제조업이 해커들의 먹잇감으로 떠오르고 있다.
4차 산업혁명의 물결을 타고 디지털로 전환하는 스마트팩토리가 급증하면서 보안에 틈이 생기고 있기 때문이다. 제조업 특성상 생산이 중단될 경우 납기 지연에 따른 피해가 막대하기 때문에 일단 해킹을 당하면 근본적인 문제를 해결하기보다는 해커들에게 ‘몸값’을 지불하고 위기를 넘기는 경우가 많다. 특히 부품 등을 생산하는 기업들은 해킹 피해를 입었다는 소식이 알려지면 브랜드 이미지에 타격을 받는 것은 물론 납품처까지 잃을 수 있다. 해커들은 이 같은 제조업의 약점을 노려 최근 집중적으로 공격하고 있는 것이다.
6일 보안 업체 ADT캡스에 따르면 올 상반기 국내에서 발생한 해킹 사고에서 제조업 비중은 29.5%로 지난해(16.8%)에 비해 2배 가까이 늘었다. 글로벌로 시야를 넓히면 제조업 피해는 더욱 심각하다. 글로벌 시장에서 제조업의 해킹 피해 비중이 지난 2019년에는 9%로 모든 업종 중 4위 수준이었지만 지난해에는 24.4%로 폭증하며 단숨에 1위로 올라섰다. 올 상반기에도 제조업의 해킹 피해 비중은 19.7%로 1위에 올라 있다.
전문가들은 최근 공장 운영 시스템 등을 스마트팩토리로 바꾸는 디지털 전환이 급속히 진행되면서 보안에 틈이 생겼다고 분석한다. 실제 국내 제조업의 디지털 전환 속도는 매우 빠르다. 중소벤처기업부에 따르면 지난해까지 국내에 보급된 스마트팩토리는 1만 9,799개로 목표치(1만 7,800개)를 초과 달성했다. 정부는 올해 스마트팩토리를 2만 3,800개로 늘리고 내년에는 3만 개까지 확대할 방침이다.
스마트팩토리로 전환하면서 발생할 수 있는 보안 문제는 바로 외부와의 연결망이다. 과거에는 공장 내 설비 및 공정을 담당하는 운영기술(OT)과 산업제어시스템(ICS) 등이 외부망과 연결되지 않은 ‘폐쇄망’으로 운영됐다. 하지만 스마트팩토리로 전환하면서 OT·ICS 영역이 외부망과 연결되는 경우가 많아졌다. 스마트팩토리와 외부망의 연결 지점이 해커들의 집중 공격 대상이 된 것이다. 문병기 ADT캡스 인포섹 하이테크사업그룹장은 “스마트팩토리는 빅데이터와 인공지능(AI) 등을 활용해 생산성과 효율성을 높일 수 있는 시스템을 구축하기 때문에 공장망이 외부망과 연결돼 운영된다”며 “특히 무선통신망을 사용할 경우 무선통신의 취약점을 이용한 해킹 위험은 매우 높다”고 말했다. 이에 따라 중요한 시설은 여전히 폐쇄망으로 구축하는 경우가 많지만 전문가들은 폐쇄망 역시 해커들의 공격을 완전히 피하기는 어렵다고 지적한다. 문종현 이스트시큐리티 ESRC센터장은 “폐쇄망을 유지한다고 해도 USB 등 저장 매체나 악성 코드를 통한 해킹은 여전히 가능하다”며 “사람들이 불편하다는 이유로 임의로 외부 업무망과 연결을 시도하는 사례도 상당히 많아 구멍이 여기저기 뚫린다”고 말했다. 실제 2018년에 벌어진 대만 TSMC 반도체 공장 해킹 사건도 생산설비 소프트웨어를 업그레이드하는 과정에서 악성 코드가 들어 있는 USB를 사용한 것이 원인으로 밝혀졌다.
제조업 경쟁력을 높이기 위해 디지털 전환이 불가피하지만 보안 수준은 해커들을 막기에는 역부족인 곳들이 대부분이다. 가장 큰 이유는 보안에 대한 부족한 인식이 꼽힌다. 국내 제조 업체들은 해킹 피해 사실이 노출되는 것을 극도로 꺼린다. 해외에서는 대만의 TSMC, 일본의 혼다 등 해킹 피해로 인해 공장 가동을 중단해야 했던 여러 사례가 알려졌지만 유독 국내에서는 찾아보기 힘들다. 보안 업계의 한 관계자는 “현장에 나가보면 해킹 공격을 당한 사실이 외부로 알려져봤자 회사 이미지만 나빠지니 차라리 공장을 며칠간 닫는 게 낫다는 말을 심심치 않게 한다”면서 “국내에서도 공장 가동 중단 사례가 지속적으로 발생하고 있지만 알려지지만 않고 있을 뿐”이라고 전했다. 보안 전문가들은 이 같은 정보 비대칭이 ‘안전 불감증’으로 이어질 수 있다는 점을 우려한다. 마치 우리나라가 해킹 공격으로부터 안전하다는 잘못된 인식을 갖게 할 수 있다는 것이다. 문 센터장은 “우리나라는 인터넷도 빠르고 정보 통신 인프라가 잘 깔려 있어 해커들이 활동하기에 최적의 환경”이라면서 “하지만 피해 사례가 공유되지 않다 보니 일반인들은 물론 기업들도 해킹 피해는 남의 일로 치부하는 경향이 크다”고 지적했다.
보안을 강화해야 한다는 인식이 부족하다 보니 보안에 대한 투자 역시 인색하다. 중소 제조 업체들은 물론 중견 기업들도 OT 보안 전담 조직을 갖추지 않은 곳이 대부분이다. 문 그룹장은 “기업마다 정보기술(IT) 보안을 전담하는 조직이 있는 것처럼 OT 보안만을 전담하는 조직과 체계를 갖춰야 한다”며 “보안을 담당하는 인력을 운영하는 투자도 없이 어떻게 보안을 강화할 수 있겠느냐”고 말했다.
공장 운영체제(OS)가 심각하게 노후화됐지만 교체하려는 의지도 약하다. 제조 기업들은 생산 장비를 한 번 마련하면 통상 15~20년을 사용한다. 자사 전용 규격 장비를 사용하는 경우가 많다 보니 가격이 비싸고 교체하기도 까다롭기 때문이다. 하지만 장비가 오래되면 당연히 내장된 OS도 노후화되고 해커들에게는 손쉬운 먹잇감이 된다. 실제 ADT캡스에 따르면 ??OT·ICS 보안 취약점은 ‘산업 제어 장비(32.6%)’와 ‘산업 제어용 소프트웨어(20.4%)’에 집중돼 있다. 보안 업계 관계자는 “공장 현장에 나가보면 아직까지도 ‘윈도95’ 등 20년이 넘은 OS를 쓰는 경우를 흔히 목격할 수 있다”며 “신규 OS로 바꿔야 보안을 강화할 수 있다고 조언하기는 하지만 대부분의 업체들이 생산 차질 및 장비와의 호환성을 이유로 권고를 받아들이지 않는다”고 전했다.
정부 역시 스마트팩토리 숫자 확대에만 관심이 있을 뿐 보안은 소홀히 하고 있다는 분석도 나온다. 실제 중기부가 2019년부터 시행하고 있는 ‘스마트공장 수준확인제도’는 총 44개의 평가 항목으로 이뤄져 있지만 이 중 보안과 관련된 항목은 단 1개에 불과하다. 중기부 관계자는 “스마트팩토리 보급에 집중하느라 제도 개선을 크게 신경 쓰지 못한 게 사실”이라며 “자체적으로라도 별도의 보안 진단 및 기술 보호 체크리스트를 만들어 배포하는 방안을 고려하고 있다”고 말했다. 문 그룹장은 “기업들이 OT 보안에 소홀한 가장 큰 이유는 OT 보안 관련 법·규제가 없는 데 있다”며 “정부 차원에서 스마트공장 보안 책임자 지정을 의무화하거나 보안에 소요되는 예산을 적정 수준 이상으로 규제하는 등의 조치를 취할 필요가 있다”고 제안했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
downright@sedaily.com
