KTC가 이야기 하는 ‘피지컬AI 시대, HBOM이 중요한 이유‘
인공지능(AI)이 로봇, 드론, 자율주행차 같은 물리 시스템과 결합된 ‘피지컬AI’가 등장하면서, 보안의 범위도 소프트웨어에서 하드웨어까지 넓어지고 있다.
정원석 한국기계전기전자시험연구원(KTC) 지능정보사업본부(AI사업본부) 본부장은 14일 서울 코엑스에서 열린 ‘KTC & 소프트플로우 공동 세미나 : 2026년 보안적합성 검증 및 SW 공급망 보안 전략 세미나’에서 ”AI가 화면 밖으로 나오는 시대에는, 하드웨어 공급망 보안과 하드웨어 자재명세서(HBOM, Hardware Bill of Materials) 관리 체계를 서둘러 마련해야 한다“고 강조했다.
정 본부장은 “이제 AI는 화면 안에서 답을 내놓는 소프트웨어를 넘어, 실제 기기와 설비를 움직이는 피지컬 AI로 진화하고 있다“며 ”엔비디아 젠슨 황이 강조한 휴머노이드 로봇, 자율주행차, 대규모 AI 데이터센터 같은 흐름의 중심에는 결국 반도체, 메모리, 마이크로프로세서 같은 하드웨어가 있다”고 설명했다. 그는 “이런 변화 속에서 이 하드웨어가 과연 안전한가라는 질문에 산업계가 아직 충분히 답하지 못하고 있다”고 짚었다.
정 본부장은 하드웨어 공급망 보안의 중요성을 언급하며 과거 직접 겪은 사례를 소개했다. 과거 그가 있던 회사는 단가를 낮추기 위해 중국 생산 라인으로 옮긴 뒤 현지 조달 부품을 써 제품을 만들었는데, 몇주 뒤부터 화면 이상과 동작 오류가 잇따랐다. 불량 분석 결과, 문제의 중심에는 마이크로프로세서 칩이 있었다. 칩 제조사에 확인한 결과, 정상적인 공정을 거친 정품이 아니었다는 사실을 알게 됐다. 알고 보니, 중국 현지 업체가 현지 전자상가에서 들여온 가짜 칩을 사용한 것이다.
정 본부장은 “이런 사례는 단순 시스템 오류를 넘어, 하드웨어 공급망이 흔들리면 백도어가 설치되거나 치명적인 보안 취약점이 생길 수 있다는 점을 보여준다”고 짚었다.
정 본부장은 하드웨어 공급망 보안의 해법으로 HBOM을 제시했다. HBOM은 하드웨어 제품 안에 어떤 하드웨어 부품이 들어갔는지, 그 부품이 어디서 왔는지, 어떤 정보를 갖고 있는지를 정리한 문서다. 소프트웨어 구성 요소를 적는 소프트웨어 자재명세서(SBOM)가 공급망 보안의 기본 도구로 자리 잡고 있다면, 앞으로는 하드웨어에도 같은 수준의 가시성과 추적성이 필요하다는 것이 그의 주장이다.
정 본부장은 “최근 KTC는 이 하드웨어 공급망 관련 표준을 국내외에서 추진하고 있다”고 설명했다. 이어 “국제적으로도 미국 사이버보안·인프라보안국(CISA)은 HBOM 프레임워크를 통해 공급망 위험을 평가하고 줄이는 데 쓸 수 있는 일관된 구조가 필요하다고 제시하고 있어, 국내에서 이 표준이 필요하다”고 덧붙였다.
특히 그는 HBOM이 SBOM과 닮았지만, 운영 방식은 다르다고 강조했다. 소프트웨어는 취약점이 발견돼도 업데이트나 패치로 고칠 여지가 있다. 반면 하드웨어는 치명적 취약점이 드러나면 회수하거나 폐기해야 하는 경우가 많다.
정 본부장은 “설치 뒤 발견된 취약점을 해결할 수 있는 범위가 훨씬 좁다”며 “그래서 하드웨어 공급망 보안은 제품이 시장에 나온 뒤가 아니라, 설계·조달·제조 단계에서 신뢰할 수 있는 부품과 경로를 관리하는 일이 더 중요하다. 국내에도 SBOM만큼이나 HBOM 관련 논의가 더 많이 이뤄질 필요가 있다”고 강조했다.
한국기계전기전자시험연구원(KTC)은 1969년 설립된 국내 시험·인증기관이다. 전기·전자, 통신, 기계, 화학, 바이오 등 다양한 산업 분야에서 시험·인증 서비스를 제공해 왔고, 국가 연구개발 수요에 대응하는 역할을 맡고 있다. 최근에는 디지털·그린 전환을 기관 비전으로 내걸고, 4차산업·스마트혁신기술 분야의 시험인증, 표준개발, 연구개발 협력까지 업무 범위를 넓히고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
