
Nvidia와 연계된 중국 라이다(Lidar) 제조사, 미국의 사이버 리스크로 지목되다
요약
미 국방부가 Hesai Technology를 국가 안보 위협으로 지정하며 블랙리스트에 올렸으나, Nvidia와의 파트너십을 통해 자율주행 시장 내 영향력은 지속되고 있습니다. 중국산 라이다의 사이버 보안 리스크 논란 속에서도 Hesai의 센서는 글로벌 자율주행 생태계에 깊숙이 통합되어 있습니다.
핵심 포인트
- 미 국방부, Hesai를 중국 군사 기업으로 지정하여 블랙리스트 등재
- 중국산 라이다의 데이터 백도어 및 사이버 보안 위협 우려 제기
- Hesai와 Nvidia의 파트너십을 통해 자율주행 플랫폼 내 채택 지속
- 자율주행 및 로보틱스 분야에서 Hesai의 글로벌 시장 지배력 확인

공장 바닥의 로봇들. 라스베이거스 스트립 위의 자율주행 차량들. 심지어 인간의 가장 친한 친구를 대체하는 로봇 개까지.
이들은 모두 첨단 기술이면서도 저렴한 라이다 (Lidar)에 의존하는 물리적 인공지능 (Physical AI) 구축의 일부입니다. 라이다는 이러한 기술들이 주변 환경을 볼 수 있게 해주는 핵심 센서입니다.
그리고 이 구축의 중심에는 Hesai Technology가 있습니다. 상하이에 본사를 둔 이 라이다 제조사는 2024년 미국 국방부 (Department of Defense)로부터 Hesai를 중국 군사 기업으로 지정하며 국가 안보 위협으로 블랙리스트에 올렸습니다. 이 블랙리스트로 인해 Hesai와 목록에 포함된 다른 187개 기업 및 자회사가 펜타곤 (Pentagon) 계약을 따내는 것은 차단되었지만, 비군사적 용도로 이 제품들을 사용하는 것은 불법이 아닙니다. Hesai가 블랙리스트에 올라 있다고 해서 미국 기업들이 Hesai의 기술을 사용하는 것이 금지되는 것은 아닙니다.
정부 관계자들과 보안 전문가들은 중국산 라이다의 사용이 이 새로운 핵심 인프라를 잠재적으로 심각한 결과를 초래할 수 있는 사이버 위협 (Cyberthreats)에 노출시킬 수 있으며, 베이징이 라이다 기술을 통해 수집된 민감한 데이터에 접근하는 백도어 (Backdoor)가 될 수 있다고 말합니다.
Hesai의 공동 창립자이자 CEO인 David Li는 자신의 회사가 위협이 된다는 서사는 허구라고 말합니다.
"DOD (국방부) 사례의 경우, 충분한 증거가 있다고 느끼지 않으며 논리적이지도 않습니다."라고 Li는 말했습니다. "우리는 그 점에 대해 좌절감을 느낍니다."
블랙리스트 지정에 관한 첫 번째 심층 인터뷰에서, Li는 자사의 기술이 국가 안보 리스크를 초래하거나 중국 정부가 데이터를 수집하는 데 사용될 수 있다는 혐의에 대해 회사를 방어했습니다.
연방 블랙리스트 지정에도 불구하고 Hesai의 영향력은 커지고 있습니다. Hesai와 Nvidia 간의 확장된 파트너십에 따라, Hesai의 센서는 자동차 제조사들이 Nvidia의 자율주행 차량 플랫폼에 통합하기 위해 선택할 수 있는 옵션 중 하나가 될 것입니다. Nvidia는 이 플랫폼이 자율주행 차량 혁명을 이끌기를 기대하고 있습니다.
"우리의 비전은 언젠가 모든 자동차, 모든 트럭이 자율주행하게 되는 것입니다. 그리고 우리는 그 미래를 향해 노력해 왔습니다,"라고 Nvidia의 CEO Jensen Huang는 확장된 파트너십이 발표되었던 지난 1월 Consumer Electronics Show (CES) 기조 연설에서 말했습니다.
Huang는 자율주행 자동차를 포함하는 로보틱스 (Robotics)가 인공지능 (AI) 다음으로 회사의 두 번째로 중요한 성장 카테고리라고 언급해 왔습니다. Nvidia의 최신 연례 보고서에 따르면, 자율주행 플랫폼의 채택에 힘입어 2026 회계연도 자동차 부문 매출은 전년 대비 39% 증가했다고 보고되었습니다.
Hesai는 글로벌 자율주행 기술 생태계에서 지배적인 공급업체 중 하나입니다. 이들의 센서는 Nvidia의 시스템뿐만 아니라 Amazon의 로보택시 (Robotaxi) 기업인 Zoox, Waabi 및 Kodiak과 같은 자율주행 트럭 기업, 자율주행 차량 기술 기업인 Nuro, 그리고 농업 자동화 기업인 Agtonomy의 여러 자율주행 시스템에 통합되어 있습니다. 또한 이 센서들은 뉴욕의 John F. Kennedy 국제공항에서 보안 검문소와 게이트 입구의 승객 및 교통 흐름을 모니터링하는 데 사용되며, 심지어 자율주행 잔디깎이에서도 찾아볼 수 있습니다.
모든 사람이 이러한 데이터 수집 센서가 미국의 자율주행 시스템에 통합되어야 한다는 점에 동의하는 것은 아닙니다.
Craig Singleton은 중국 정부에 비판적인 것으로 알려진 워싱턴 소재의 보수적 싱크탱크인 민주주의 수호 재단 (Foundation for Defense of Democracies)의 China Program 시니어 디렉터입니다. 그의 연구는 중국산 센서가 미국의 시스템에서 작동할 때 보안 리스크가 존재한다는 결론을 내렸으며, 여기에는 라이다 (Lidar) 센서가 중국 정부로 하여금 "민감한 미국의 데이터에 접근하거나 중요한 운영을 방해"할 수 있게 할 수 있다는 점이 포함됩니다.
Lidar(라이다) —
미국 기업들은 이전에 블랙리스트에 오른 엔티티(entities)의 기술이라 할지라도 저렴한 중국 기술을 수용해 왔으나, 이후 해당 제품들이 국가 안보 우려를 일으키면서 이를 교체하는 데 수십억 달러를 지출해야 했습니다.
예를 들어, 중국의 통신 거대 기업인 Huawei는 2021년에 국방부(Defense Department)의 블랙리스트에 올랐지만, 그렇다고 해서 미국 기업들이 Huawei 제품을 사용하는 것을 막지는 못했습니다. 2020년에 Huawei를 "국가 안보 위협"으로 지정했던 연방통신위원회(FCC)는 2021년 7월부터 미국 기업들이 네트워크에서 Huawei 제품을 "뜯어내고 교체(rip and replace)"하도록 강제했습니다. Huawei는 연방 계약 체결을 금지한 결정과 FCC의 국가 안보 위협 지정 모두에 대해 법적 대응을 했으나, 두 사건 모두에서 패소했습니다.
Huawei와 마찬가지로, 다른 중국 기업들도 그 제품들이 미국의 가정과 기업에 침투한 이후에야 국방부에 의해 국가 안보 리스크로 판명되었습니다.
세계 최대의 드론 제조사인 선전(Shenzhen) 기반의 DJI와 Wi-Fi 라우터 제조사인 TP-Link 모두 인기 있는 소비자 제품을 판매해 왔습니다. DJI는 중국 정부와의 연관성으로 인해 2022년 펜타곤(Pentagon)에 의해 블랙리스트에 올랐으며, TP-Link는 6월에 명단에 추가되었습니다.
DJI는 블랙리스트에서 제외되기 위해 2024년 국방부를 상대로 소송을 제기했으나, 연방 판사는 해당 기업이 중국의 국방 산업 기반에 기여한다는 "실질적인 증거(substantial evidence)"가 있다고 판결했습니다. DJI는 이 결정에 대해 항소 중입니다.
미국 내에서 라이다(Lidar) 센서를 상업적으로 자유롭게 판매할 수 있는 Hesai와 달리, 12월의 별도 FCC 결정은 국가 안보 리스크를 이유로 DJI가 미국 소비자들에게 신제품을 판매하는 것을 금지했습니다. 다만 기존 모델의 사용은 합법적으로 유지됩니다.
TP-Link 또한 외국산 라우터가 "미국의 국가 안보에 수용 불가능한 리스크"를 초래한다고 FCC가 판단함에 따라 신규 모델 판매가 금지되었습니다.
외국산 라이다 (Lidar) 센서를 둘러싼 국가 안보 우려 또한 이러한 장치들이 초래할 수 있는 잠재적 위험에 대한 학술적 연구를 촉발했습니다.
라이다 (Lidar) 센서의 취약성을 연구하는 Duke University의 Miroslav Pajic 교수는 CNBC와의 인터뷰에서 "라이다 (Lidar)를 물리적으로 스푸핑 (Spoofing)하는 것은 쉽다"라고 말했습니다.
Pajic 교수는 생산 과정 중 공장에서 삽입된 악성 코드 (Malware)나 펌웨어 (Firmware) 업데이트를 통해 어떤 라이다 (Lidar) 센서든 침해될 수 있다고 설명했습니다. 자동차 제조사 및 기타 제조업체들은 일반적으로 라이다 (Lidar) 제조사의 독점적인 소스 코드 (Source code)에 접근할 수 없고, 악성 코드 (Malware)가 트리거될 때까지 휴면 상태로 남아 있을 수 있기 때문에 이를 탐지하기가 어려울 수 있습니다.
Pajic 교수는 Duke University 내 자신의 연구실에서 그러한 공격 중 하나를 시연했습니다.
라이다 (Lidar) 센서의 포인트 클라우드 (Point cloud) 이미지를 보여주는 컴퓨터 모니터 상에서, 센서가 포착하고 있는 방의 모습은 예상했던 대로 나타났습니다. 센서는 주변 환경을 실시간으로 매핑 (Mapping)하여 공간의 3D 이미지를 생성하고 있었습니다.
하지만 Pajic 교수가 라이다 (Lidar) 유닛에 내장된 악성 코드 (Malware)를 활성화하자, 센서의 포인트 클라우드 (Point cloud)에 한 사람이 나타났습니다. 실제로는 아무도 방에 들어오지 않은 상태였습니다.
시스템이 유령 인물(Phantom person), 즉 조작된 센서 데이터를 통해 완전히 만들어진 허위 객체를 생성한 것입니다.
Pajic 교수의 연구실은 이와 반대되는 효과를 내는 시연도 진행했습니다. 바로 라이다 (Lidar) 데이터를 조작하여 센서의 시야에서 실제 객체를 제거하는 것입니다. 그러한 시나리오에서는 자율 주행 시스템이 물리적으로 존재하는 보행자, 차량 또는 장애물을 감지하지 못할 수 있습니다.
Pajic 교수는 이론적으로 도시에서 운행되는 자율 주행 차량 함대 (Autonomous vehicle fleets)를 대상으로 유사한 공격을 가해 오작동을 일으킬 수 있다고 말했습니다.
시뮬레이션에 대한 질문에 Li는 실험실 환경에서는 취약하도록 시스템을 설계할 수 있다고 말했습니다.
하지만 오작동의 위험은 단지 이론에 그치지 않습니다.
미국의 라이다 (Lidar) 경쟁사들을 포함하여 업계 기업들을 대표하는 무인 시스템 국제 협회 (Association for Uncrewed Vehicle Systems International)의 CEO인 Michael Robbins는, 2024년에 Hesai가 모든 라이다 (Lidar) 센서에 펌웨어 (firmware) 업데이트를 배포했다고 말했습니다. 해당 펌웨어는 2024년이 윤년 (leap year)이라는 점을 고려하지 않았고, 그 결과 2월 29일에 Hesai의 모든 라이다 (Lidar) 센서가 작동을 멈췄습니다.
"그 경우에는 실수였지만, 미국 내에서 사용 중인 모든 라이다 (Lidar)를 꺼버리거나 우리에게 악의적인 방식으로 사용될 수 있도록 의도적으로 수행될 수도 있습니다."라고 Robbins는 말했습니다.
자율 주행 차량 전반에 걸친 소프트웨어 (software) 오류의 가능성은 광범위하지만, 미국 전역의 자동차에 적용되고 있다는 점을 고려할 때 라이다 (Lidar) 시스템의 오류는 매우 심각합니다.
Li는 윤년 사건의 경우 펌웨어 (firmware) 내에 간과된 코딩 버그 (coding bug)가 있었던 것이지, 악성 코드 (malware)는 아니었다고 말했습니다. 그는 Hesai가 모든 펌웨어 (firmware)를 오픈 소스 (open source) 데이터로 공개하기 때문에 공개적으로 분석될 수 있다고 덧붙였습니다. Hesai는 CNBC에 보낸 성명을 통해 해당 문제가 24시간 이내에 해결되었다고 밝혔습니다.
"우리는 이것이 정확히 무엇을 할 수 있는지에 대해 투명성을 확보하고 있습니다."라고 그는 말했습니다.
Li는 또한 자율 주행 시스템이 라이다 (Lidar) 결함을 보완할 수 있는 카메라 (camera) 및 레이더 (radar) 시스템과 같은 다른 센서들과 함께 설계된다고 말했습니다.
"만약 이 중 어느 하나라도 멈춘다면, 자동차는 경로를 계속 진행하기에 충분히 안전한지 아니면 길가에 차를 세워야 하는지를 알기 위해 상황을 재평가해야 할 것입니다."라고 그는 말했습니다.
Hesai의 센서는 제품 테스트, 안전 검증 및 사이버 보안 (cybersecurity) 평가를 전문으로 하는 독립적인 제3자 기업인 Tüv Rheinland 및 Dekra가 설정한 표준을 충족했습니다.
Nasdaq와 홍콩 증권거래소에 모두 상장되어 있는 Hesai는 세계 최대의 라이다 (Lidar) 제조업체 중 하나입니다. 이 회사는 CNBC에 보낸 성명에서 전 세계 자동차용 라이다 (Lidar) 시장의 3분의 1을 점유하고 있다고 밝혔습니다.
또한 자율 주행 (Autonomous driving)은 거대한 글로벌 시장이 될 것으로 전망됩니다. McKinsey & Company는 자율 주행의 시장 잠재력이 2035년까지 약 3,000억 달러에서 4,000억 달러에 달할 것으로 추정합니다.
미국 자율 주행 생태계 내에서 Hesai의 발자취는 계속해서 커지고 있습니다.
CNBC는 Hesai의 미국 파트너사들에게 해당 기업과의 관계에 대해 문의했습니다.
CNBC는 Nvidia에 10여 개 이상의 질문을 던졌으며, 여기에는 Hesai가 펜타곤 (Pentagon)에 의해 블랙리스트에 올랐다는 사실을 인지하고 있는지, 그리고 센서가 수집하는 데이터를 보호하기 위해 어떤 안전장치가 마련되어 있는지 등이 포함되었습니다.
Nvidia는 CNBC의 구체적인 질문에 답변하지 않고 대신 다음과 같은 성명을 발표했습니다:
"전 세계 자동차 제조사들은 가장 안전한 자동차를 만들기 위해 자신들이 서비스하는 시장에 가장 적합한 부품을 선택할 수 있도록, 개방적이고 특정 벤더에 종속되지 않는 (vendor-agnostic) 참조 아키텍처 (reference architecture)를 요구합니다. 우리의 NVIDIA DRIVE Hyperion 아키텍처는 그러한 유연성을 제공하며, 모든 규제 및 상업적 요구 사항을 준수하면서 미국 산업이 전 세계적으로 경쟁할 수 있도록 보장합니다."
Kodiak는 성명을 통해 자사의 기술이 "Hesai가 자사 센서의 데이터나 Kodiak의 자율 주행 시스템에 의해 생성된 어떠한 데이터에도 접근할 수 없도록" 설계되었다고 밝혔습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 CNBC Technology의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기