top of page

[인터뷰] 한근희 코어시큐리티 부사장 "자동차·조선·로봇·의료기기 수출 비상…글로벌 보안 규제 대응 서둘러야

26. 7. 13.

“기업들은 유럽연합 사이버복원력법(EU CRA)이 2027년 말부터 본격 적용된다는 날짜만 보고 아직 시간이 많이 남았다고 생각합니다. 하지만 실제 악용된 취약점과 중대한 보안사고에 대한 보고 의무는 2026년 9월부터 시작됩니다. 무선기기와 자동차, 선박, 의료기기에 적용되는 보안 규정은 이미 시행 단계에 들어갔습니다. 지금 준비하지 않으면 제품을 완성하고도 해외에 수출하지 못할 수도 있습니다.”


한근희 코어시큐리티 부사장은 데일리시큐와 인터뷰에서 국내 제조기업들이 글로벌 사이버보안 규제를 미래의 문제로 미루고 있다고 우려했다.


기업들은 규제 시행일에 맞춰 보안 기능을 추가하고 인증을 받으면 된다고 생각하기 쉽다. 그러나 실제 대응은 개발자 교육과 보안 요구사항 정의부터 제품 아키텍처 재설계, 코드 수정, 취약점 점검, 침투테스트, 인증, 관련 문서 작성까지 이어지는 장기 작업이다.


한 부사장은 “규제 시행일은 준비를 시작하는 날이 아니라 제품과 개발조직, 사고 대응체계와 증빙자료까지 모두 준비돼 있어야 하는 날”이라며 “보안이 고려되지 않은 기존 제품은 기능 몇 개를 추가하는 수준으로 해결되지 않고 전면 재개발이 필요할 수도 있다”고 말했다.


IoT 기기 분석에서 산업제어시스템 보안으로


한 부사장은 한국과학기술연구원 시스템공학연구소와 데이콤, 안철수연구소(현 안랩), 행정안전부, 국가정보자원관리원, 드림시큐리티, 고려대학교 정보보호대학원 등을 거치며 인터넷과 사이버보안, 산업제어시스템 분야에서 왕성한 활동을 이어왔다. 


현재 IEC TC 65 WG 10의 자동화·제어시스템 보안 분야와 ISO·IEC JTC 1 SC 27 사이버보안, ISO TC 215 의료·의료기기 보안 분야 국제표준 활동에도 참여하고 있다.


코어시큐리티와의 인연은 고려대학교 정보보호대학원 재직 당시 국가 주요 기반시설의 산업제어시스템 보안 기준을 연구하면서 시작됐다. 코어시큐리티 연구진과 여러 과제를 수행한 한 부사장은 2023년 회사에 합류해 연구소의 사업영역을 운영기술(OT)과 산업제어시스템(ICS) 보안으로 확대했다.


코어시큐리티는 이전부터 국가기관과 국방 분야를 중심으로 사물인터넷(IoT)과 임베디드 기기의 펌웨어를 분석하고 취약점을 탐지하는 연구를 진행했다. 무선공유기와 지능형 CCTV 등 실제 기기의 펌웨어를 분석하고 자동화된 취약점 점검 도구를 개발한 경험도 축적했다.


한 부사장은 여기에 IEC 62443을 비롯한 국제표준과 제품 보안 수명주기 방법론을 결합했다.


“코어시큐리티 연구진은 기기 내부의 펌웨어와 소프트웨어를 분석할 수 있는 기술을 갖고 있었습니다. 이 기술을 PLC와 로봇, 선박 장비, 의료기기처럼 실제 물리적 동작을 제어하는 제품으로 확대했습니다. 취약점을 찾는 데 그치지 않고 제품을 설계하고 개발하고 운영하는 전체 과정에 보안을 적용하는 체계로 전환한 것입니다.”


코어시큐리티는 L사의 PLC 제품을 대상으로 IEC 62443 적용과 인증 준비, 위협 모델링을 장기간 지원했다. 국가 주요 기반시설의 제어시스템 보안 기준 개발과 선박 보안 도구, 로봇 보안 가이드, 자동차 생산설비와 의료기기 보안 컨설팅도 수행했다.


“사이버보안은 제품이 아니라 프로세스”


한 부사장이 인터뷰 내내 가장 강조한 말은 “사이버보안은 제품이 아니라 프로세스”라는 것이었다.


제품 출시 직전에 방화벽이나 인증 기능을 추가하고 취약점 점검을 한 차례 받는다고 글로벌 규제를 충족할 수 있는 것은 아니다. 개발자 교육부터 보안 요구사항 수립, 아키텍처 검토, 위협 모델링, 시큐어 코딩, 정적·동적 분석, 침투테스트, 안전한 배포, 취약점 대응과 제품 폐기까지 전체 수명주기에 보안이 적용돼야 한다.


“제품 개발이 끝난 뒤 다중인증이나 암호화, 안전한 업데이트 기능을 넣으라고 하면 기존 구조와 충돌할 수 있습니다. 기능을 억지로 추가하면 성능이나 안정성에 문제가 생기고 개발비용과 인증기간도 늘어납니다. 처음부터 어느 국가의 어떤 규정을 적용할지 정하고 이를 요구사항과 설계에 반영해야 합니다.”


글로벌 규제와 국제표준은 제조사가 보안 기능을 구현했다고 주장하는 것만으로 적합성을 인정하지 않는다.


어떤 자산과 위협을 식별했고, 어떤 보안 요구사항을 선택했으며, 이를 설계와 소프트웨어에 어떻게 반영했는지 입증해야 한다. 소프트웨어 요구사항 명세서와 위험평가서, 위협 모델, 보안 아키텍처, 코드 분석 결과, 소프트웨어 구성요소 명세서(SBOM), 취약점 평가서와 침투테스트 결과가 필요한 이유다.


제품을 출시한 뒤에는 취약점을 접수할 창구와 분석조직, 패치 개발과 배포, 고객 통지와 사고보고 체계도 운영해야 한다.


한 부사장은 “교육과 요구사항, 설계, 개발, 검증, 출시, 배포, 사고 대응과 폐기까지 모든 과정에 보안이 들어가야 한다”며 “이것이 시큐어 바이 디자인(Secure by Design)이자 시큐어 바이 디폴트(Secure by Default)”라고 설명했다.


글로벌 규제, 이미 시행됐거나 시행 코앞


국내 기업이 가장 서둘러 확인해야 할 규제는 EU CRA다.


EU CRA는 디지털 요소가 포함된 하드웨어와 소프트웨어 제품 전반에 적용되는 사이버보안 규제다. 제품의 위험평가와 보안 요구사항 반영, 취약점 처리, 적합성 평가, 보안 업데이트, 사고보고와 관련 문서화를 제조사에 요구한다.


제품 보안에 관한 전체 요구사항은 2027년 12월부터 적용되지만 실제 악용된 취약점과 중대한 보안사고에 대한 보고 의무는 2026년 9월부터 먼저 시작된다.


한 부사장은 기업들이 2027년이라는 숫자만 보고 준비를 미루는 것이 가장 위험하다고 지적했다.


“2027년까지 시간이 남았다고 생각하지만 그때는 제품과 조직의 준비가 끝나 있어야 합니다. 보안설계가 없는 제품을 다시 설계하고 개발한 뒤 시험과 인증까지 받으려면 몇 달 안에 끝날 일이 아닙니다. 조직의 보안 성숙도를 갖추는 데만 수년이 걸릴 수 있습니다.”


와이파이나 블루투스 등 무선통신 기능이 포함된 제품에 영향을 미치는 EU 무선기기지침(RED)의 사이버보안 요구사항은 2025년 8월부터 이미 적용되고 있다. 로봇과 산업용 센서, 스마트기기처럼 무선통신 기능을 사용하는 제품은 CRA 적용 시점만 기다릴 것이 아니라 RED 적용 대상 여부부터 확인해야 한다.


자동차 분야에서는 유엔 자동차 사이버보안 규정 UN R155가 유럽에서 신규 차종에 이어 모든 신차로 확대 적용됐다. 차량 제조사는 형식승인을 위해 사이버보안 관리체계를 갖추고 차량의 개발과 생산, 운행, 폐기에 이르는 수명주기 전반의 위험을 관리해야 한다.


조선업에서도 국제선급연합회(IACS)의 선박 사이버복원력 공통규칙 UR E26과 선내 시스템·장비 보안 규칙 UR E27이 2024년 7월부터 적용됐다.


미국 의료기기 분야에서는 FDA의 사이버기기 관련 요구가 2023년 3월부터 시행됐다. 대상 의료기기의 시판 전 신청에는 출시 이후 취약점 관리계획과 보안 업데이트 절차, 제품의 사이버보안을 입증하는 자료를 포함해야 한다.


한 부사장은 “자동차와 조선, 로봇, 의료기기 기업에 글로벌 보안 규제는 더 이상 미래의 과제가 아니다”며 “주요 규정이 이미 적용되고 있고 CRA의 사고보고 의무도 눈앞에 와 있다”고 강조했다.


대응 늦으면 판매 중단과 과징금까지


글로벌 보안 규제는 권고사항이나 단순 품질 인증이 아니다.


필수 보안 요구사항을 충족하지 못하면 적합성 평가를 통과하지 못해 제품을 해외 시장에 출시하지 못할 수 있다. 판매된 제품에서 문제가 확인됐는데 제조사가 취약점을 처리하지 않거나 사고보고 의무를 지키지 않으면 판매 제한과 회수, 과징금으로 이어질 수 있다.


EU CRA 위반 시에는 위반 수위에 따라 과징금이 부과되고 EU 시장 판매 중단과 공급망 제외 조치가 뒤따를 수 있다.


“보안설계가 빠진 제품을 판매한 뒤 취약점이나 사고가 발생했는데 이를 제때 처리하거나 보고하지 못하면 과징금 대상이 될 수 있습니다. 더 큰 문제는 과징금을 내는 데서 끝나지 않는다는 것입니다. 제품 판매가 중단되고 글로벌 공급망에서 제외되면 해외 사업 자체가 흔들릴 수 있습니다.”


규제의 영향은 최종 제품을 생산하는 대기업에만 머물지 않는다.


글로벌 완성품 제조사는 규제 위반을 피하기 위해 부품과 소프트웨어를 제공하는 협력업체에 SBOM과 취약점 분석자료, 보안시험 결과, 안전한 개발 절차에 관한 증빙을 요구한다. 협력업체가 자료를 제출하지 못하면 해당 부품이나 소프트웨어를 사용하기 어려워지고, 다른 공급업체로 대체될 수 있다.


한 부사장은 “완성품 제조사만 준비해서 해결되는 문제가 아니다”며 “자동차 부품사와 조선 기자재기업, 로봇 부품기업, 의료기기 소프트웨어 공급사까지 함께 대응해야 한다”고 말했다.


자동차, 차량뿐 아니라 생산공장까지 보안 대상


자동차산업의 사이버보안은 차량 내부의 전자제어장치에만 한정되지 않는다.


자동차 생산공장은 PLC와 산업용 로봇, 자율이동로봇, 센서, 생산관리시스템과 산업용 네트워크가 연결된 대규모 제어시스템이다. 부품창고에서 생산라인으로 부품을 운반하는 로봇부터 조립과 도장, 품질검사 설비까지 네트워크를 통해 운영된다.


공장 안의 제어장비 하나가 공격받아도 생산라인이 멈추거나 제품 품질에 영향을 줄 수 있다. 잘못된 제어 명령이 전달되면 작업자의 안전 문제로도 이어질 수 있다.


“자동차 제조사가 해외 공장을 건설하면 공장에 들어가는 PLC와 로봇, 산업용 네트워크 장비도 현지 규제와 발주사의 보안 요구를 적용받습니다. 완성차기업과 부품사, 제어기기 제조사, IT·OT 운영기업이 하나의 공급망으로 움직여야 합니다.”


코어시큐리티는 H사와 K사 자동차 생산설비와 H사 소프트웨어 전문기업을 대상으로 IEC 62443과 EU CRA·RED 대응방안을 연구했으며, LS일렉트릭의 PLC 제품에는 IEC 62443 적용과 인증 준비를 지원했다.


국산 PLC와 산업용 제어기기가 국내 생산라인을 넘어 해외 공장에 공급되려면 기능과 가격 경쟁력만으로는 부족하다. 제품이 안전한 절차에 따라 개발됐고, 제조사가 출시 이후 취약점을 지속적으로 관리할 수 있다는 사실까지 증명해야 한다.


한 부사장은 “국내에서 잘 작동하는 제품과 글로벌 시장에서 판매할 수 있는 제품은 다르다”며 “제품 기술력과 함께 보안설계와 개발 절차가 새로운 수출 경쟁력이 되고 있다”고 말했다.


코어시큐리티, 해사대학과 협력해 현장 중심 선박 보안 연구


현대 선박은 항해와 추진, 기관제어, 통신, 화물관리 등 여러 컴퓨터 기반 시스템이 연결된 복합 제어시스템이다.


IACS UR E26은 선박 전체의 사이버복원력을 다루고, UR E27은 선박에 탑재되는 시스템과 장비의 보안 요구사항을 규정한다. 선주는 조선소에 관련 규정 준수를 요구하고, 조선소는 선박에 들어가는 장비와 소프트웨어를 공급하는 기자재기업에 보안 증빙을 요구한다.


이 과정에서는 일반적인 IT 보안지식뿐 아니라 선박 운항과 항해·기관 시스템, 선급의 검사 절차를 함께 이해해야 한다.


코어시큐리티는 해양대학교 해사대학과 협력 관계를 구축하고 선박 운항환경과 OT·ICS 보안기술을 결합한 연구를 진행하고 있다. 선박의 실제 운영 특성을 이해하는 해사 분야의 전문성과 IEC 62443, IACS UR E26·E27 등 사이버보안 요구를 함께 반영해 선박과 선내 시스템의 위험을 점검하는 체계를 마련하는 것이 목표다.


또 부산정보산업진흥원 사업을 통해 선박 보안에 IEC 62443 기준을 적용한 분석·검증 도구도 개발했다. 로이드선급 수석검사관을 대상으로 IEC 62443-4-2 인증 심사기준 교육을 진행하는 등 선박 보안과 국제 인증 분야의 경험도 축적했다.


한 부사장은 “선박 보안은 일반 IT 시스템만 보고 접근해서는 안 된다. 실제 선박이 어떻게 운항되고 항해·기관·통신 시스템이 어떤 방식으로 연결되는지 이해해야 한다”며 “해사대학과의 협력은 해사 전문성과 사이버보안 기술을 연결하는 데 의미가 있다”고 설명했다.


조선소만 준비한다고 문제가 해결되는 것도 아니다.


항해장비와 통신장비, 선박용 PLC, 자동화·제어장치, 소프트웨어를 공급하는 기업은 제품 개발단계부터 접근통제와 인증, 무결성 보호, 통신 보안, 취약점 관리와 업데이트 기능을 고려해야 한다.


“선박에 들어가는 장비 하나가 보안 요구사항을 충족하지 못해도 전체 인증과 건조 일정에 영향을 줄 수 있습니다. 국내 조선 기자재기업이 이를 대형 조선소만의 문제로 보면 안 됩니다. 필요한 보안 문서와 시험 결과를 제출하지 못하면 글로벌 조선 공급망에 들어가지 못할 수 있습니다.”


로봇 보안, 공격이 물리적 사고로 이어져


산업용 로봇과 협동로봇, 자율이동로봇은 인공지능과 센서, 제어기, 무선통신, 운영 소프트웨어, 클라우드 관제가 결합된 대표적인 피지컬 인공지능(Physical AI) 제품이다.


로봇이 공격받으면 정보유출에 그치지 않는다. 잘못된 명령으로 이동하거나 작업을 중단하고, 주변 설비나 사람과 충돌하는 물리적 사고로 이어질 수 있다.


한 부사장은 국내 로봇기업들이 인공지능과 동작 성능 개발에는 집중하지만 계정관리와 펌웨어 보호, 무선통신 보안, 안전한 업데이트와 취약점 대응 절차는 뒤늦게 검토하는 경우가 적지 않다고 지적했다.


“로봇도 제어시스템입니다. 휴머노이드 로봇이 사람 가까이에서 움직이는 시대에는 제어권이 탈취되는 순간 사이버 문제가 바로 안전사고로 바뀔 수 있습니다. 로봇 하드웨어와 구동부, 제어기, 로봇 운영체제와 통신망을 전체적으로 보호해야 합니다.”


코어시큐리티 연구진은 KISA의 로봇 보안 가이드 개발에 참여해 IEC 62443과 EU CRA·RED의 요구사항을 로봇 개발환경에 적용하는 방법을 연구했다.


한 부사장은 특히 무선통신 기능을 사용하는 로봇은 RED 사이버보안 요구가 이미 적용되고 있다는 점을 강조했다.


“CRA 적용까지 시간이 남았다고 생각해서는 안 됩니다. 로봇에는 와이파이와 블루투스, 원격 업데이트 기능이 들어갑니다. 관련 규정은 이미 시행되고 있기 때문에 유럽에 수출하려는 기업이라면 현재 제품이 적용 대상인지부터 확인해야 합니다.”


의료기기, 보안 공백이 환자 안전과 수출에 영향


한 부사장이 특히 우려하는 분야는 의료기기다.


병원 정보보호 조직은 전자의무기록과 서버, 네트워크를 관리하지만 CT와 MRI, 환자감시장치 등 의료기기는 의공팀이 별도로 관리하는 경우가 많다. 두 조직의 업무와 책임이 나뉘면서 의료기기 보안이 사각지대에 놓일 수 있다는 지적이다.


“고가 의료기기는 한번 도입하면 장기간 사용합니다. 장비 안에는 여러 대의 PC와 서버가 들어가는데 윈도우 XP나 윈도우 7처럼 기술지원이 끝난 운영체제가 남아 있는 경우도 있습니다. 취약점이 발견돼도 병원이 임의로 운영체제를 바꾸거나 패치하기 어렵습니다.”


의료기기 제조사는 장비의 핵심 기능과 애플리케이션 개발을 우선하지만 기반 운영체제와 외부 소프트웨어 구성요소의 취약점 관리가 부족할 수 있다.


미국 시장에 진출하려는 의료기기기업은 FDA 심사 과정에서 사이버보안 위험평가와 위협 모델, SBOM, 보안시험 결과, 안전한 업데이트와 출시 이후 취약점 관리계획 등을 준비해야 한다.


한 부사장은 국내 의료기기 제조기업 대부분이 중소·영세기업이라는 점을 가장 큰 현실적 문제로 꼽았다.


“의료기기를 개발해 해외에 판매하는 기업의 상당수가 자체 보안인력이나 규제 대응조직을 운영하기 어렵습니다. 기술력이 부족해서가 아니라 보안설계와 시험자료, 인증 문서를 준비하지 못해 미국이나 유럽 시장 진입이 막힐 수 있습니다.”


제품 인증보다 보안 성숙도부터 확인해야


기업들이 흔히 범하는 실수는 제품 개발을 마친 뒤 인증기관부터 찾는 것이다.


IEC 62443 기반 제품 인증을 받으려면 제품에 기술적 보안기능이 구현돼 있어야 할 뿐 아니라 개발조직의 보안 성숙도가 뒷받침돼야 한다.


개발자 보안교육과 요구사항 관리, 설계검토, 변경관리, 취약점 처리, 패치와 업데이트 절차가 조직 내에서 지속적으로 운영돼야 한다.


“제품의 보안등급 인증보다 먼저 개발조직의 보안 성숙도를 확인해야 합니다. 절차가 없는 상태에서는 필요한 자료를 만들기 어렵고 인증을 받더라도 이후 제품의 보안 수준을 유지할 수 없습니다.”


한 부사장은 조직의 보안 성숙도를 갖추고 인증을 준비하는 데 수년이 필요할 수 있다는 사실을 기업들이 간과하고 있다고 말했다.


기업은 먼저 자사 제품이 어느 국가의 어떤 법률과 표준에 해당하는지 확인해야 한다. 이후 현재 조직과 제품의 수준을 진단하고 부족한 개발 절차와 기술적 요구사항을 단계적으로 개선해야 한다.


“수출계약이 체결된 뒤 인증 준비를 시작하면 납기를 맞추기 어렵습니다. 목표 시장을 정한 순간부터 규제를 분석하고 제품 기획과 설계에 반영해야 합니다.”


AI로 규제 대응 분석과 문서 작업 자동화


코어시큐리티는 제품 보안 수명주기에서 반복되는 분석과 문서 작업을 줄이기 위한 자동화 기술도 개발하고 있다.


제품 기획과 설계 단계에서는 자산과 데이터 흐름, 신뢰경계를 분석해 위협 모델을 만든다. 개발과 검증 단계에서는 소스코드와 오픈소스 구성요소를 분석하고 취약점 점검과 침투테스트를 수행한다. 제품 출시 이후에는 취약점 신고와 패치, 업데이트 이력을 관리한다.


코어시큐리티는 이를 위협 모델링 에이전트와 취약점 자동 점검 에이전트, 레드팀 침투테스트 에이전트로 구성하고 있다.


위협 모델링 에이전트는 제품 자산과 신뢰경계를 식별하고 데이터 흐름도와 예상 위협, 위험등급, 완화대책을 도출한다. 취약점 점검 에이전트는 정적·동적 분석과 SBOM 생성, 소프트웨어 구성분석을 지원한다. 레드팀 에이전트는 공격자의 관점에서 실제 공격경로와 취약점 악용 가능성을 검증한다.


분석 결과는 위협 분석 보고서와 취약점 평가서, 침투테스트 보고서, 국제표준 조항별 증빙자료와 추적성 문서로 연결된다. 코어시큐리티는 로봇과 의료기기, 스마트 오션, 스마트공장, 자동차와 철도 등 산업별 규제와 표준을 반영하는 자동화 체계를 추진하고 있다.


한 부사장은 “자동화의 목적은 전문가를 대체하는 것이 아니라 반복 분석과 증빙자료 작성에 들어가는 시간과 비용을 줄이는 것”이라며 “특히 전문인력이 부족한 중소기업의 글로벌 규제 대응에 도움이 될 수 있다”고 설명했다.


“정부가 마중물 역할 하지 않으면 중소기업 수출 막힌다”


한 부사장은 글로벌 사이버보안 규제 대응을 개별 기업의 책임으로만 남겨둬서는 안 된다고 강조했다.


대기업은 전문조직을 만들고 장기간 투자할 수 있지만 자동차 부품과 조선 기자재, 로봇, 의료기기를 생산하는 중소·중견기업은 해외 규제를 분석하는 단계부터 어려움을 겪는다.


규정을 준수하라고 요구하는 것만으로는 중소기업의 현실적인 부담을 해결할 수 없다. 산업별 참조모델과 보안 개발문서 양식, 시험환경, 전문인력 교육, 컨설팅과 인증비용 지원이 함께 마련돼야 한다.


“자동차와 조선, 로봇, 의료기기는 제품 구조와 적용되는 규제가 모두 다릅니다. 공통적인 제품 보안 수명주기를 기반으로 하되 각 산업에서 실제로 활용할 수 있는 지침과 시험체계를 마련해야 합니다. 정부가 마중물 역할을 하지 않으면 기술력 있는 중소기업들이 수출을 포기해야 하는 상황이 올 수 있습니다.”


한 부사장은 국내 제조기업들이 가장 먼저 규제 시행일과 자사 제품의 적용 여부부터 확인해야 한다고 강조했다.


그는 “EU CRA의 사고와 취약점 보고 의무는 2026년 9월부터 시작되고 전체 요구사항도 2027년 12월부터 적용됩니다. 무선기기와 자동차, 선박, 의료기기 관련 보안 요구는 이미 시행되고 있습니다. 시간이 많이 남았다고 생각할 때가 가장 위험합니다”라고 강조했다.


또 “보안설계가 빠진 제품은 다시 개발해야 할 수 있고 규정을 충족하지 못하면 수출 자체가 불가능해집니다. 제품을 판매한 뒤 보안 문제가 발생했는데 취약점 처리와 사고보고 의무를 지키지 않으면 과징금과 판매 중단, 공급망 제외까지 이어질 수 있습니다. 글로벌 기업으로 성장하려면 사이버보안을 인증 업무가 아니라 제품을 설계하고 개발하는 기본 방식으로 받아들여야 합니다”라고 조언했다.


출처 : 데일리시큐(https://www.dailysecu.com)


bottom of page