반도체는 스마트폰, 컴퓨터, 자동차, 가전제품 등 일상생활에서 필수적인 전자제품의 핵심 요소이며, 정보기술(IT) 산업 생태계의 기초를 형성하고 있다. 반도체 산업은 지속적으로 수요가 증가하고 있고, 고도의 기술력과 복잡한 공정을 요구하기에 글로벌 공급망에 대한 의존도가 매우 높은 산업이다.
따라서 각국에서는 자국 산업을 보호하기 위해 안정적인 글로벌 공급망을 확보하려는 노력을 기울이고 있다. 그 일환으로 최근 한·미 양국 반도체 산업협회는 반도체 공급망 협력 강화를 위한 양해각서(MOU)를 체결하며 본격적으로 논의를 시작했다. 이러한 논의 내용에는 반도체 공정 과정(설계, 생산, 유통)의 소재, 부품, 장비 확보뿐만 아니라 반도체 공급망의 글로벌화로 인한 사이버보안 위험관리 부문도 함께 포함돼 있다.
공급망이 글로벌화됨에 따라 각 제조공정을 처리하는 기업 내 특정 부분에서의 보안 위협이 전체 반도체 생태계의 안정성을 훼손할 수 있다. 특히 사이버 위협이 점차 고도화·지능화되는 상황에서 반도체 산업에서 차지하는 사이버 보안의 중요성은 매우 크다고 할 수 있다.
반도체 산업에서 글로벌 공급망의 안정적인 운영을 위해 고려해야 하는 사이버보안 요구사항은 크게 3가지로 요약할 수 있다.
첫째, 물리적 보안을 강화해야 한다. 반도체 관련 시설은 고도의 기술과 정밀함이 요구되기 때문에 제조 공정상 물리적인 침입에 따른 기술 유출, 기기 손상에 따른 손실 등은 해당 기업에만 영향을 주는 것이 아니라 반도체 공급망 전반에 걸쳐 영향을 끼칠 수 있다.
둘째, 사이버 위협에 대한 기술적 대비를 강화해야 한다. 네트워크 해킹, 피싱, 악성코드, 서비스거부 공격 등 반도체 제조공정에 대한 외부의 사이버 위협은 반도체 생산에 차질을 줄 수 있으며, 반도체 제조에 사용되는 소프트웨어(SW)에 대한 취약점을 악용한 공격 등은 반도체 설계의 무결성에도 영향을 줄 수 있다.
셋째, 글로벌 공급망을 구성하는 국가, 기업의 보안 신뢰도가 동등한 또는 유사한 수준으로 유지돼야 한다. 공급망 체인에서 하나의 약한 고리는 전체 체인의 강도를 약화시킬 수 있기 때문이다.
결국 사이버 위협은 그 목적이 무엇이든 간에 반도체 생태계 전반에 악영향을 줄 수 있다. 특히나 반도체 제조 전 공정을 통해 사이버보안 신뢰도가 확보되지 못한다면 반도체가 들어가는 일상생활 필수 제품들의 보안 신뢰도 역시 확보할 수 없어 사용자도 위험에 노출 될 수밖에 없다.
글로벌 공급망 구축에 가장 선행돼야 할 보안 신뢰도를 높이기 위해서는 우선 글로벌 공급망의 사이버보안 분야 가이드라인을 시급히 구축해야 한다. 그리고 위험관리 프로세스를 적용해 글로벌 공급망의 위험을 분석하고 낮추기 위한 기술적, 관리적 노력을 기울여야 한다. 이를 위해서는 ISMS-P, ISO27001과 같은 보안인증이 도움이 될 수 있다. 마지막으로 지능화, 고도화되는 새로운 위협에 대한 대응력 강화를 위해 국가 차원에서 사이버보안 원천기술 연구개발에 대한 지속적인 투자가 필요하다.
원천기술 개발을 위한 투자는 중장기적 측면에서 첨단 보안기술을 활용해 글로벌 공급망을 구성하는 각 조직의 보안 신뢰도를 향상시켜 반도체 생태계 전체의 보안 신뢰도를 높이며, 나아가 국가경쟁력 강화를 통해 글로벌 공급망 시장에서 우위를 선점할 수 있는 기회도 제공할 것이다.
최상용 한국폴리텍대학대전캠퍼스 클라우드보안과 교수 spikechoi@kopo.ac.kr