스마트공장 보안 설계가 시급하다. 스마트공장은 기존 제조업 생산 과정에 ICT를 융합한 지능형 자율 생상 공장이다.
한국인터넷진흥원은 2016년 관계부처와 함께 국내 주요 대기업 공장 10개를 포함한 50개 제조공장을 대상으로 정보보호 관리 실태를 조사했다. 이 결과 중소기업 제조공장은 정보보호 전담부서가 없는 곳이 전체의 80.5%에 달했다. 정보보호시스템 접근권한 이력관리 부재(75.6%), 중요 생산정보 접속기록관리 절차 부재(58.5%) 등 보안이 미흡했다.
중소기업이 제조에 ICT를 접목하면 공정 노하우, 제품 설계도, 영업기밀, 고객 요구사항 분석 자료, 연구개발 성과물 등 중요 정보를 활용해야 한다. 스마트공장은 제품 생산 전 과정에 걸쳐 중요정보가 저장, 보관, 활용된다. 중요 정보를 제대로 통제하지 못하거나 부정사용, 불법 유출 징후를 포착하지 못하면 첨단 기술과 노하우가 유출된다.
기존에 수동으로 제어하던 공장은 업무 담당자의 악의적 정보 유출 외에 다른 보안 위협이 없다. ICT를 접목해 공장 내 시스템을 원격 제어하거나 모니터링하면 무선 통신 보안 취약점을 악용한 정보 유출 위협이 발생한다. 이동형 저장매체와 중요정보 접근제어 시스템이 없는 공장 제어시스템은 UBS 등 외부 매체를 연결해 정보를 유출할 수 있다.
공장 제어 시스템에 안티바이러스 솔루션이 없고 패치가 관리되지 않으면 악성코드에 감염된다. 실제로 절반 이상 공장 제어시스템이 주기적으로 보안 업데이트를 하지 않았다. 공장 제어장비가 365일 24시간 쉼 없이 가동되는 경우가 많아 패치할 시간이 없거나 장비 오류 등의 이유로 업데이트를 하지 않았다. 공장 내 윈도XP, 윈도 서버2003 등 공식 유지보수 지원이 종료된 노후 운용체계(OS)를 사용해 보안 위협이 높다.
매각이나 폐기된 자산과 출력물을 완전히 삭제하고 파기 하지 않으면 의도치 않게 정보가 복구돼 피해를 입는다.
한국인터넷진흥원 융합보안진흥팀 관계자는 “스마트공장에서 중요정보를 관리하는 전담 정보보호조직을 구성해야 한다”면서 “스마트공장 제품 도면, 청사진, 공정 제어용 설정 값, 생산자와 고객 정보, 내부 보고서, 전략 문건 등에 보안 등급을 부여하고 보관 시 암호화해야 한다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com