반도체 장비 역시 사이버 보안 공격에서 자유롭지 않다. 특히 이런 공격은 오래된 운영체제(OS)를 쓰는 구형 장비들을 겨냥한다.

반도체 제조사들이 각자 보안을 구현하고는 있지만, 모든 장비에 일일이 보안 기능을 구축하기란 쉽지 않다. 더군다나 구형 장비의 경우 아예 보안 프로그램을 구동하는 것조차 힘들다. 이에 업계에서는 모든 반도체 장비가 일정 정도의 보안을 준수하도록 하는 표준을 제정하려는 움직임이 일고 있다.

보안 표준 제정 나선 업계

업계와 외신에 따르면 최근 인텔과 사이매트릭스(Cimetrix), 그리고 TSMC와 대만 산업기술연구소(ITRI)는 세계반도체장비재료협회(SEMI)를 통해 반도체 장비에 관한 보안 표준을 개발하고 있다.

인텔과 사이매트릭스는 악성 소프트웨어(Malware)가 없는 장비 통합 방법에 대한 표준(SEMI Draft Document 6566)을 만든다. 이 표준은 장비를 선적하기 전 검사(Scan)에 필요한 프로토콜을 정의하고 파일 전송, 유지 관리 패치 및 구성 요소 교체에 대한 지원도 다룬다. 지난해 7월 표준 작업을 시작해 두달 후 1차 초안이 나왔고, 내년 비준을 목표로 한다.

TSMC와 ITRI는 팹 장비의 컴퓨터 OS 및 기타 기술에 대한 공통 최소 보안 요구 사항 및 지침을 다루는 표준(SEMI Draft Document 6506)을 주도하고 있다. 이 표준은 현재 SEMI 회원들을 대상으로 투표 단계에 있다.

이전까지 반도체 제조사는 저마다 IT 조직 및 생산라인 내에서 보안 조치를 가동하고 있다. 예를 들어 생산라인 내에서 USB 스틱을 사용하지 못하게 하며, 휴대폰처럼 통신 기능이 있는 장치 역시 금지하는 식이다. 

하지만 반도체 제조사가 한 개의 생산라인만 가지고 있는 경우는 드물다. 각 생산 장비와 시스템의 공급사들도 다르며 경우에 따라서는 서로 다른 OS를 쓸 수도 있다.

TSMC에 따르면 대형 제조사의 경우 75개 공급사가 제공한 1500여개의 서로 다른 장비를 구비하고 있고, 많게는 30개의 OS 유형을 다뤄야한다. 특정 장비의 컴퓨터 OS 평균 수명은 4~6년인데, 지난 1995년부터 2018년까지 이 OS 중 20개 이상이 구식이 되거나 서비스 종료(EOS)됐다. 매년 평균 1~2개의 OS에 대한 서비스가 종료된다는 점을 감안하면, 이후 이 OS로 가동되는 장비는 보안에 극히 취약해진다.

두 표준은 이같은 문제를 해결하기 위해 제안됐다. SEMI Draft Document 6566는 장비 내의 모든 컴퓨팅 장치에 적용 할 수 있는 인프라와 프로세스를 정해 OS의 서비스가 끝나도 사이버 위협으로부터 장비를 보호할 수 있게 한다. SEMI Draft Document 6506는 팹 장비의 주요 구성 요소인 OS, 네트워크 보안, 말단(End-point) 보호, 보안 모니터링에 대한 기준선을 명시한다.

사이버 위협, 반도체를 향하다

반도체 업계에서 사이버 보안에 대한 경각심이 높아진 건 지난 2018년부터다. 그 해 TSMC가 신규 장비의 소프트웨어를 설치하는 과정에서 바이러스에 노출됐다. 약 1만여대의 장비가 바이러스에 감염됐으며, TSMC는 장비 가동을 3일간 멈춰야했다.

반도체 생산라인은 365일 24시간 돌아가는데다, 한번 라인을 멈췄다가 가동해 원래의 생산성을 내기까지 적어도 일주일이 걸린다. 몇일만 가동을 멈춰도 수십, 수백억원의 피해를 입는다는 얘기다. 더군다나 TSMC처럼 외부 고객사들의 주문을 받아 제품을 생산하는 파운드리 업체는 고객의 핵심 데이터까지 유출될 위험이 있다.

신종 코로나 바이러스 감염증(코로나19)으로 현장 관리 인력이 보안을 제대로 신경쓰지 못하는 상황이 되자 반도체 제조사들은 원격 보안 진단 도구를 활용하기 시작했다. SEMI에 따르면 지난 2월부터 4월까지 칩 제조사의 원격 진단 소프트웨어 사용은 이전 대비 갑절 이상 늘었고, 5월과 6월은 사상 최고 수준을 기록했다. 

그럼에도 올해만 반도체 제조사를 향한 두 건의 사이버 공격이 있었다. 성공하지 못한 공격은 외부에 알려지지 않는다는 점을 감안하면 실제로는 더 많은 공격이 이뤄지고 있다는 뜻이다. 지난 7월 독일 파운드리 업체 엑스팹(X-Fab)이 랜섬웨어 사이버 공격의 표적이 됐고, TSMC와 마찬가지로 며칠 간 공장 가동을 멈춰야했다. 지난달에는 타워세미컨덕터가 사이버공격을 받아 4일간 운영을 중단했다.

표준 제정의 걸림돌

하지만 표준 제정은 생각보다 간단치 않다. 각 제조사와 장비 업체들간의 보안 수준이 서로 다르고, 특정 수준을 만족하는 것조차 쉽지 않기 때문이다.

보통 사이버 보안의 경우 물리적 보안이 가장 중요한데, 잠재적 위협과 편의성·접근성 간의 균형을 맞추기가 어렵다. 생산라인 네트워크가 사무실 네트워크 등 외부 네트워크와 물리적으로 완전히 분리되면 보안성은 좋지만, 네트워크에 대한 접근성과 편의성이 떨어진다.

장비의 OS를 매번 최신 소프트웨어로 업그레이드할 수 있는 지도 발목을 잡는다. 대형 제조사는 그럴 수 있는 자원을 충분히 갖추고 있지만, 소형 제조사는 여력이 없다.

장비 업체의 경우도 마찬가지다. 장비 한 대는 수만개의 부품과 OS가 포함된 컴퓨터로 구성된다. 물론 보안을 염두에 두고 최신 소프트웨어를 장착하려고 하지만, 보안 소프트웨어 기술에 대한 연구개발(R&D)은 장비 기술에 대한 R&D보다 후순위에 놓일 수 밖에 없다. 그나마 대형 업체들이라면 여유가 있지만, 중소 장비 제조사들은 장비 기술 개발도 힘에 부친다. 

업계 관계자는 "반도체 장비에 대한 사이버 공격이 늘어나고 있는 상황이라, 이같은 격차를 극복하고 보안 표준을 제정, 도입하는 게 맞다"며 "대형 업체와 중소 업체간 격차가 있긴 하지만 표준 제정 및 발효에 시간이 필요하므로 준비할 시간은 충분하다"고 말했다.