■ 무겁고 단단한 철강…가벼운 공격에 ‘휘청’

철강산업은 국가가 법으로 보호할 만큼 전략적이고 중요한 국가 기간산업이다. 올해 제정된 ‘K-스틸법’은 철강을 단순 민간 산업이 아닌 국가 핵심 인프라로 규정했다.

무겁고도 단단한 철강산업을 흔드는 것은 의외로 가볍다. 이메일 한 통, 감염된 PC 한 대가 용광로를 멈추고 생산라인을 세운다. 철강 공장은 이제 물리적 현장이 아니라 사이버 전장의 한복판에 놓여 있다.

사이버 공격이 물리적 재난으로 이어진 사례는 이미 현실이 됐다. 2022년 이란의 대형 철강 공장에서 발생한 화재는 그 상징적 장면이다. 해킹 단체는 설비 제어권을 탈취했다고 주장하며 공장 내부 CCTV 영상을 공개했다.

영상에는 용광로에서 쇳물이 분출되기 직전 근로자들이 현장을 급히 빠져나가는 모습이 담겼다. 보안 전문가들은 이를 국가 후원형 사이버 작전 가능성이 높은 사례로 본다. 이란 핵 시설을 무력화한 스턱스넷 이후 사이버 공격이 실제 산업시설을 직접 파괴한 또 하나의 경고로 평가된다.

■ 설비 파괴로 이어지는 해킹···계정 정보 2만 건 떠돌아

세계 철강사들도 예외는 아니다. 독일의 철강 대기업 티센크루프는 반복적인 해킹과 랜섬웨어 공격으로 서버와 업무 시스템이 마비됐고 직원 정보 유출까지 겪었다. 올해 5월에는 미국 최대 철강사 누코르가 사이버 공격으로 생산 설비를 멈췄다.

2023년 다크웹 정보 유출 분석 결과, 국내 제조업에서만 23만 건이 넘는 계정 정보가 유출된 것으로 나타났다. 이 가운데 철강업은 2만여 건으로 기계업에 이어 두 번째로 많았다. 감염이 의심되는 디바이스도 100대를 넘었다. 이메일 계정과 업무용 PC가 대부분이었다. 조사 대상 제조기업 30곳 중 29곳에서 유출 흔적이 발견됐다.

철강 기술은 곧 국가 경쟁력이다. 실제로 미·중 철강 갈등의 출발점에도 사이버 공격이 있었다는 분석이 적지 않다. 2010년대 초반 미국은 자국 제철·에너지 기업의 설계 자료와 생산 기술이 대규모로 해킹됐다고 공개했다.

미 사법당국은 중국과 연관된 해킹 조직을 지목했고, 이후 기술 규제와 통상 압박이 본격화됐다. 철강 기술 유출은 기업 문제를 넘어 외교·안보 이슈로 확장된다.

■ 피싱 메일로 시작해 기하급수적 피해 확장···국가안보 직결

공격의 시작점은 대부분 피싱 메일이다. 계정을 탈취한 뒤 IT망에 침투하고 이후 생산 설비를 제어하는 OT(운영기술) 영역으로 이동한다. 이 단계가 열리면 피해는 기하급수적으로 커진다.

고로는 몇 분만 멈춰도 쇳물이 굳고 설비가 손상된다. 재가동까지 수일이 걸린다. 공격자 입장에서 적은 비용으로 최대 피해를 줄 수 있는 구조다. 철강산업이 사이버 공격자에게 ‘효율 좋은 표적’이 된 이유다.

국내 철강업계도 위기를 인식하고 있다. 정보보호 공시 기준 2025년 철강 빅3의 보안 투자액은 320억원에 달한다. 문제는 생태계 전반이다. 가장 취약한 고리는 중소 협력업체다.

전체 기업의 70% 이상이 연간 보안 예산 500만원 미만이다. 침해사고를 겪고도 별다른 대응을 하지 않는 경우가 대부분이다. 하지만 해커는 이 지점을 통해 대기업 설비와 시스템까지 접근한다.

철강은 국가 기간산업이다. 한 곳이 멈추면 전 산업이 흔들린다. 산업보안이 뚫릴 경우 피해는 기업 손실을 넘어 국가 경쟁력과 안보로 확산된다. 철강 산업의 전장은 이제 공장 바닥이 아니라 사이버 공간에 있다.