“삼성 혼자선 반도체 못 만든다”… 공급망 보안이 곧 ‘초격차’ 이준영 삼성전자 파트장, “보안 사고 87%가 중소기업 집중… 협력사 뚫리면 본사도 마비” “세계 최대 규모의 반도체 팹(Fab)이 들어선다 한들, 핵심 기술이 USB 하나로, 이메일 한 통으로 빠져나간다면 그 모든 투자는 ‘모래성’에 불과하다.” 경기도가 용인·평택·화성 등을 중심으로 ‘K-반도체 메가 클러스터’ 조성에 속도를 내는 가운데, 29일 용인대학교에서 열린 ‘첨단기술보호 전략 콘퍼런스’의 메시지는 명확했다. 반도체·AI 등 첨단 산업에서 보안은 더이상 부가적인 옵션이 아니라, 기업의 생존을 결정짓는 ‘생명줄’이라는 것이다. 본지는 이날 콘퍼런스에 쏟아진 현장의 목소리를 담았다. ▲삼성전자가 경고하는 공급망 보안의 허점 ▲어플라이드 머티어리얼즈(AMAT)가 지적한 ‘보안 인증’의 맹점 ▲GH Solution이 제시한 CISO의 새로운 리더십을 통해, 대한민국 첨단 산업이 나아가야 할 ‘기술 보호의 길’을 모색해 본다. “반도체는 오케스트라와 같아서, 삼성전자 혼자만의 노력으로는 거대한 ‘공급망 공격’을 막아낼 수 없습니다. 협력사 한 곳이 뚫리면 글로벌 공급망 전체가 마비되는 것이 지금의 반도체 산업 현실입니다.” 29일 ‘첨단기술보호 전략 콘퍼런스’에서 이준영 삼성전자 DS부문 정보보호센터 파트장은 최근 반도체 산업을 위협하는 보안 이슈가 개별 기업을 넘어 ‘공급망 전체’로 확산하고 있다며 이같이 말했다. 최근 해커들은 보안이 튼튼한 대기업을 직접 공격하기보다, 상대적으로 보안이 취약한 협력사나 범용 소프트웨어를 우회 경로로 삼는 ‘공급망 공격’에 집중하고 있다. 경찰청과 한국인터넷진흥원(KISA) 등의 자료에 따르면 최근 5년간(2020~2024년) 적발된 산업 기술 유출 사건 중 86.5%가 중소기업에서 발생했다. 또 지난 한 해 동안 접수된 기업 침해 사고 신고 건수는 총 2천383건으로 전년(1천887건) 대비 26.3%나 증가했다. 지난 2023년 6월 발생한 ‘무브잇(MoveIt)’ 해킹 사태가 대표적이다. 당시 러시아 연계 해커 그룹 ‘클롭(Clop)’은 기업용 파일 전송 소프트웨어인 ‘무브잇’의 치명적인 ‘제로데이 취약점’을 찾아내 대규모 공격을 감행했다. 이 사고로 인해 교육, 의료, 금융 등 전 산업 분야에 걸쳐 2천500개가 넘는 조직이 피해를 봤으며, 유출된 개인정보만 6천600만 명 이상인 것으로 파악됐다. 업계에서는 이 단일 사건으로 인한 경제적 손실이 약 121억 달러(한화 약 16조 원)에 달할 것으로 추산하고 있다. 이는 단순히 일회성 피해에 그치지 않고, 연결된 공급망 전체의 연쇄적인 경제적 타격으로 이어진다는 점에서 심각성을 더한다. ‘내부자’와 ‘협력사’에 의한 기술 유출 사례도 적지 않다. 이 파트장은 이날 실제 피해 사례를 다수 공개하며 경각심을 일깨웠다. 그는 “코로나19 당시 재택근무용 VPN(가상사설망) 보안 취약점을 통해 해커가 협력사 직원 PC를 감염시켰고, 이를 통해 사내망에 침투해 정보를 유출한 사례가 있었다”라며 “이로 인해 부품 납품이 지연될 뻔했다”라고 밝혔다. 내부자에 의한 기술 유출 사례도 언급됐다. 이 파트장은 퇴직자가 세정 설비 도면을 유출해 동종 업체를 차린 뒤, 기존 설비사 직원까지 매수해 똑같은 장비를 만들어 중국에 납품했던 사건을 언급했다. 또한 “공동 개발(JDP) 파트너사가 삼성과 개발한 기술을 몰래 중국 경쟁사에 납품해 3년 정도였던 기술 격차가 1년으로 줄어드는 피해를 보기도 했다”고 말했다. 이 파트장은 이러한 전방위적 위협에 대응하기 위해 삼성전자가 협력사에 제안하는 ‘기본 보안 10대 항목’을 소개했다. 그는 “가장 중요한 것은 ▲외부 유입 차단 ▲실행 차단 ▲확산 차단이라는 3단계 방어 원칙”이라며 “방화벽 운영과 악성 메일 모니터링으로 1차 침입을 막고, 설령 들어오더라도 백신과 OS(운영체제) 패치를 통해 실행되지 않도록 해야 한다”라고 강조했다. 이어 “최악의 경우 감염되더라도 중요 망 분리를 통해 팹(Fab)이나 데이터센터로 피해가 확산하지 않도록 차단하는 것이 핵심”이라고 덧붙였다. 이 파트장은 대만 TSMC와 정부의 협력 모델을 벤치마킹 사례로 제시하며 ‘K-반도체 공급망 보안 관리 생태계’ 구축 필요성도 강조했다. 그는 “정부는 공급망 보안 기준을 법제화하고, 대기업은 협력사를 위한 보안 컨설팅과 교육을 확대하며, 중소기업은 이에 맞춰 내부 역량을 강화하는 ‘민·관·산’의 유기적인 협력이 필요하다”라고 역설했다.

“삼성 혼자선 반도체 못 만든다”… 공급망 보안이 곧 ‘초격차’

이준영 삼성전자 파트장, “보안 사고 87%가 중소기업 집중… 협력사 뚫리면 본사도 마비”

기사입력 2026-01-30 15:00:39

[산업일보]

“세계 최대 규모의 반도체 팹(Fab)이 들어선다 한들, 핵심 기술이 USB 하나로, 이메일 한 통으로 빠져나간다면 그 모든 투자는 ‘모래성’에 불과하다.”

경기도가 용인·평택·화성 등을 중심으로 ‘K-반도체 메가 클러스터’ 조성에 속도를 내는 가운데, 29일 용인대학교에서 열린 ‘첨단기술보호 전략 콘퍼런스’의 메시지는 명확했다. 반도체·AI 등 첨단 산업에서 보안은 더이상 부가적인 옵션이 아니라, 기업의 생존을 결정짓는 ‘생명줄’이라는 것이다.

본지는 이날 콘퍼런스에 쏟아진 현장의 목소리를 담았다. ▲삼성전자가 경고하는 공급망 보안의 허점 ▲어플라이드 머티어리얼즈(AMAT)가 지적한 ‘보안 인증’의 맹점 ▲GH Solution이 제시한 CISO의 새로운 리더십을 통해, 대한민국 첨단 산업이 나아가야 할 ‘기술 보호의 길’을 모색해 본다.

이준영 삼성전자 DS부문 정보보호센터 파트장

“반도체는 오케스트라와 같아서, 삼성전자 혼자만의 노력으로는 거대한 ‘공급망 공격’을 막아낼 수 없습니다. 협력사 한 곳이 뚫리면 글로벌 공급망 전체가 마비되는 것이 지금의 반도체 산업 현실입니다.”

29일 ‘첨단기술보호 전략 콘퍼런스’에서 이준영 삼성전자 DS부문 정보보호센터 파트장은 최근 반도체 산업을 위협하는 보안 이슈가 개별 기업을 넘어 ‘공급망 전체’로 확산하고 있다며 이같이 말했다.

최근 해커들은 보안이 튼튼한 대기업을 직접 공격하기보다, 상대적으로 보안이 취약한 협력사나 범용 소프트웨어를 우회 경로로 삼는 ‘공급망 공격’에 집중하고 있다.

경찰청과 한국인터넷진흥원(KISA) 등의 자료에 따르면 최근 5년간(2020~2024년) 적발된 산업 기술 유출 사건 중 86.5%가 중소기업에서 발생했다. 또 지난 한 해 동안 접수된 기업 침해 사고 신고 건수는 총 2천383건으로 전년(1천887건) 대비 26.3%나 증가했다.

지난 2023년 6월 발생한 ‘무브잇(MoveIt)’ 해킹 사태가 대표적이다. 당시 러시아 연계 해커 그룹 ‘클롭(Clop)’은 기업용 파일 전송 소프트웨어인 ‘무브잇’의 치명적인 ‘제로데이 취약점’을 찾아내 대규모 공격을 감행했다. 이 사고로 인해 교육, 의료, 금융 등 전 산업 분야에 걸쳐 2천500개가 넘는 조직이 피해를 봤으며, 유출된 개인정보만 6천600만 명 이상인 것으로 파악됐다.

업계에서는 이 단일 사건으로 인한 경제적 손실이 약 121억 달러(한화 약 16조 원)에 달할 것으로 추산하고 있다. 이는 단순히 일회성 피해에 그치지 않고, 연결된 공급망 전체의 연쇄적인 경제적 타격으로 이어진다는 점에서 심각성을 더한다.

‘내부자’와 ‘협력사’에 의한 기술 유출 사례도 적지 않다. 이 파트장은 이날 실제 피해 사례를 다수 공개하며 경각심을 일깨웠다. 그는 “코로나19 당시 재택근무용 VPN(가상사설망) 보안 취약점을 통해 해커가 협력사 직원 PC를 감염시켰고, 이를 통해 사내망에 침투해 정보를 유출한 사례가 있었다”라며 “이로 인해 부품 납품이 지연될 뻔했다”라고 밝혔다.

내부자에 의한 기술 유출 사례도 언급됐다. 이 파트장은 퇴직자가 세정 설비 도면을 유출해 동종 업체를 차린 뒤, 기존 설비사 직원까지 매수해 똑같은 장비를 만들어 중국에 납품했던 사건을 언급했다. 또한 “공동 개발(JDP) 파트너사가 삼성과 개발한 기술을 몰래 중국 경쟁사에 납품해 3년 정도였던 기술 격차가 1년으로 줄어드는 피해를 보기도 했다”고 말했다.

이 파트장은 이러한 전방위적 위협에 대응하기 위해 삼성전자가 협력사에 제안하는 ‘기본 보안 10대 항목’을 소개했다.

그는 “가장 중요한 것은 ▲외부 유입 차단 ▲실행 차단 ▲확산 차단이라는 3단계 방어 원칙”이라며 “방화벽 운영과 악성 메일 모니터링으로 1차 침입을 막고, 설령 들어오더라도 백신과 OS(운영체제) 패치를 통해 실행되지 않도록 해야 한다”라고 강조했다. 이어 “최악의 경우 감염되더라도 중요 망 분리를 통해 팹(Fab)이나 데이터센터로 피해가 확산하지 않도록 차단하는 것이 핵심”이라고 덧붙였다.

이 파트장은 대만 TSMC와 정부의 협력 모델을 벤치마킹 사례로 제시하며 ‘K-반도체 공급망 보안 관리 생태계’ 구축 필요성도 강조했다. 그는 “정부는 공급망 보안 기준을 법제화하고, 대기업은 협력사를 위한 보안 컨설팅과 교육을 확대하며, 중소기업은 이에 맞춰 내부 역량을 강화하는 ‘민·관·산’의 유기적인 협력이 필요하다”라고 역설했다.

뒤로 기사목록

산업일보 영상뉴스 모아보기

산업일보 페이스북 바로가기

임지원 기자 jnews@kidd.co.kr

이 기자의 다른기사 보기 >