19일 경기도 성남시 서울공항에서 열린 '서울 국제항공우주 및 방위산업 전시회(ADEX)' (사진=연합뉴스)

■ 1년에 120만 건…이미 열려 있던 방산의 ‘현실’

쿠팡 사태로 산업 전반의 보안 불감증이 도마 위에 오른 가운데, 방위산업은 이미 훨씬 복잡한 다중 위협 환경에 놓여 있다. 미사일, 탄약, 레이더, 전투기, 함정 등 방산 설계도는 유출 순간 기술경쟁력을 넘어 군 전력과 국가 안보까지 흔드는 고위험 자산이다.

2021년 하반기 국정감사에서는 국내 항공, 조선, 원자력 등 주요 방산업체 13곳에 1년 동안 무려 120만 건이 넘는 해킹시도가 밝혀진 바 있다. 더불어 당시 대우조선해양의 경우 해커의 직접적인 공격 시도 사실이 공개되기도 했다. 같은 해 7월에는 한국항공우주산업(KAI)과 한국원자력연구원(KAERI) 등이 북한 소행으로 추정되는 공격을 당하기도 했다.

최근 K-방산 수출이 확대되며 과거에는 외부와 단절돼 있던 시스템들이 해외 군·정부 계정과 연결되는 구조가 늘면서 겉으로는 폐쇄망이지만 각 단계가 외부로 스며드는 구조적 취약성을 보이고 있다. 주요 방산기업은 수출국에 기술자료를 제공하기 위해 ▲원격 기술지원(RDP) 계정 ▲공동개발 플랫폼 ▲현지 군의 SSO(단일 로그인) 연동 등 여러 채널을 개방해야 한다.

이 과정에서 전투기 부품 CAD 파일, 탄약 제조공정, 레이더 신호처리 알고리즘, 함정 전투체계 연동 문서 같은 핵심기술 문서가 외부와 접점을 갖는다. 수출계약 하나에 붙는 해외 군·정부 계정만 수십 개인데다가 국가별 보안 규제와 OT·IT망 복잡성이 겹치면 위험지대를 파악하기도 쉽지 않다.

■ 대기업은 철옹성, 협력사는 구멍…K-방산 공급망의 아킬레스건

방산 대기업의 보안 수준은 이미 세계 상위권이다. 그러나 방산 해킹의 80% 이상은 대기업이 아닌 보안 투자 여력이 없는 2·3차 벤더를 통해 발생한다. 해커들은 영세 업체의 허술한 서버를 장악한 뒤 이를 ‘디지털 트로이 목마’로 삼아 대기업 내부망으로 침투하는 공급망 공격을 감행한다.

최근에는 상황이 더 악화됐다. 중소업체가 비용 절감을 위해 맡기는 IT 위탁 관리 업체가 해커의 집중 타깃이 되고 있기 때문이다. 위탁업체 한 곳만 뚫리면 수십~수천 개 협력사의 서버 인증이 한꺼번에 탈취되는 구조다.

가장 큰 위협은 내부에서 나온다. HD현대중공업 직원 9명이 KDDX(한국형 차기 구축함)개념설계도 등 3급 군사기밀을 몰래 취득·유출한 혐의로 적발된 기밀 유출 사건은 도덕적 해이 한 번이 방산 프로젝트 전체를 흔드는 결과를 낳았다. 보안 감점 연장과 수의계약 추진 논란 등으로 얼룩진 KDDX 사업은 2년 째 표류 중이다.

■ “보안은 전력의 일부”…AI·무인전장 시대의 새로운 기준

인력난을 메우기 위해 급증한 외국인 노동자도 관리 사각지대를 만들었다. KF-21 개발 과정에서 발생했던 인도네시아 연구원의 미인가 USB 반출 사건, 조선소 작업장 단말기에 악성 USB 삽입, 도면을 초소형 카메라로 촬영해 반출 가능성 등은 모두 실제 업계에서 보고된 리스크다.

방산기술은 유출되면 되돌릴 수 없다. 이는 기업 피해를 넘어 국가안보, 동맹 신뢰, 수출 경쟁력으로 직결된다. 이 때문에 최근 방산업계는 보안을 비용이 아닌 무기체계 성능의 일부로 간주하는 흐름이 뚜렷해졌다. AI 기반 전장과 무인체계가 본격화되는 지금, 해킹으로 무기체계가 조작되거나 통제권이 탈취될 가능성을 원천 차단하는 기술은 선택이 아니라 필수다. 보안은 더 이상 ‘관리’가 아니라 전력의 구성요소다.

0 0