기술적 요소 못지않게 중요한 건 ‘보안' 인식 갖춰야
중소기업 실정 고려한 ‘최소보안요구사항’ 등 만들어야

4차 산업이 발전함과 더불어 보안은 보완되어야 할 사항이자 당면과제다. 산업 발전의 중요성은 정부의 ‘스마트제조혁신 비전 2025’와 기업들의 자동화 추진이 중요성을 나타낸다. 하지만 현재 스마트 공장의 질적인 측면보다는 맹목적인 도입과 정략적인 점에만 초점을 맞추고 있다.

건국대학교 정보보호대학원 한근희 교수는 “국내외 사례를 통해 보안에 대한 중요성은 이미 강조되었으며 스마트공장에 따른 정보보안 대책이 필요하고 그 시작점은 기술력은 물론 보안에 관한 사람들의 인지적 차원이 선행되어야 한다”라고 말했다. 인터뷰를 통해 보안은 왜 중요하고 우리에게 필요한 점은 무엇이며 어떠한 자세로 대처해야 하는지 현황과 여러 사례를 통해 이야기를 나눴다.


- 보안에 대한 중요성을 많은 기업이 인지하고 있다. 조금 더 명확히 보안의 필요성에 관해 설명을 해줄 수 있나?
보안을 지키지 않아 생겨난 사고 사례를 보면 이에 대한 중요성을 가장 나타낼 수 있을 것 같다. 제조 현장에서 기기들이 실수 때문에 오동작이 일어나거나 고의로 악성코드를 심거나 취약성을 틈타 공격함으로써 정상적인 작동을 멈추게 하는 경우가 많다. 제조 분야는 PLC, 센서, 엑츄에이터 등 설비가 해킹으로 인해 오동작이 발생하면 막대한 손실은 물론 인적 사고로도 이어질 수 있다. 대표적인 사례로 호주 오폐수처리시스템 무선해킹 공격, 스턱스넷 등이 있다. 이로 인한 보안 사고는 국가, 사회적 대규모 혼란을 유발하고 국가 안보를 위협하는 수준으로 변화할 수 있다. 이를 막기 위해서는 보안 관련 대응책을 잘 마련해야 한다.

- 우리나라의 보안에 대한 기술력은 어느 정도이며 이 외에 갖춰야 할 사항은 무엇인가?
기술력, 물리적 보안이 모두 제로에 가깝다고 생각한다. 정부의 스마트공장 추진현황이나 기타 정책을 보면 정량적 측면에만 집중하고 있을 뿐 보안에 대한 관심은 부족하다. 그리고 그보다 사실 중요한 것은 보안의 중요성과 관점 등의 인지적 차원이 많이 부족하다. 스턱스넷 사례가 대표적이다. 해당 보안 사고는 겉에는 멀쩡하지만, 안의 장치를 인지하지 못해 결국 발전소가 멈춘 사례다. 이 사례는 인적 보안이 깨진 사례다. 외부 네트워크와 연계되어 있지 않고 내부통제가 심한데도 불구하고 감염이 됐다라는 건 사람에 의한 사고다. 개인정보 유출 사고 현장의 보안사고 또한 인적사고다. 기술력, 물리적 보안도 중요하지만, 무엇보다 안전이나 보안에 관해서 우선적으로 갖춰야하는 것은 인적 보안이다.

- 인적 보안 강화를 위해 어떠한 노력이 먼저 이뤄져야 한다고 생각하는가?
보안 인적교육이다. 개인정보보호 차원에서 1년에 한 번씩 교육이 이뤄져야 한다. 대기업과 달리 중소기업의 경우는 시간적, 비용적 소모에 대한 우려로 인해 교육 시행에 대해 기피할 수가 있다. 하지만 보안에 투입되는 단기적 비용보다 사고로 인해 발생하는 장기적 손실이 더욱 크다. 여기에는 단순히 금전적 비용뿐만 아니라 회사의 지명도, 이미지도 포함된다. 즉 교육은 중요하다. 그런데도 불구하고 스마트공장 추진단이나 기타 공공 기관에서도 교육은 이루어지지 않고 있는 실정이다. 정부 주도로 우선 적으로 보안에 대한 교육을 강화할 필요가 있다.

- 인식이나 인적요소 외에 규제적으로나 기술적으로 보완해야 할 사항은 무엇인가?
미국은 보안에 강하다. 이를 레퍼런스할 필요가 있다. 예전부터 ICS의 중요성을 인지하고 다양한 보완책을 내놓고 있다. 이 중 한 가지가 ‘최소보안요구사항’이다. 투자 능력이 어려운 중소기업들의 실정을 고려해 만들었다. 이와 관련해 우리나라의 보완책은 굉장히 부족하다. 우리도 여러 기업이 시스템을 도입하는 데 어려움이 있다는 것을 인지하고 무리한 추진보다는 이러한 외국사례를 참조해 ‘최소보안요구사항’을 적용할 필요가 있다.