최근 국내 대형 반도체 장비회사인 A사의 보안 컨설팅을 했던 보안 전문가는 예상보다 허술한 보안 수준에 놀랐다. 안랩의 보안 소프트웨어 ‘V3’ 등 범용 보안 제품을 사용하는 것 이상의 시도가 없었다. 이 전문가는 “해커가 마음만 먹으면 회사 내 각종 정보를 빼갈 수 있는 것은 물론 해킹을 당하고도 관련 사실을 알아차리기 힘들 정도로 보안이 취약했다”고 전했다.

최근 반도체 업계에서는 삼성전자 SK하이닉스 등 주요 반도체 업체와 거래하는 1차 협력업체들의 보안이 이슈로 떠오르고 있다. 자료 인쇄나 저장장치를 통한 외부 유출은 삼성전자 등에 뒤지지 않을 정도로 관리하고 있지만, 해킹을 통한 위협에는 사실상 무방비한 경우가 많아서다.

한 대기업 계열 반도체 소재 업체에서 근무했던 관계자는 “출입자 체크 등 일반적인 보안은 관련 팀이 따로 있지만 해킹 관련 보안 문제에 대해서는 담당 부서도 불분명했다”며 “삼성전자 등에 장비와 소재를 공급하는 1차 협력업체 대부분의 사정이 다르지 않다”고 말했다.

문제는 1차 협력업체도 반도체 제조업체와 중요한 정보를 공유한다는 점이다. 삼성전자와 SK하이닉스는 새로운 반도체 제품 및 공정 개발 과정에서 협력업체들이 필요한 정보를 받아볼 수 있는 공간을 인터넷상에 따로 열어둔다. 협력업체는 여기에서 내려받은 자료를 공유하며 장비 및 소재 개발에 나선다. 이렇게 협력업체로 넘어온 정보가 해커의 먹잇감이 된다는 것이다. 보안 전문가는 “자료가 저장된 노트북을 갖고 중국 출장을 한 번 다녀왔는데 해당 내용이 통째로 유출된 사례가 있다”고 말했다.

삼성전자와 SK하이닉스도 이 같은 문제를 인식하고 있지만 뾰족한 수가 없다. 협력업체에 보안 관련 인프라 강화를 요구할 경우 이른바 ‘갑질’로 비칠 수 있다는 우려 때문이다. 한 관계자는 “협력업체로 넘어간 자료와 데이터는 사실상 외부에 유출된다고 전제하고 중요도가 낮은 것만 선별해 전달하려 노력한다”며 “꼭 필요한 중요 정보는 협력업체 기술자를 불러서 보여준다”고 설명했다.

지난해부터 반도체 기술의 중요성에 대한 인식이 높아지면서 한국산업기술보호협회는 ‘핵심기술 보안 지원사업’을 통해 협력업체들의 보안 교육과 컨설팅을 하고 있다. 하지만 보안에 대한 인식이 높지 않아 이 같은 지원을 받은 업체가 5~6곳에 불과하다. 영세한 업체가 많아 수천만원씩 드는 보안 인프라 구축이 부담스러운 것도 문제다.

노경목 기자 autonomy@hankyung.com