좀 더 용감하게 디지털화를 향해

제조업체들은 디지털 변혁의 길에서 그들의 핵심 분야에서 떠나 불확실한 미래의 도전을 받아들여야 한다. CPS, 네트워킹 그리고 클라우드는 더욱 발전된 디지털 성숙도를 필요로 한다.

하인하르트 클루거(Reinhard Kluger): 프리 저널리스트

환상적이면서 동시에 두려움을 느낀다. VDMA에 따르면, 기계 제조업 분야에서 인더스트리 4.0의 새로운 공장에 대한 비전이 형성되고 있는 반면, 많은 관련자들은 이러한 변혁을 회의적으로 보고 있다고 한다. 최신 텔레콤 보고서에 의하면, 네트워크로 연결된 공장에서 기계들이 서로 커뮤니케이션 하는 경우, 90% 이상의 기업들은 사이버 공격에 노출되어 있고, 그 가운데 60%만이 이러한 공격에 스스로를 방어할 수 있는 능력이 있는 것으로 보고 있다. 산업 보안에 대한 VDMA 설문 조사를 보면, 설문에 응답한 기업 가운데 29%가 사이버 공격이 생산 중단을 초래할 것으로 보고 있다. 이 주제는 2년 전에 조사한 것이지만, 오늘날에도 이 수치는 상당 부분 유효한 것으로 보고 있다. 이에 대응하기 위해 독일연방 정부는 최신 사이버법, IT 보안법을 추진하였고, 사업 분야가 중요한 인프라를 다루는 업체는 기록된 사이버 공격을 보고할 의무를 부여했는데, 에너지 공급, 교통, 보건, 은행과 보험 분야가 이에 해당된다. 

안전한 IT 통신 없이는 미래의 공장도 없다. 이는 폴커 M. 반홀처 교수가 진행한 뉘른베르크 공과대학 공개 포럼에서 연구의 중심 “인더스트리 4.0 토론회“에서 다루어진 주제이다. 인더스트리 4.0과 IT 보안: 공격의 위험인가 아니면 극복해야 할 도전 과제인가? 인더스트리 4.0 환경에서 제조 현장은 얼마나 안전한가? 이에 대한 대답은 크게 세 가지로 주어졌다. 

공학박사 리누스 슐로이프너.
공학박사 리누스 슐로이프너. “목적은 중소기업들이 인더스트리 4.0 주제에 접근하게 하는 것이다. 기계 제조업체는 이 주제와 함께 자신들의 핵심 역량 분야를 떠나게 될 것이기 때문이다.“

공학박사 리누스 슐로이프너는 중소기업들의 인더스트리 4.0에 대한 대비책은 얼마 진행되지 않았다고 평가하였다. 쾰른 공과대학의 “시장 중심 기업 경영“을 전공하는 교수들이 보기에도 기계 제조나 부품 공급업체에 CPS, 네트워킹 및 클라우드라는 키워드가 알려지기는 했으나, 아직 모든 방면에서 수용된 것은 아니었다. 중소기업 및 기계 제조업체들에게 데이터 보안이나 방대한 데이터 흐름이라는 복잡한 도전 과제에 직면한 필요성을 느끼지 못했기 때문이다. “일반적인 중소기업들은 이런 부분을 잘 이해하지 못합니다.“ 일상적인 업무에 파묻혀 인더스트리 4.0과 관련하여 회사의 발전을 추진하는 데에 투자할 시간이 없다고 한다. 기업들에게 있어서 인더스트리 4.0의 비전이 10년은 지나야 현실이 될 것 같은데, 지금부터 왜 이렇게 관심을 가져야 하는가? 

목적은 중소기업들이 이 주제에 접근해야 하는데, 제조업체는 인더스트리 4.0과 함께 자신들의 핵심 역량 분야를 떠나게 될 것이기 때문이다. 그런데 많은 이들이 자신들은 남보다 실수를 하지 않을 거라고 맹신하고 있다. 가장 좋은 방법은 노하우의 도난이라는 최악의 경우를 눈 앞에 보여 주면서 제조업체가 보안에 더욱 신경을 쓸 수 있게 하는 것이다. 이런 일이 발생하면 기업의 고유한 노하우가 위협을 받게 되고, 이로 인해 기업이 문을 닫는 상황까지 초래될 수 있다. 이때 문제는 조치를 실현하는 것이며, 항상 다음과 같은 문제를 자문해야 한다. 우리 회사에 있어서 보안이란 어떤 의미인가? 이것이 얼마나 어려운지를 리누스 슐로이프너 박사는 실무를 통해 알고 있다. “특허 솔루션이란 없습니다.“ 뜻밖이긴 하지만, 이건 다른 문제라는 것을 알 수 있다. “특허가 보호해주는 경우는 극히 드뭅니다.“ 도용을 당했거나 손해를 알아챘을 때에는 이미 너무 늦은 경우가 많다. “IT 보안 실패로 인한 손해는 시간을 잃는 것과 마찬가지입니다.“   

개별화는 반드시 디지털 방식으로 처리해야 한다

좀 더 용감하게 디지털화를 향해 인더스트리 4.0 1
“인더스트리 4.0 환경에서 제조 현장은 얼마나 안전한가?” 라는 주제로 공개 포럼을 진행하는 폴커 M. 반홀처 교수

메카트로닉스 덕분에 정보 공학과 소프트웨어가 기계 제조업체의 사고 방식 속에 자리를 잡았는지를 뉘른베르크 공과대학의 페터 헤스 교수가 생산 자동화, 응용 정보 공학 및 로보틱스 분야의 예시를 들어 설명하였다. 그에게 제기된 문제는 다음과 같다. 로봇이 제조 현장에 자리잡을 것인가? 로봇들이 제조 현장에서 어떤 정신적 변혁을 일으킬 것인가? 오늘날은 중앙에서 통제되지만 앞으로는 주로 분산되어 통제될 것이다. 컨트롤 시스템과 공작물들은 앞으로 능동적으로 반응할 것이다. 따라서 공구 교체는 더 이상 잔여 작동 시간을 바탕으로 하지 않고, 센서 데이터를 바탕으로 이루어진다고 한다. 기계 제조업체에게 있어서 공정 안전성은 최고의 덕목이다. 미래의 로봇은 어디서 어떤 방식으로 일을 할 것인가? 페터 헤스 교수가 이에 대해, 자동화된 공장에, 협업 방식의 제조 현장에 그리고 유연한 운반 시스템에 사용된다고 한다. 노동자들과 조작자들에게 영향을 끼치는 변화가 될 것이다. 페터 헤스는 “새로운 커뮤니케이션 형태, 더 많은 모니터링 활동, 유연성 증대 그리고 연령에 적합한 작업을 위한 보조 로봇“이라는 키워드를 제시하였다. 페터 헤스는 단계를 작게 분할하여 도전 과제를 달성하라고 조언한다. “큰 컨셉트 전체는 절대 실현할 수 없습니다. 대신 목적을 가지고 구체적으로 이익이 되는 지점으로 접근해야 합니다.“ 제조업체는 보안 개념과 관련하여 일차적으로 기계 보안을 생각해야 한다고 한다. “IT 보안이 아직 교육에 자리잡지 못했습니다.“라고 그는 원인을 분석한다. 그리고 특수 기계인 경우는 최신화해야 한다는 압박이 없다고 한다. 사실 이들은 신속하게 변할 것이다. 인더스트리 4.0은 개별적으로 제작하기를 바라는 등 고객 바람이 변화하는 것을 의미하는 것이기 때문이다. 이것이 기계 제조업체가 디지털 방식으로 가야만 하는 추세이다. “제품의 개별화가 진행되고 있습니다.“(페터 헤스)  

가장 위협이 되는 것은 사회공학(social engineering)이다

기업들이 IT 보안과 관련하여 얼마나 부주의한지는, 인터넷 상에서 직접 피부로 경험할 수 있다. 디지털로 연결된 제조 시설을 보호하는 것은 사실 기술적 문제가 아니다. 그런데 현실은 달라 보인다. Google과 Shodan과 같은 검색 엔진은 네트워크 상의 컨트롤 시스템과 웹서버를 단시간에 찾아낼 수 있다고 한다. 오스트바이에른의 암베르크 바이덴 공과대학에서 컴퓨터 네트워크, 수학, 암호학 그리고 정보 보안을 가르치는 안드레아스 아스무트 교수가 프리젠테이션을 통해 두 서너 개 검색어로 설계도와 시스템을 찾아낸 것은 놀랍기만 하다. 인터넷을 통해 접근할 수 있는 컨트롤 시스템이 매우 많다는 사실이다. 그는 실시간으로 풍력 발전소와 다른 시스템에서 공개적으로 불러올 수 있는 설계도를 바로 찾아냈다. “이런 도면을 전세계 어디서든 쉽게 찾을 수 있습니다.“(안드레아스 아스무트) 참석자들은 시스템 운영자들의 경솔함에 머리를 가로 저었다. 믿을 수가 없는 사실이었다. 안드레아스 아스무트 교수는 단지 컨트롤 시스템을 찾아낸 것이며 검색 엔진을 통해 보여준 것일 뿐 해킹한 것은 아니라는 점을 강조했다. 그는 “들여다 보기만 한 것이지 건드리지는 않았습니다.” 미소를 머금었다.“ 그는 이런 시나리오를 피하기 위해 다음 사한을 요청했다. “자동화 전문가에게 책임을 부여하십시오! 자동화 전문가가 신중하게 실현해야 합니다.“ 모든 위험에도 불구하고 기업의 공격에 있어서 가장 위협이 되는 것은 사회 공학이다. “저는 모든 IT 보안 문제를 기술적으로만 풀 수 없다는 견해를 가지고 있습니다.“ 계속하여 안드레아스 아스무트는 “기업은 어떤 프로세스가 회사의 생존을 위해 중요한지 정하고 이에 대한 리스크를 평가하고 거기에서 출발해야 합니다.“ 모든 조치 중에서도 공격이 이루어진 부분을 통해 공격이 더 퍼질 수 없도록 환경을 다시 설정하는 것이 매우 중요하다. “바이러스 백신만 믿고 있는 사람은 반드시 배신을 당합니다.“라고 강조했다

IT 보안과 정보 보호는 한 쌍의 신발과 같아서, 서로 보완해야 한다고 안드레아스 아스무트는 말한다. “그러나 IT 보안을 유지하기 위해 정보 보호 솔루션을 사용할 수는 없습니다. 정보 보호는 무엇보다 개인과 관련된 정보를 보호하는 것입니다. 정보 보호를 보장한다고 해서, DoS(Denial of service, 서비스 거부 공격)이나 Spoofing(스푸닝) 공격으로부터 보호받는 것은 아닙니다.“