[디지털데일리 이종현기자] 한국의 주력 산업은 제조업이다. 통계청 조사에 따르면 2021년 기준 한국 전체 산업에서 제조업이 차지하는 비중은 27.9%다. 한국과 함께 제조 강국이라고 불리는 독일은 18.3%다. OECD 회원 36개국 중 한국보다 제조업 비중이 높은 것은 아일랜드가 유일하다.

이처럼 한국의 제조업은 국가 경제를 지탱하는 핵심 산업이다. 하지만 최근에는 젊은 인력 수급에 어려움을 겪고 있다. 인구 고령화보다도 더 빠른 속도로 공장이 늙고 있는데, 이에 대한 돌파구로 정보기술(IT)을 접목한 디지털 전환, 스마트팩토리 등이 대안으로 제시되고 있다. 산업계에서는 사물인터넷(IoT)나 인공지능(AI) 등 기술을 도입한 ‘등대공장’에 주목하고 있다.

정보보호산업법에 따라 매출액 3000억원 이상 상장 기업 등이 의무공시하는 IT·정보보호 현황은 한국 제조기업들이 얼마나 디지털 전환에 투자하고 있는지 일목요연하게 볼 수 있는 지표다. 그러나 조사 결과 한국 제조업의 디지털 전환은 아직 갈 길이 먼 것으로 보인다.

◆제조업 전반 IT·정보보호 투자 인색… ‘등대공장’ 포스코마저 저조

10일 <디지털데일리>가 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털을 전수조사한 결과 제조기업 전반은 IT·정보보호 투자에 인색한 모습을 보이는 것으로 확인됐다.

한국 제조업을 대표하는 기업 중 하나인 현대자동차는 2022년 IT에 4529억원, 정보보호에 210억원을 투입했다. 매출액 대비 IT·정보보호 투자비율은 0.69%, 0.03% 수준이다.

현대자동차, 기아, 현대모비스, 현대제철, 현대글로비스, 현대건설, 현대위아, 현대로템, 현대오토에버, 현대비앤지스틸, 이노션 등 11개 현대자동차그룹의 매출액 합은 216조7402억원이다. IT에는 1조1280억원, 정보보호에는 676억원을 투자했다. 매출대비 IT·정보보호 투자비율은 0.52%, 0.03%다.

2019년 국내에서는 최초로 글로벌 등대공장으로 선정된 포스코의 경우 현대자동차보다는 높지만 제조 분야 주요 혁신 기업대비 투자가 미흡한 것은 매한가지다. 포스코는 IT에 2368억원, 정보보호에 203억원을 투입했는데 이는 매출대비 IT·정보보호 투자비율로 0.67%, 0.06% 수준이다.

포스코, 포스코DX, 포스코엠텍, 포스코인터내셔널, 포스코퓨처엠, 포스코스틸리온, 포스코홀딩스, 엔투비 등 8개 기업의 매출액 합은 82조9705억원으로 IT·정보보호 투자액은 각각 3893억원, 328억원이다. IT·정보보호 투자비율은 0.47%, 0.04%다.

IT에 대한 투자 부족은 디지털 전환에 그다지 공을 들이지 않고 있다는 것으로도 해석된다. 이는 삼성전자, SK하이닉스, LG전자, LG에너지솔루션 등 혁신 기업으로 꼽히는 주요 대기업과 비교했을 때 여실히 드러난다.

매출대비 IT·정보보호 투자 비율은 삼성전자 2.07%, 0.11%, SK하이닉스 2.12%, 0.16%, LG전자 1.4%, 0.16%, LG에너지솔루션 1.61%, 0.14% 등이다. 아마존웹서비스(AWS)를 기반으로 스마트팩토리를 구축한 경동나비엔의 경우 매출대비 IT 투자비율이 1.89%로 확인됐다.

중견·중소기업으로 눈을 돌리면 격차는 더 심해진다. STX의 매출대비 IT·정보보호 투자비율은 0.1%, 0.0049%다. 소수점 두자리로 반올림할 경우 0%로 표기된다. 매출액은 8797억원인지만 정보보호에 4300만원을 활용했다. 에코프로비엠도 매출액은 3조4153억원이지만 IT에는 0.1% 수준인 32억원을, 정보보호에는 0.3% 수준인 8억원을 쓰는데 그쳤다.

◆정보보호 투자 미흡, 언제든 터질 수 있는 시한폭탄

정보보호에 대한 투자 미흡도 눈에 띈다. 매출액 1조1324억원인 일진전기, 매출액 3823억원인 동일고무벨트는 정보보호에 0원을 투자했다고 공시했다. 디아이씨는 0.001%, JC케미칼, 대한해운은 0.002%다. 현대에너지솔루션 0.005%, 현대미포조선, 롯데케미칼 0.006% 등 매출액 조단위 기업들도 정보보호에 큰 투자를 않고 있다.

제조기업이라고 해서 정보보호의 중요성이 낮은 것은 아니다. 최근 해커들은 중소·중견 제조기업을 해킹해 관련 생태계에 있는 기업들로 피해 범위를 늘리는 방식을 활용하고 있다. 자동차 부품업체를 해킹해 이와 계약관계에 있는 완성차 업체를 노릴 수도 있다.

혁신 기술을 가진 기업들의 경우 피해는 더 치명적이다. 잠수함을 설계·건조하는 대우조선해양, 한국한공우주산업(KAI) 등이 해킹 공격으로 기밀을 탈취당한 사례가 일례다. 국가정보원이 ‘공든 탑이 한 번에 무너질 수 있다’며 산업보안의 중요성을 강조하는 배경이다.

지난 6월24일 다크웹 포럼에는 건설·조선 등 사업을 하는 국내 기업 HJ중공업의 정보를 판매한다는 글이 게시됐다. HJ중공업이 해군에 공격함을 공급하고 있다고 소개한 게시자는 수십 기기바이트(GB)의 데이터를 가지고 있으며 8000달러에 판매한다고 말했다. 공사계약서, 운송자료 등 한글로 된 각종 회사 내부 문서가 포함돼 있다고도 덧붙였다.

실제 유출 데이터에는 건설기계 조종사에 대한 개인정보를 포함해 건설 도면, 작업 현황도 등이 포함돼 있다.

샘플로 업로드된 데이터에는 건설 관련 데이터만 포함돼 있으나 조선 관련 데이터까지 유출됐다면 피해는 더 커진다. HJ중공업은 독도함·마라도함, 천왕봉함 등을 건조했다. 2022년에는 신형고속정 4척 건조(2120억원), 독도함 성능개량(1808억원) 등 사업을 따내기도 했다. HJ중공업은 매출액 1조7873억원 중 정보보호에 7억5000만원, 매출대비로는 0.04%를 투자했다.

정보보호 업계에서는 제조기업의 정보유출 및 랜섬웨어 감염 사례가 굉장히 흔하다고들 말한다. 다크웹 등을 통해 유출 사실이 확인되지 않으면 조용히 넘어가는 경우가 많다.

◆IT·정보보호, 더 이상 ‘남 일’ 아니다

공장 데이터를 수기로, 또 노하우를 입에서 입으로 구전하는 시대는 지났다. 컴퓨터지원설계(CAD), 제품수명주기관리(PLM), 제조운영실행시스템(MES) 등 공장 환경에서 활용되는 소프트웨어(SW) 기술들이 얼마든지 있다. 산업용 사물인터넷(IIoT) 기술을 활용한 자동화·최적화 등은 제조기업의 경쟁력 향상으로 이어진다.

정보보호도 뒷짐 질만한 일이 아니다. 에너지 문제가 이슈로 부각됨에 따라 주요 기업들은 탄소 중립 선언을 하고 나섰다. 원자재를 납품하는 것부터 물류, 완성, 배송 등 가치사슬(Value Chain) 전반에 걸친 탄소 중립이 요구된다. 대기업과 계약하려면, 해외 사업을 하려면 중견·중소기업도 환경·사회·지배구조(ESG)를 위한 체계를 갖춰야 하는 것처럼, 정보보호 역시도 계약 관계에 놓인 기업들에게 요구될 전망이다.

단순히 IT·정보보호에 많은 투자를 하는 것이 능사는 아니다. 국내에서 정보보호에 가장 많은 금액을 투자하고 있는 삼성전자도 2022년 해커조직 랩서스(LAPSUS$)에 의해 회사기밀을 탈취당한 바 있다. 단순히 투자액이 많다고 해서 완벽한 정보보호 환경을 조성할 수 있는 것은 아니다. 다만 노력을 했음에도 사고가 발생하는 것과, 노력조차 하지 않는 것은 다른 차원이다.

정보보호 업계에서는 제조·건설 등에 특화된 보안이 필요하다고들 말한다. 운영기술(Operational Technology, OT) 보안으로 대표된다. 꼭 OT 보안이 아니더라도 CAD 파일을 지키기 위한 디지털저작권관리(DRM)나 네트워크에 대한 가시성을 확보하기 위한 네트워크 접근제어(NAC) 등 IT 영역에서 활용하는 솔루션도 얼마든지 채택할 수 있다.

과학기술정보통신부(이하 과기정통부)는 지난 9일 제로 트러스트(Zero Trust) 가이드라인 1.0을 발표했다. 정보보호 전문가들은 “결코 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)는 제로 트러스트의 원칙은 모든 기업들이 지켜야 할 덕목”이라고 강조한다. 기업들과 과기정통부, 산업통상자원부, 중소벤처기업부, 국가정보원 등 정부부처 공동의 노력이 요구된다.