산업 사이버 위협을 돌파하기 위한 IEC 62443

자율제조를 위한 데이터 표준화와 사이버 보안 강화 전략 (2)

글로벌 제조 환경은 자율제조 AI(인공지능) 및 SDM(소프트웨어 정의 제조)로 전환하고 있다. 그러나 시시각각 급변하는 생산자원(4M2E) 메타 데이터와 OT 사이버 보안에 대한 국제 표준 준수 없이는 사상누각이 될 수 있다.

지난 호에서는 자율제조 AI 및 SDM 환경에서의 4M2E 생산자원 데이터 표준화에 대해 살펴보았다. 이번 호에서는 우리 수출 기업의 IEC 62443 산업용 사이버 보안 준비 현황을 짚고 정책 및 전략적 대응 방안은 무엇인지 살펴본다.

■ 연재순서
제1회 제조 혁신의 열쇠, 4M2E 생산자원 데이터 표준화
제2회 산업 사이버 위협을 돌파하기 위한 IEC 62443

■ 차석근
에이시에스의 부사장이며 산업부 국표원 첨단제조 표준화 포럼 의장 및 산업부 산업융합 옴부즈만 위원을 맡고 있다.

대한민국 수출 제품의 IEC 62443 산업용 사이버 보안 준비 현황 및 과제

IEC 62443 표준의 이해와 글로벌 중요성

IEC 62443 표준의 개요 및 적용 범위

ISA/IEC 62443 표준 시리즈는 전자적으로 안전한 산업 자동화 및 제어 시스템(IACS)을 구현하고 유지하기 위한 요구사항과 프로세스를 정의하는 포괄적인 프레임워크를 제공한다. 이 표준은 보안에 대한 최적의 관행을 설정하고 보안 성능 수준을 평가하는 방법을 제시하며, 운영 기술과 정보 기술 간의 격차, 그리고 공정 안전과 사이버 보안 간의 격차를 해소하는 전체론적 접근 방식을 채택한다. 국제전기기술위원회(IEC)에 의해 ‘수평 표준’으로 인정받은 이 표준은 빌딩 자동화, 전력 생산 및 분배, 의료 기기, 운송, 화학 및 석유 및 가스 산업과 같은 OT를 사용하는 광범위한 산업에 적용되는 것으로 입증되었다.

IEC 62443 표준은 IACS의 전체 수명 주기 동안의 보안을 다루며, 주요 이해관계자 그룹(자산 소유자, 자동화 제품 공급업체, 제어 시스템 설루션 및 구성 요소를 구축하고 유지 관리하는 통합업체, 제어 시스템 운영을 지원하는 서비스 공급업체)에 대한 요구사항을 정의한다. 이 시리즈는 일반 개념, 정책 및 절차, 시스템 요구사항, 구성 요소 요구사항을 다루는 여러 섹션으로 나뉜다. 또한, 의도하지 않은 오용부터 고도로 동기 부여된 정교한 공격에 대한 저항 수준을 나타내기 위해 네 가지 보안 수준(SL 0-4)을 정의한다.

IEC 62443은 수평 표준으로서 UN의 승인을 받았으며, IACS를 사용하는 모든 산업 부문에 적용 가능하다. 또한, 특정 산업 부문 표준이 개발될 때 IEC 62443 표준이 보안 요구사항의 기초로 사용되어야 한다고 명시되어 있다. 이는 단순한 권고를 넘어선 중요성을 가진다. 특히 대한민국과 같은 수출 중심 경제에서 산업 자동화 및 핵심 인프라 부문에서 글로벌 경쟁력을 효과적으로 확보하려면, IEC 62443 준수는 사실상 필수적인 요구사항이 되고 있다. 이는 글로벌 시장의 기대치, 점점 더 엄격해지는 공급망 요구사항, 그리고 상호 운용 가능하고 입증 가능한 보안 시스템의 중요성에 의해 주도된다. 비준수는 점차 비관세 장벽으로 작용하여 시장 접근을 방해하고 명성을 손상시키며, 궁극적으로 수출 경쟁력을 저해할 것이다. 따라서 선제적인 채택은 전략적 필수 과제이다.

글로벌 시장 진출 및 경쟁력 확보를 위한 필수 요건

IEC 62443과 같은 국제 표준 준수는 글로벌 경쟁력을 강화하는 데 매우 중요하다. 이러한 표준은 제조업체 간의 일관성을 향상시켜, 제품 및 프로세스의 변동성을 줄이고 상호 운용성을 개선한다. 또한, 최적의 관행과 잘 정의된 보안 요구사항을 활용함으로써 개발 비용을 절감하고 제품을 객관적으로 비교하며 보안 기능을 측정하는 방법을 제공한다. 에이서스 IoT(ASUS IoT)와 같은 기업은 산업 자동화 시스템의 보안 개발 프로세스를 검증하는 IEC 62443-4-1 인증을 적극 확보하여 제품 수명주기 전반에 걸쳐 보안을 내재화하고 산업 등급의 신뢰성 및 장기 지원에 대한 약속을 강화하고 있다. 딜로이트가 언급했듯이, “사이버 보안은 운영 탄력성의 필수 부분이 되었다. IEC 62443 표준에 맞춰 기업은 생산 라인을 보호하고, 가동 중단 위험을 최소화하며, 글로벌 경쟁력을 강화하는 일관된 관행을 채택할 수 있다.”

오늘날 상호 연결된 산업 환경에서 사이버 보안은 더 이상 단순한 기술적 규정 준수 체크리스트가 아니라 전략적 비즈니스 필수 요소이다. 수출 제품의 경우, IEC 62443 준수는 단순한 위험 완화를 넘어 강력한 시장 차별화 요소가 되며, 특히 규제가 엄격하거나 보안에 민감한 시장에서는 시장 접근을 위한 전제 조건이 되고 있다. 이러한 표준을 선제적으로 채택하는 기업은 신뢰성을 입증하고 고객 위험을 줄이며, 복잡한 글로벌 공급망에 더 원활하게 통합됨으로써 상당한 경쟁 우위를 확보한다. 반대로, 입증 가능한 규정 준수 부족은 수출 기회를 심각하게 방해하고 신뢰할 수 있는 산업 기술 국가로서의 명성을 손상시킬 수 있다.

EU의 새로운 규제 동향(NIS 2, CRA, Machinery Regulation) 및 시사점

IEC 62443 표준은 NIS 2 지침, 사이버 복원력 법안(CRA), 그리고 새로운 기계류 규정과 같은 새롭고 진화하는 유럽 규정을 준수하는 데 포괄적인 지원을 제공한다. NIS 2 지침은 운영자가 사이버 공격으로부터 시스템을 보호하기 위한 조치를 구현하도록 의무화한다.

CRA는 디지털 요소를 포함하는 제품에 대해 제품 수명 주기 전반에 걸쳐 의무적인 보안 요구사항을 도입하므로 제조업체에 특히 큰 영향을 미친다. 이 법안은 보안 취약점이 발견될 경우 제조업체가 최소 5년 동안 소프트웨어 업데이트를 제공해야 하는 ‘주의 의무’를 요구한다. 새로운 기계류 규정은 기능 안전과 관련된 사이버 보안 측면을 강조하며, 기계 제조업체가 부패 방지 및 제3자의 악의적인 시도로 인한 위험한 상황 발생 방지를 포함한 보안 측면에서 기계가 규정을 준수함을 확인하도록 요구한다. 이러한 준수는 적합성 선언서에 공식적으로 확인되어야 하며 CE 마크로 눈에 띄게 표시되어야 한다. 규정을 준수하지 않는 기계는 더 이상 EU에서 판매될 수 없다.

유럽 연합과 같은 주요 수출 시장에서 NIS 2 및 CRA와 같은 엄격하고 법적 구속력이 있는 규정의 등장은 IEC 62443을 ‘강력히 권고되는’ 지침에서 이러한 시장에 디지털 요소를 포함하는 제품을 판매하려는 모든 기업에게 실질적이고 법적인 필수로 변화시킨다. 이러한 규제 압력은 IEC 62443, 특히 ‘설계에 의한 보안(security by design)’ 원칙의 채택을 크게 가속화하는 강력한 외부 동인으로 작용한다. 대한민국 수출업체의 경우, 이는 단순히 기술적으로 진보된 제품을 갖는 것만으로는 더 이상 충분하지 않다는 것을 의미한다. 제품은 설계 단계부터 운영 수명 주기 전반에 걸쳐 입증 가능하게 안전하고 이러한 국제 표준을 준수해야 하며, 그렇지 않으면 시장 배제라는 심각한 결과를 초래할 수 있다.

표 1. IEC 62443 표준 시리즈 주요 구성 및 적용 영역