutong)가 유럽 시장에 대량 수출한 전기버스에서, 차량의 각종 제어시스템이 원격 접근 가능하다는 조사 결과가 발표되어 파장이 커지고 있습니다. 본 글에서는 북유럽의 사례를 중심으로 문제의 본질을 살펴보고, 우리나라 시장에 주는 시사점을 깊이 있게 정리합니다.

---

문제의 발견과 배경

유럽 도입 배경

전기버스는 탄소 배출을 줄이기 위한 도시교통의 핵심 수단으로 주목받아 왔습니다. 그 가운데 중국산 전기버스는 가격 경쟁력과 수출 촉진 정책 덕분에 유럽을 비롯한 글로벌 시장에서 빠르게 확대세를 보였습니다. Yutong 또한 유럽 시장 진출·점유율 확대에 있어서 중요한 위치를 차지해 왔습니다. 

보안 리스크의 발견

노르웨이의 대중교통 운영사 Ruter는 Yutong 전기버스를 대상으로 오프라인 환경(외부 신호가 차단된 상태)에서 보안 테스트를 진행했습니다. 그 결과, 이 차량들이 외부 제조사 또는 외부 통신망을 통해 원격으로 접속 가능하다는 의심이 제기됐습니다. 

구체적으로는 Yutong 버스들에 SIM 카드가 내장되어 있었고, 이를 통해 원격 소프트웨어 업데이트뿐 아니라 배터리·전원 제어 시스템까지 접근 가능하다는 가능성이 언급됐습니다.

이로 인해 노르웨이 측은 “이론상 제조사에 의해 운행이 정지되거나 작동불가 상태가 될 수 있다”는 경고를 내놓았습니다. 

한편, 덴마크에서는 최대 운수회사인 Movia와 민방위 및 비상관리청 Samsik(Danish Agency for Civil Protection and Emergency Management)이 비슷한 문제를 인지하고 조사를 확대하고 있는 상태입니다. 

---

왜 문제가 되는가?

공공 인프라로서의 버스

버스는 단순히 이동 수단이 아닙니다. 도심의 핵심 인프라이며, 정해진 노선과 일정으로 수많은 시민이 이용합니다. 이러한 시스템이 특정 국가 또는 제조사에 지나치게 의존하게 된다면, 여러 종류의 리스크가 동시다발적으로 나타날 수 있습니다.

원격 제어 가능성 = 잠재적 위협

차량 내부 시스템이 원격 접근 가능하다는 구조적 설계는 단순 오류의 수준을 넘어 안보적 위협으로 해석될 수 있습니다. 예컨대 제조사가 원격으로 차량 운행을 정지시키거나 주요 기능을 제한할 수 있는 가능성이 존재합니다. 노르웨이 측은 차량 내부 통신망이 외부와 연결돼 있어 “이론상 제조사에 의해 버스를 정지시키거나 사용불능 상태로 만들 수 있다”고 평가했습니다.

또한, 원격 업데이트 및 인터넷 연결 기능 등이 포함된 차량은 해킹의 표적이 되기 쉽습니다. 차량 내 네트워크가 외부 공격에 노출되면 제어권 탈취, 정보 유출, 운행 마비 등으로 이어질 수 있습니다.

지정학적·공급망 리스크

중국산 제품이 이러한 제어·통신 기능을 포함하고 있다는 사실은 유럽 국가들로 하여금 제조사·제조국가와의 안보·기술협력 관계를 재점검하게 만들고 있습니다. 노르웨이 교통부장관은 “우리는 안보 협력과 관련 없는 국가의 버스 도입 위험을 평가하겠다”고 발표했습니다. 

한국을 포함해 여러 나라가 저가의 중국산 전기버스를 대량 도입해 온 상황에서, 동일한 구조적 취약점이 존재할 가능성이 제기됩니다.

---

한국 시장에 주는 시사점

중국산 전기버스의 급속한 확산

한국에서도 전기버스의 수입·도입량 통계를 보면, 2017년부터 2025년 중반까지 중국산 전기버스의 수입 및 도입량이 상당한 규모에 달했습니다. 중량기준으로 약 63,121톤에 이르며, 이는 12톤급 중형 버스 기준으로 추정하면 5,000대 이상일 가능성도 있다는 분석이 있습니다.

반면 국내산 버스의 수출은 매우 제한적이었고, 정부 보조금 체계도 국내산과 외산을 구별하지 않고 동일한 수준으로 지원해 온 것이 사실입니다. 이러한 체계는 국내 산업이 가격 경쟁에서 밀리게 된 구조적 원인으로 지적돼 왔습니다.

보조금 정책의 구조적 문제

중국 정부는 자국산 전기버스에 수천만 원~수억 원에 이르는 보조금을 지급해 가격 경쟁력을 확보해 왔습니다. 이에 대응해 우리 정부는 국내산과 외산을 동일시해 지원해 왔고, 그 결과 국내 산업이 가격 경쟁력 측면에서 뒤처지게 됐다는 비판이 있습니다. 예컨대 2025년 한 해 집행된 전기버스 보조금 가운데 약 36.8 %가 중국산 업체에게 흘러갔다는 보도도 있습니다.

보안 리스크에 대한 국가적 대응 미비

위에서 언급한 북유럽 국가들처럼, 한국 내에서는 현재 중국산 전기버스에 대한 보안·안보 관점의 평가가 공식적으로 활발히 다뤄지고 있지 않은 듯 보입니다. 만약 차량 내부 시스템이 원격 업데이트·진단 기능을 갖추고 있고, 제조사 혹은 외부 통신망을 통해 접근 가능한 구조라면 이는 단순한 ‘저가 수입품’ 수준을 넘어 공공교통 인프라의 취약점으로 다시 보아야 합니다.

구체적 기술적 쟁점

• OTA(Over-The-Air) 업데이트 및 SIM 카드: Yutong 전기버스의 경우 SIM 카드가 내장돼 있었고, 이를 통해 원격으로 소프트웨어 업데이트 및 진단이 가능하다는 내부 테스트 결과가 나왔습니다. 
• 통신망·센서의 노출: 덴마크 사례에서 문제 시 된 부분은 단순히 원격 업데이트뿐만 아니라 버스 내부 인터넷 연결 시스템, 카메라·마이크·GPS 센서 등이 외부 망과 연결될 가능성이라는 점입니다. 이런 센서망이 해킹될 경우 운행 장애뿐 아니라 정보탈취까지 이어질 수 있다는 우려가 제기됐습니다.
• 공급망과 데이터 저장 위치: Yutong 측은 유럽에서 운행되는 자사 차량의 단말 데이터가 독일 프랑크푸르트의 아마존웹서비스(AWS) 데이터센터에 저장되며, 고객 동의 없이는 접근할 수 없고 EU 규정을 준수하고 있다는 입장을 밝혔습니다. 
  그러나 ‘데이터 저장 위치가 EU 내’라는 설명이 곧바로 접근 통제 및 제3국 통신망 문제를 완전히 해소하는 것은 아니라는 평가도 적지 않습니다.

---

북유럽 사례로부터의 교훈

도입 이전 보안·안보 평가의 중요성

Ruter는 이번 테스트를 통해 단순한 우려 단계에서 벗어나 ‘구체적 리스크 확인 단계’로 진입했습니다. 이 과정에서 향후 조달 시 보안 규정 강화 및 방화벽 개발을 계획하고 있습니다.
덴마크의 경우도 민방위 당국과 운수사가 협력해 보안취약점을 평가 중이며, 추가 기관과의 협업 여부를 논의하고 있습니다.

제조사-운영사-정부 간 협업 필요성

이 사안은 단순히 제조사 책임만이 아니라, 차량을 운행하는 운영사와 조달·관리하는 정부기관이 함께 관여해야 하는 복합적 문제입니다. 덴마크에서는 민방위 및 비상관리청이 운수사와 협력해 보안취약점을 조사하고 있으며, 제조사와 공급망에도 주의를 촉구하고 있습니다. 

기술적 기능이 곧 리스크일 수 있다

OTA 업데이트나 인터넷 연결 기능은 확실히 장점이 많습니다. 하지만 동시에 ‘원격 접근 가능성’이라는 리스크를 내포하고 있다는 것을 인지해야 합니다. OECD 국가뿐 아니라 한국도 이러한 인지 없이 기술을 받아들일 경우 사후 대응이 어렵습니다.

공공 인프라 도입 시 공급처 다변화 및 자립성 확보

특정 국가 또는 제조사에 지나치게 의존하게 되면 기술·데이터·제어권이 간접적으로 그 국가에 의존될 수 있습니다. 이는 단순한 교통수단이 아닌 '국가 시스템'으로서 버스를 바라볼 때 더욱 명확해집니다.

---

한국이 던져야 할 질문들

• 한국이 현재 도입해 운행 중인 중국산 전기버스(혹은 중국산 전자장치가 포함된 전기버스)들은 위에서 지적된 원격접속 가능성이나 인터넷 연결된 제어시스템을 갖고 있는지 점검된 바 있는가?
• 정부 보조금 정책이 ‘가격 경쟁력’ 중심으로 설계돼 있다면, 보안·안보 리스크를 평가하는 별도의 기준은 마련되어 있는가?
• 도입 차량의 데이터 저장 위치, 제어 통신 경로, 제조사 접근 권한 등에 대해 운영사·제조사·정부 간 계약상 명확히 통제하고 있는가?
• 국내 산업 보호 및 공공교통 자립성 측면에서 중국산 저가 전기버스 도입이 장기적으로 어떤 영향을 미칠 것인지 충분히 검토되었는가?

---

향후 대응 방향

• 한국에서도 지금이라도 중국산 전기버스 및 기타 ICT 집약적 교통수단에 대해 보안·안보 관점의 안전성 평가체계를 마련할 필요가 있습니다.
• 차량 도입 전 제조사 원격접근 권한, 통신망 구조, 데이터 저장 및 접근 권한, 업데이트 방식 등을 투명하게 검토하고 공개하는 것이 중요합니다.
• 보조금·지원 제도 설계 시 제조국가 및 보안 리스크를 고려해 외산·국산을 구분하거나, 보다 엄격한 조건을 부과하는 방안도 검토할 만합니다.
• 국내 산업 경쟁력을 확보하기 위해 전기버스 등 핵심 교통수단의 국내 개발·생산 역량을 강화하고, 수입품 의존도를 낮추는 전략이 병행되어야 합니다.
• 교통수단이 단순한 차량이 아니라 ‘운행 중단 시 사회서비스 붕괴로 이어질 수 있는 핵심 인프라’라는 인식하에, 보안체계·정책체계·공급망체계를 통합적으로 관리해야 합니다.

---

결론

북유럽에서 드러난 중국산 전기버스의 보안·원격제어 리스크는 결코 한 국가의 문제로만 끝나지 않습니다. 글로벌 공급망에 포함된 모든 국가와 운영사에게 경종을 울리는 사건입니다. 특히 저가 수입에 집중해 온 한국의 전기버스 시장에서는 이제 단순히 가격과 보조금만 고려할 것이 아니라, 기술·데이터·제어권·안보의 관점까지 아우르는 전략적 접근이 필수입니다. 지금도 늦지 않았습니다. 정밀한 검토와 정책 전환을 통해 시장을 재설계해야 합니다.