최근 보안 보고서들은 제조업 분야가 사이버 공격의 최우선 표적이 되고 있음을 경고한다. 예를 들어 주요 보안 기업이 발간한 2024년 글로벌 위협 보고서는 2023년 발생한 사이버 공격 중 25.66%가 제조업을 겨냥했으며 이는 전체 산업 중 가장 높은 수치임을 보여준다. 제조업체들은 랜섬웨어에도 특히 취약하다. 주요 통신사의 2024년 데이터 침해 조사(DBIR)는 제조업 침해 사고의 약 35%가 랜섬웨어와 연관되었다고 밝히고 있으며, 글로벌 보안 기업과 연구소의 공동 조사에서도 제조·에너지 기업 4곳 중 1곳이 단일 공격으로 500만 달러 이상 피해를 본 것으로 나타났다. 이처럼 높은 피해규모는 조업 중단과 매출 손실을 동반하며, 실제 조사에서는 다운타임이 평균 4~24시간 지속되어 고객 신뢰와 수익성에 큰 타격을 준 것으로 보고되었다.

글로벌 제조업 공격 동향 및 통계

• 공격 집중 추세: 2023년 기준, 주요 보안 기업의 보고서에 따르면 제조업은 전체 공격의 약 26%를 차지하여 모든 산업 중 최다 공격 대상이었다. 특히 랜섬웨어 피해자의 27.75%가 제조기업으로, 미국과 함께 가장 많은 피해자를 기록했다. 즉, 전체 랜섬웨어 사건에서도 제조업체가 압도적으로 자주 노출되고 있다.
• 침해 유형: 주요 통신사의 DBIR은 제조업 침해의 핵심 패턴으로 자격증명 탈취 후 시스템 침입 후 랜섬웨어 동원을 꼽는다. 실제 조사에서 25%의 제조업 침해는 해킹 후 도난된 인증정보가 사용되었고, 35%는 랜섬웨어로 데이터가 암호화된 것으로 나타났다. 또한 보고서는 제조업에서 ‘실수(오류)’로 인한 유출도 증가 추세라고 지적한다.
• 주요 공격 그룹: 구체적인 위협 주체로는 랜섬웨어 그룹과 APT(지속 위협) 그룹이 있다. 예를 들어 주요 랜섬웨어 조직들이 RaaS(서비스형 랜섬웨어)를 통해 제조업체를 주요 표적으로 삼고 있다. 주요 보안 기업의 보고서에 따르면 특히 특정 랜섬웨어 그룹이 2023년에도 피해자를 가장 많이 낸 그룹이며, 피해 목록 대부분이 미국과 제조업체였다. 한편 중국계 APT 그룹은 건설·공학·항공우주·통신 기업을 노리는 것으로 알려져 있는데, 이 그룹은 과거부터 글로벌 제조업체의 지적재산 탈취에 주력해왔다. 이 밖에도 다른 APT 그룹들도 자동차·전자·항공 제조 산업의 기술 자료를 노려왔다고 알려졌다.
• 피해 규모와 영향: 제조업체는 장비와 자산 손상이 빈번하며, 다운타임, 유지보수 비용, 랜섬 지불 비용이 복합적으로 발생한다. 글로벌 보안 기업과 연구소의 조사에 따르면 단일 침해 사고로 약 4분의 1 기업이 500만 달러 이상 손실을 보았으며, 응답자의 70%는 다운타임이 평균 4~24시간 지속된다고 답해 상당한 피해가 누적되었다. 특히 제조업체는 생산설비를 멈추면 피해가 눈덩이처럼 커지기 때문에 초기 대응 역량이 무엇보다 중요하다.

산업군별 주요 사이버 공격 사례

• 의류·소비재 (유럽) – 이탈리아의 한 의류기업은 2024년 1월 18일경 사이버 공격을 당해 전자상거래 서버와 물류 허브 시스템이 마비되었다. 회사는 즉시 서버를 차단하고 복구 작업에 돌입했으며, 발표에 따르면 1월 23일경 대부분 서비스가 복구되었다. 한편 영국의 한 화장품업체는 2024년 1월 랜섬웨어에 의해 영국 IT 시스템이 부분 침해되었으며, 공격자들은 무려 110GB 분량의 문서(여권 사본, 회계·금융·세무 서류 등)를 탈취해 랜섬웨어 갱단의 다크웹 사이트에 공개했다. 해당 기업은 곧바로 대처해 피해를 최소화한 것으로 전해졌다.
• 자동차·부품 (유럽) – 독일의 한 배터리 제조사는 2024년 2월 12일 사이버 공격을 공개하며, 생산 공장 5곳의 IT 시스템이 차단되고 생산이 중단되었다고 밝혔다. 해당 기업은 즉시 비상대응팀을 구성하고 복구 작업을 진행했으며, 경찰에 수사를 요청했다. 같은 독일의 한 자동차 부품기업은 2024년 1월 초에 자동차 바디 제조 부문이 공격을 받아 공장 가동이 일시 중단되었다고 발표했다. 그러나 조기 탐지로 큰 피해 없이 다른 사업부는 영향을 받지 않았고, 시스템을 오프라인 전환해 빠르게 복구를 마친 것으로 알려졌다.
• 항공·기계 (미주) – 미국의 한 항공기 엔진 부품사는 2024년 2월 20일 웹사이트 배너를 통해 사이버 공격 사실을 알렸다. 공격으로 운영이 중단되었으나, 구체적 유출 정보는 발표되지 않았다. 미국의 한 제지·포장재 기업도 2024년 2월 사이버 공격을 받아 한 지역 공장이 예방 차원에서 가동을 일시 중단했으나, “공격자는 제3자 공급망을 통해 침투했으며, 민감 데이터 유출은 없었다”라고 밝혔다.
• 전자·반도체 (아시아) – 대만의 한 반도체 장비 기업(대형 전자제품 제조사 계열)은 2024년 1월 15일 랜섬웨어 공격을 당했다. 회사 홈페이지가 해킹되어 “5TB의 데이터가 탈취되었으며, 이를 공개하겠다”는 협박성 메시지가 게시되었고, 제공된 링크는 랜섬웨어 그룹의 다크웹 사이트로 연결되었다. 이와 유사하게 인도의 한 케이블 제조사도 2024년 3월 17일 랜섬웨어 공격을 받아 IT 인프라 일부가 마비되었고, 이후 해당 랜섬웨어 그룹이 26일 자사 다크웹 유출 사이트에 해당 기업을 피해자로 등재했다.
• 그 외 – 남아공의 한 패키징 업체는 2024년 3월 20일 랜섬웨어 공격을 탐지해 즉각 대응에 나섰다. 해당 랜섬웨어 그룹은 3월 26일 해당 기업을 피해자 목록에 올렸고, 이 기업은 4월 4일 성명에서 “법무·재무·인사 등 내부 문서가 유출되었을 수 있다”고 밝혔다. 벨기에의 한 유리제품 제조사는 2024년 2월 말 대규모 사이버 공격으로 생산이 약 10일간 중단되었으며, 직원 20~30%가 기술실업 상태에 놓였다.

다크웹 정보 유출과 거래 현황

랜섬웨어 공격 뒤에는 다크웹에서의 유출정보 거래가 뒤따른다. 앞서 언급된 기업들처럼 피해자 기업의 데이터는 종종 범죄자들이 운영하는 암시장에서 공개된다. 예를 들어 앞서 언급한 영국 화장품 기업의 경우 110GB 분량의 기업·개인 자료가 아키라 갱단의 다크웹 데이터 누출 사이트에 게시되었으며, 인도 케이블 제조사와 남아공 패키징 업체의 탈취 데이터는 LockBit 랜섬웨어 그룹의 토르 기반 누출 사이트에 올라갔다. 또한 2024년 6월에는 미국의 한 반도체 기업의 내부 커뮤니케이션 자료가 또다시 암시장에 매물로 등장했다. IntelBroker라 불리는 해커는 BreachForums에 “해당 기업 내부 시스템 접근 권한”을 사례로 제시하며 영업사원 이메일, 내부 회의 케이스 노트 등을 다크웹에 판매하겠다고 게시했다. 이처럼 제조기업의 핵심 설계도면, 제품 계획서, 고객 DB 등 민감 자료는 인터넷 어두운 시장에서 거래되고 있어, 사이버 위협의 실체가 오프라인으로까지 확장되고 있다.

공격 그룹과 제조업 표적화

현재 제조업을 집중 공격하는 주체로는 랜섬웨어 조직과 지능형 지속 위협(APT) 그룹이 있다. 대표적으로 LockBit, ALPHV(BlackCat), CL0P 등 랜섬웨어 그룹은 생산 중단을 유발해 몸값 협상력을 높이기 위해 제조업체를 노린다. 예컨대 NTT 보고서에 따르면 LockBit은 2023년에도 피해자가 가장 많은 그룹이었으며, 전 세계적으로 제조업체들이 주로 피해자로 올랐다. 아울러 중국계 해커그룹 APT10(메뉴패스 팀)은 건설·공학·항공 분야의 기술·설계 정보를 캐내는 활동을 해왔고, NASA·제조업체 공급망을 겨냥한 이력이 있다. 이 밖에도 APT4, APT27 등 중국계 그룹은 자동차·전자·항공 방위 관련 데이터를 노리는 것으로 알려졌으며, 러시아·이란 등 다른 국적의 APT들도 제조업체의 신기술 탈취에 관심을 보여 왔다.

다크웹 모니터링 솔루션 도입 필요성

제조기업은 공격 초기단계부터 대응해야 하므로 다크웹 모니터링이 필수적이다. ISA 글로벌 사이버시큐리티 얼라이언스는 다크웹 모니터링을 “조직에 대한 잠재 위협을 산업시설에 도달하기 전에 식별하고 대응할 수 있는 선제적 전략”이라고 강조하며, 해커 포럼과 암시장을 실시간 검색해 기업 이메일·자격증명·소스코드 등 자사 관련 정보 유출 징후를 포착할 것을 권고한다. 실제로 제조업 OT/ICS 환경에서는 침해기업의 네트워크 정보가 토르나 비밀 포럼에 거래되기 전에 이를 발견하고 VPN 비밀번호 변경, 접근통제 강화 같은 대응이 필요하다. 따라서 다크웹 유출 감시 툴 도입을 통해 생산 설비의 접근권한 침해나 주요 설계자료 누출을 조기에 경고받으면, 실시간 보안조치와 사고대응이 가능해진다.

위의 통계와 사례들은 제조업체가 현재 극심한 사이버 위험에 노출되어 있음을 보여준다. 핵심 데이터를 안전하게 지키고 생산 라인의 연속성을 확보하기 위해, 제조업체 보안팀은 지금 당장 다계층 방어와 더불어 다크웹 모니터링 등 선제적 수단을 도입해야 한다는 점을 명심해야 한다.