공급망 붕괴 위기 가져온 ‘재규어랜드로버 해킹 사태‘, 국내 산업도 경고등

By곽중희

글로벌 완성차 기업 재규어랜드로버(이하 JLR)가 지난 8월 31일(현지시간) 사이버 공격을 받아 주요 생산 거점의 공장이 한 달 이상 가동을 멈추면서 공급망 붕괴 위기까지 번지고 있다.

이번 공격은 자동차와 연결된 정보기술(IT) 시스템을 겨냥한 것으로, 공장 가동이 중단되고 공급망이 마비되는 심각한 결과를 낳았다. 해킹 공격으로 한 국가의 기간 산업이 흔들린 사건으로, 국내 산업에도 결코 남 일이 아니라는 점을 보여준다.

사이버 공격으로 드러난 자동차 공급망 취약성

와이어드 등 주요 외신에 따르면, JLR은 공격 징후가 감지되자 내부 전사 자원 관리(ERP), 제조 실행 시스템(MES), 물류 관리 플랫폼 등 주요 서버를 즉시 네트워크에서 차단했다. 이 시스템들은 부품 발주와 생산 일정, 품질 관리, 재무 흐름을 통제하는 두뇌 역할을 한다. 차단은 추가 피해를 막기 위해 불가피한 조치였지만 동시에 생산 공장들도 멈춰 섰다. 영국, 슬로바키아, 브라질, 인도 등 JLR의 주요 생산 거점이 모두 가동을 중단했고, 평소 하루 1000대가량 생산하던 영국 내 3개 공장도 서게 됐다.

JLR은 며칠 내 복구를 예상했으나 포렌식 조사와 재가동 검증이 길어지며 생산 중단은 10월 초까지 연장됐다. 자동차 딜러와 서비스 부문은 일부 정상화됐지만 조립 라인은 여전히 멈춰 있다. 회사는 고객 데이터 유출 정황은 없다고 했지만, 해커들이 어떤 시스템을 장악했는지는 불투명한 상황이다.

문제는 자동차 산업 구조의 특성이다. 자동차 공장은 효율성을 위해 재고를 많이 쌓지 않고 부품 수천개를 적시에 공급받아 바로 조립하는 ‘적시 생산(Just-in-Time)’ 방식을 활용한다. 하지만 시스템 차질이 발생하면 재고가 없어 전 라인이 동시에 멈춘다. 이번 사태는 자동차 산업이 얼마나 IT 시스템에 깊이 의존하는지를 보여줬다.

더불어 공급망 충격은 협력사에도 크게 영향을 미쳤다. 가디언은 JLR의 일부 중소 부품사가 운영자금 대출을 받으려다 은행으로부터 “대표자 주택을 담보로 내놓으라”는 요구까지 받았다고 전했다. 현금 흐름이 막힌 협력사들은 감원에 착수했고, 노조는 “임금 삭감과 무급 휴직이 확산되고 있다”고 호소했다는 것이다. 업계는 JLR 손실액이 주당 최대 5000만파운드(약 860억원)에 이를 수 있다고 추산했다. 영국 싱크탱크 RUSI는 “이 정도 규모의 혼란은 전례가 없다”며 공급망 전체가 해킹 한 번에 무너질 수 있음을 경고했다.

이번 공격은 ‘스캐터드 랩서스 헌터스(Scattered Lapsus$ Hunters)’라는 해커 그룹이 자신들의 소행이라고 자처했다. 이 그룹은 과거에 여러 글로벌 기업을 해킹한 것으로 악명을 떨친 ▲스캐터드 스파이더(Scattered Spider) ▲랩서스$(Lapsus$) ▲샤이니 헌터스(ShinyHunters) 등 유명 해커 그룹의 조직원들이 연합한 단체로 알려진다. 이들은 최근 SK텔레콤에서 발생한 유심(USIM) 해킹 공격도 자신들의 소행이라 주장한 바 있다. 다만 SK텔레콤은 해당 주장을 전면 부인했다.

영국 정부 개입, 국내 산업은 괜찮나?

블룸버그에 따르면, 사태가 장기화되자 결국 영국 정부는 9월 27일 JLR에 최대 15억파운드(약 2조8000억원)의 대출 보증을 발표했다. 상업은행 대출에 정부 산하 UK 수출금융이 보증을 서는 구조로, 직접 고용한 3만4000명과 협력업체 등 공급망 연계 일자리 12만개를 보호하는 것을 목표로 삼았다.

해외에서는 정부가 직접 개입할 정도로 파장이 컸던 만큼, 국내 산업 역시 안전지대가 아닐 수 있다는 우려도 나온다. 자동차 보안 전문기업 페스카로(Fescaro) 관계자는 “자동차 보안 분야는 사람의 생명, 국가의 기반 시설, 교통 시스템과 직결되기에 규제 수준이 매우 높다. 자동차 사이버보안 규제 인증을 획득하기 위해 3000건이 넘는 문서를 제출할 정도로 엄격하게 관리되고 있다”고 설명했다. 이어 “이번 공격은 자동차 자체가 아닌 제조·유통 IT 시스템에서 시작됐다”며 “이는 자동차 제조사의 통합 보안과 회복탄력성(resilience) 없이는 유사 사태를 피하기 어렵다는 것을 보여준다”고 강조했다.

이어 “자동차 보안 분야는 강력한 글로벌 규제로 관리되지만, IT 시스템은 ‘ISO 27001(정보보안경영시스템 국제 표준)‘ 외에는 구체적 규제가 부족하다”며 “서로 연결된 만큼 자동차 보안과 같은 수준으로 IT 시스템의 보안 공백도 메워야 한다”고 덧붙였다.

공급망 보안을 위한 ‘소프트웨어 자재명세서(SBOM)’의 필요성도 부각된다. SBOM은 제품을 구성하는 소프트웨어 부품 내역을 기록해 어떤 오픈소스나 외부 모듈이 쓰였는지 추적할 수 있는 문서다. 이번 사태처럼 수많은 협력사가 얽힌 자동차 산업의 공급망에서 특정 소프트웨어의 취약점을 빨리 파악하지 못하면, 단일 해킹이 부품사 전체로 확산될 위험이 크다. 이 때문에 공급망 보안을 체계적으로 관리할 수 있는 도구로 SBOM이 필요하다.

SBOM 분석 기능을 전문적으로 제공하는 국내 보안기업 스패로우의 윤종원 최고기술책임자(CTO)는 “어떤 시스템을 공략했는지는 알 수 없지만, 공격자들이 가장 먼저 노리는 건 오픈소스 라이브러리의 알려진 취약점”이라며 “SBOM 없이 구성 요소 관리가 제대로 이뤄지지 않아 패치가 누락되면 공격자가 손쉽게 이를 악용할 수 있다”고 설명했다.

이어 그는 “완성차 업체가 협력사 수백 곳을 일일이 점검하기는 현실적으로 어렵겠지만, 자동화된 SBOM 관리 프로세스를 구축하면 협력사에서 전달되는 수많은 소프트웨어의 취약점을 상시로 모니터링하고 신속하게 검증할 수 있다”고 강조했다.

국내 역시 현대차·기아 등 완성차 제조사와 수많은 협력사가 얽힌 구조라 유사한 공격에 취약할 수 있다. 최근 KT, SKT, 롯데카드 등 통신·금융과 같은 기간 산업을 겨냥한 해킹 사고가 잇따른 점을 고려하면, 이번 사태는 국내 산업에도 분명한 경고를 준다. 공급망 보안과 IT 시스템의 회복탄력성을 높이기 위한 대비가 필요해 보인다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.