중소벤처기업부가 실시하는 스마트공장 수준확인제도에 '보안'은 뒷전인 것으로 나타났다. 스마트공장 수준을 평가하는 총 44개 항목가운데 보안 관련 내용은 1개에 그쳤다. 스마트공장 확대 추진계획뿐 아니라 민간 확산 제도까지 보안 소홀 현상이 계속된다.
최근 제조기업을 노린 악성코드가 늘어나는 등 사이버 위협이 스마트공장 확대에 걸림돌로 떠올랐다. 국내서 기승을 부린 클롭 랜섬웨어뿐 아니라 LA다임즈 물류망을 멈추게 한 류크 랜섬웨어, 알루미늄 공장 가동을 멈춘 록커고가 등 제조시설을 노린 공격이 급증했다.
중소벤처기업부가 실시하는 스마트공장 수준확인제도는 민간이 정부지원 없이 스마트공장을 도입한 경우 합의된 절차와 기준에 따라 공신력 있는 기관이 확인하고 검증하는 제도다. 통합모델에 따라 기업에서 자가진단 후, 심사원이 방문해 구축 수준을 확인하게 설계했다.
최근 중소벤처기업부는 스마트수준확인제도 1호 기업으로 '코아비스'를 선정했다. 코아비스는 스마트공장을 도입 후 생산성 향상 등 기업 경쟁력이 높아졌다고 판단해 자체자금으로 추가 고도화를 추진했다.
코아비스가 받은 수준확인제도 평가항목은 총 44개다. △스마트공장추진전략 △프로세스 △정보시스템과 자동화 △성과 5개 분야로 나눴다. 보안관련 내용은 '정보시스템' 항목 6개 가운데 하나로 '보안관리 확인'으로만 분류한다.
전문가는 스마트공장 수준확인제도의 1개 '보안관리 확인 항목 평가기준'으로는 보안 등 안전성을 담보하기 부족하다고 지적한다. 스마트공장 수준확인제도 보안 평가 항목 세부 사항은 △설비기기에 정보보안을 위한 도구(TOOL) 수준 평가 △보안위험에 대한 자가진단, 대응책 제공이 가능한 도구 인지, 통합 보안관리 체계 하에서 관리되는지를 점검하는데 그친다.
스마트공장 보안은 보안 도구 도입을 넘어 기본적인 물리·기술·관리 등 신뢰성 관점에서 봐야한다. 실제 공장 설비 운용체계(OS) 업데이트 시 공장 가동에 영향을 줄 수 있는지부터 해당 상황에서 기술탈취가 발생할 수 있는지 전반적인 관리 체계가 필요하다.
장항배 중앙대 산업보안학과 교수는 “현재 스마트공장은 생산성과 효율성에 주로 목표가 맞춰져 있어 신뢰성 관점이 간과됐다”면서 “단순히 공장 한 곳만 볼 것이 아니라 이들 중견기업, 대기업과 협업을 하고 있다는 것을 이해하고 이들 공급망에 문제가 생기지 않도록 사전 보안 체계를 마련하는 것이 중요하다”고 조언했다.
중소벤처기업부, 과학기술정보통신부 등은 이들 수준확인제도 보안 분야에 대해 차후 기준을 확대한다는 계획이다. 다만 단기간내 제도 개선 등은 어려워 보인다. 한국인터넷진흥원(KISA) 등과 만나 보안기준을 새로 넣거나 창업교육에 보안 부분을 더하는 방식을 고려한다.
KISA 관계자는 “현재 관계부처 등과 협의 중에 있으며 어떻게 보안을 강화하는 방향으로 갈 것인지 구체적으로 논의한다”면서 “빠르면 연말 해당 분야에 대한 보완 대책을 마련할 수 있을 것”이라고 덧붙였다.
정영일기자 jung01@etnews.com
