SDV·로봇 혁신의 아킬레스건… 방어막 밖의 ‘소부장 협력사’가 뚫린다

[산업일보]
스마트 팩토리, 소프트웨어 중심 자동차(SDV), 인공지능(AI) 로봇 등 첨단 산업 혁신의 이면에는 ‘공급망’이라는 거대한 취약점이 존재한다. 대기업 본사가 막대한 자본을 투입해 자체 보안 장벽을 높이는 사이, 상대적으로 보안 투자가 열악한 2·3차 소부장(소재·부품·장비) 협력사들이 사이버 범죄자들의 ‘우회 통로’로 전락하고 있다.

안랩의 ‘2026년 5대 사이버 위협 전망’ 보고서에 따르면, 최근 산업계에서는 오픈소스 사용 비중 증가로 인한 소프트웨어 공급망 위협과 더불어 운영기술(OT) 및 사이버물리시스템(CPS)과 연결된 제조업 타깃 공격이 구조적인 위험 요소로 지적되고 있다. 과거 폐쇄망으로 운영되던 제조 현장이 클라우드 등 IT 망과 결합하면서 해커들의 먹잇감이 된 것이다.

소프트웨어 중심 자동차(SDV)로 전환된 모빌리티 생태계도 새로운 공급망 위협의 주요 타깃으로 꼽힌다. 레벨4 자율주행 기술과 차량 내 시스템은 무수히 많은 외부 오픈소스 라이브러리에 의존한다. 부품사가 제공하는 무선 소프트웨어 업데이트(OTA) 패키지나 시스템에 악성 코드가 심어질 경우, 이는 완성차 조립 라인의 가동 중단을 넘어 주행 중인 차량의 물리적 제어권 탈취로 직결될 수 있다.

최근 화두인 ‘피지컬 AI(Physical AI)’ 기반의 휴머노이드 로봇 역시 외부 데이터셋과 알고리즘을 도입하는 과정에서 협력사의 보안이 뚫리면 치명적인 오작동을 일으킬 위험을 안고 있다.

카스퍼스키가 17일 발표한 ‘2025 공급망 및 신뢰 관계 공격 보고서’는 이러한 초연결성이 초래하는 위험을 명확한 수치로 경고한다. 보고서에 따르면, 지난 12개월 동안 전 세계 16개국 기업을 대상으로 조사한 결과, 전체 기업의 31%가 공급망 공격 피해를 겪었다. AI 기반 공격(30%)이나 피싱(28%), 랜섬웨어(25%) 등 다른 주요 사이버 위협을 제치고 가장 높은 발생 비율이다.

특히 직원 수 2천500명 이상의 대기업일수록 공격에 노출될 위험이 컸다. 대기업은 평균 100여 개의 소프트웨어 및 하드웨어 공급업체를 두고 있다. 시스템 접근 권한을 내준 외부 계약업체 역시 130개가 넘었다.

관리해야 할 파트너사가 많아지면서 해커가 파고들 ‘잠재적 공격 표면’이 그만큼 넓어졌다는 분석이다. 그 결과 대기업의 공급망 공격 경험 비율은 36%로 소규모 및 중견 기업보다 가장 높게 나타났다. 대기업이 원활한 사업 운영을 위해 외부 파트너와 맺은 합법적인 ‘신뢰 관계’ 자체가 해커의 주요 침투 경로로 악용되는 양상이다.

결국 해답은 개별 기업의 방어막 구축을 넘어선 생태계 전반의 보안 회복탄력성 확보다. 카스퍼스키 보고서는 원청 기업이 협력사와 계약을 체결하기 전 과거 사고 이력과 산업 보안 표준 준수 여부를 철저히 평가해야 한다고 권고한다. 또 파트너사가 자사 시스템에 접근할 때 최소 권한 원칙과 제로 트러스트(Zero Trust) 모델을 적용해 피해 발생 시 전사적 확산을 차단해야 한다고 강조했다.

개별 시스템의 안위를 살피는 단계를 넘어, 소부장 공급망 전체를 아우르는 연대적 보안 체계 구축이 시급하다는 지적이다.