💌 후속 콘텐츠, 계속 받아보세요 ▶

1.생활 속에서 드러난 보안의 그림자

최근 가정과 산업 전반에 확산되고 있는 지능형 기기들은 단순 디지털 장비가 아니라, 센서·네트워크·제어 시스템이 융합된 사이버-물리 시스템(Cyber-Physical System, 이하 CPS)의 한 형태로 자리 잡고 있다. 그중 로봇청소기는 대표적 사례로 꼽힌다. 카메라와 라이다(LiDAR) 센서로 환경을 인식하고, AI 알고리즘을 통해 이동 경로를 계산하며, 클라우드와 앱을 통해 제어되는 로봇청소기는 매년 발전을 거듭하며 이미 수많은 가정에 보급돼 편리함을 선사하고 있다. 특히 중국산 제품들은 가격과 기능을 앞세워 글로벌 시장 점유율을 급격히 확대했는데, 이는 소비자에게는 편리함을 제공했지만 동시에 국가적 차원의 보안 리스크를 내포하고 있다.

지난 ’25년 9월, 한국인터넷진흥원(KISA)과 한국소비자원은 시중에 유통 중인 로봇청소기 6개 제품의 보안 실태에 대한 조사 결과를 발표했다. 발표된 조사 결과에 따르면, 지금까지 우려로 남아있던 보안 리스크가 실존하는 것으로 나타났다. 일부 로봇청소기 제품은 인증 체계가 허술하거나 데이터 전송이 암호화되지 않아 공격자가 원격에서 기기를 제어하거나 내부 사진과 영상을 유출할 수 있는 심각한 취약점을 내포하고 있었다. 특히 카메라가 강제로 활성화되어 사생활이 침해될 수 있었고, 악성 파일 전송을 통해 기기가 장악되는 시나리오도 가능했다. 이는 단순한 가전제품 문제가 아니라, 사이버 공격이 현실 세계의 물리적 환경으로 직접 확산되는 CPS 보안 위협임을 명확히 보여준다.

2. CPS 보안? 그거 OT 보안 아니야?

① CPS 보안의 중요성에 대해

CPS는 센서가 물리적 환경을 인식하고, 네트워크를 통해 데이터를 전달하며, 제어 시스템이 분석과 판단을 수행한 뒤, 물리적 장치가 다시 이를 실행하는 순환 구조를 가진다. IoT가 단순한 연결성을 강조한다면, CPS는 데이터와 물리적 행위가 긴밀히 결합된다는 점에서 차별적이다. 자율주행차, 의료 기기, 산업 제어 시스템, 드론 등 다양한 사례가 존재하며, 가정용 로봇청소기 역시 이러한 범주에 속한다. CPS 보안은 이러한 CPS의 안전성과 신뢰성을 보장하기 위해 설계·운영 단계에서 요구되는 일련의 보호 활동을 의미한다. 구체적으로는 데이터의 기밀성·무결성·가용성을 유지하는 전통적 보안 원칙과 더불어, 시스템의 물리적 안전성, 제어 명령의 정당성, 센서 데이터의 신뢰성을 동시에 확보하는 것이 핵심이다. 즉, 사이버 공간에서 발생한 공격이 물리적 장치에 잘못된 동작을 유발하지 않도록 하고, 반대로 물리적 교란이 사이버 시스템의 안정성을 무너뜨리지 않도록 하는 다층적 보호 체계를 구축하는 것이 CPS 보안의 정의라 할 수 있다.

이러한 구조적 특성 때문에 CPS 보안은 단순히 정보보호 차원을 넘어 실제 안전과 직결된다. 자율주행차 센서 교란은 교통사고로 이어질 수 있고, 의료기기 해킹은 환자의 생명을 위협할 수 있다. 로봇청소기 역시 단순히 청소가 중단되는 것이 아니라, 공간 구조가 외부에 노출되고 범죄에 악용될 가능성이 있다. 이에 시장 조사 기관인 가트너(Gartner)는 ’25년까지 CPS 보안 사고로 인해 물리적 피해를 경험하는 조직이 전체의 30%에 이를 것을 전망했으며, 마켓앤마켓(MarketsandMarkets)도 CPS 시장이 ‘29년에는 255억 달러 이상으로 성장할 것이라 분석했다. CPS 보안 사고와 관련된 시장의 급격한 성장은 CPS 보안이 생활 안전·산업 경쟁력·국가 안보를 좌우하는 핵심 과제임을 시사한다.

② CPS 보안 위협과 실제 사례

앞서 알아본 KISA와 한국소비자원의 조사에서 드러난 로봇청소기 취약점은 CPS 보안 위협이 결코 추상적 문제가 아님을 보여준다. 기기-서버 간 통신이 암호화되지 않거나 인증 과정이 허술할 경우 공격자는 손쉽게 데이터를 가로채거나 변조할 수 있다. 카메라 제어, 실시간 감시, 악성코드 주입 등은 단순히 개인의 사생활 침해를 넘어 물리적 공간에 대한 통제권이 외부로 넘어가는 심각한 위협이다.

국제 사례도 다양하다. 가장 널리 알려진 ‘21년 발생한 미국 Colonial Pipeline 사건은 IT망 침해가 OT 운영 차질로 확산되어 미국 동부 전역의 연료 공급이 중단되는 결과를 낳았다. ‘22년에는 의료용 약물 주입 펌프에서 취약점이 발견되어 환자 투여량을 원격으로 조작할 수 있음이 확인되었고, 이는 곧바로 생명 위협으로 이어졌다. ‘23년에는 Tesla 자율주행차가 가상의 장애물을 인식하도록 유도되는 공격이 시연되었고, 드론 GPS 스푸핑 실험은 군사용 무인기를 탈취할 수 있음을 보여주었다. 이처럼 CPS 보안 위협은 가정, 산업, 교통, 의료, 국방 전 영역에 걸쳐 확대되고 있다.

③ CPS 보안과 OT 보안의 접점

여기서 OT 보안과 CPS 보안의 차이가 도대체 뭔데? 라는 의문점이 발생할 수 있다. OT(Operational Technology) 보안은 본래 발전소, 제조 설비와 같은 산업 인프라의 제어 시스템을 보호하는 영역으로 출발했다. 초기에는 ICS(Industrial Control System)와 SCADA(Supervisory Control and Data Acquisition) 환경이 핵심 대상이었으며, 주로 폐쇄망 기반으로 운영되어 외부 위협으로부터 상대적으로 안전하다는 인식이 있었다. 그러나 최근 스마트팩토리, 지능형 플랜트, 자율 물류 시스템과 같이 산업 운영 기술이 IoT, 클라우드, AI와 융합되면서 OT 환경은 더 이상 폐쇄적이지 않게 되었고, 본질적으로 CPS의 특성을 강하게 띠게 되었다. 이는 가정용 로봇청소기와 같은 생활밀착형 CPS 기기가 가진 구조적 원리와 유사하며, 산업과 가정, 국가 기반시설을 구분 짓는 경계가 점차 희미해지고 있음을 보여준다.

이러한 변화 속에서 OT 보안과 CPS 보안은 사실상 동전의 양면과도 같다. 스마트팩토리의 생산 라인은 센서와 로봇암(Arm) 등이 실시간 데이터를 교환하며 움직이고, 제어 시스템은 이를 분석해 물리적 동작을 지시한다. 이는 로봇청소기가 집안 구조를 인식해 이동 경로를 산출하고 모터를 제어하는 과정과 크게 다르지 않다. 다만 차이가 있다면, 가정용 CPS는 개인의 프라이버시와 생활 안전에 직결되는 반면, 산업·국가 수준의 CPS는 공급망 안정성, 사회 인프라, 나아가 국가 안보와 직접 연결된다는 점이다. Colonial Pipeline 사건에서 확인된 것처럼 IT망 침해가 곧바로 OT 운영 마비로 이어지고, 이는 단일 기업의 피해를 넘어 국가 기반 시설 차원의 위기로 확산될 수 있다. 이처럼 OT 보안은 더 이상 전통적인 산업 설비 보호에만 머물 수 없으며, CPS 보안과 긴밀히 맞물려야 한다.

따라서 CPS 보안은 단순히 소비자용 IoT 기기 문제에 국한되지 않고, 산업 현장과 국가 기반 시설 보안을 포괄하는 총체적 보안 프레임워크 속에서 다뤄져야 한다. 다시 말해, CPS 보안과 OT 보안은 서로 독립된 분야가 아니라 상호 보완적이고 통합적으로 관리되어야 하며, 이를 위해 가정·산업·국가 수준을 아우르는 다층적 방어 전략이 필수적이다.

3. AI 시대 CPS 보안과 제도적 리스크 관리

앞서 살펴본 바와 같이 CPS 보안과 OT 보안은 이제 더 이상 별개의 영역으로 나누어 논의하기 어려운 상황에 이르렀다. 전력, 제조, 물류와 같은 국가 기반 산업이 CPS 기반으로 전환되고 있으며, 동시에 생활밀착형 IoT 기기 또한 CPS 특성을 띠면서 물리적 세계와 사이버 세계의 경계가 점점 사라지고 있다. 이러한 환경 변화 속에서 다음 단계로 주목해야 할 지점은 인공지능(AI)이 결합된 CPS 환경이다. CPS가 수집하는 방대한 데이터를 빠르게 처리하고, 자율적 의사결정을 가능하게 만드는 핵심 엔진이 바로 AI이기 때문이다. AI는 CPS의 뇌 역할을 수행한다. 로봇청소기의 경우 카메라와 라이다 센서가 수집한 데이터를 분석해 최적 경로를 산출하고, 자율주행차는 교통 신호와 주변 차량을 인식해 주행을 제어하며, 스마트팩토리는 실시간 데이터를 학습해 설비 가동률을 높이고 불량률을 줄인다. 이처럼 AI는 CPS를 한층 지능화하는 원동력이지만, 동시에 공격자에게는 새로운 공격 표면(Attack Surface)을 제공한다.

AI 시대의 CPS 보안 과제는 크게 두 갈래로 구분할 수 있다. 하나는 ‘기술적 과제’이고, 다른 하나는 ‘정책·제도적 과제’다. 전자는 데이터 무결성과 AI 모델의 신뢰성을 보장하는 문제이며, 후자는 국가별 법제, 공급망 리스크, 데이터 주권과 같은 기술 외적 요인에 기인한다. 두 영역은 상호 보완적으로 고려되어야 하며, 어느 한쪽만 대응해서는 충분하지 않다.

① 기술적 과제

먼저 기술적 과제로는 가장 먼저 ‘데이터 중독(Data Poisoning)’ 공격을 꼽을 수 있다. 공격자가 학습 데이터를 조작하면, AI 모델은 잘못된 패턴을 학습해 엉뚱한 판단을 내리게 된다. 이를 통해 로봇청소기가 특정 공간을 반복적으로 회피하거나, 자율주행차가 특정 표지판을 잘못 해석하도록 유도할 수 있다.

미세한 노이즈나 단순한 스티커만으로도 AI 모델의 인식 결과를 왜곡시키는 ‘적대적 예제(Adversarial Example)’도 큰 문제다. 이는 자율주행차가 신호등을 오인식하거나, 드론이 경로를 이탈하는 결과를 낳을 수 있다. 더 나아가 ‘AI 모델 탈취(Model Stealing)’와 같은 공격은 CPS 기기의 핵심 알고리즘을 역설계해 공격자가 유사한 시스템을 공격하거나 취약점을 대량 복제할 수 있도록 만든다. 결국 AI 시대의 CPS 보안은 기존의 네트워크 보안과 단말 보안을 넘어, AI 자체의 무결성과 신뢰성을 확보하는 것까지 범위를 확장해야 한다.

② 정책·제도적 과제

AI 보안 문제는 기술적 차원에만 국한되지 않는다. 데이터 중독 같은 공격 기법은 분명 기술적으로 해결해야 할 과제이지만, 동시에 정책·제도적 환경과 결합하면서 공급망 보안 차원에서도 심각한 위협으로 이어진다. 특히 중국산 CPS 기기의 경우, 중국의 「데이터안전법」과 「사이버보안법」 등 자국 법제를 근거로 해외 사용자의 데이터가 중국 내 서버로 이관되거나, 당국의 검열 및 통제를 받을 수 있다. 이는 단순 보안 취약점보다 훨씬 근본적인 위험이다. 공격자가 취약점을 악용하지 않아도, 법적 구조 자체가 데이터를 외부에 합법적으로 노출시킬 수 있기 때문이다.

조금은 오래된 사례이나, 지난 ’21년 발생한 중국의 IoT 플랫폼 기업 투야(Tuya)의 사례는 이러한 우려를 현실로 보여줬다. 투야는 전 세계 수천 개의 IoT 기기 제조사에 클라우드, SDK, 앱 빌더를 제공하며 빠르게 성장했지만, 중국의 데이터 법제가 시행되면서 신뢰 위기를 맞았다. 중국 내에서 수집·처리되는 데이터는 반드시 현지 서버에 저장되고, 필요 시 당국의 요청에 따라 제공해야 한다는 조항은 해외 사용자 데이터 보호 규제와 충돌했다. 유럽 GDPR, 미국의 데이터 보호 규제와 상충할 가능성이 제기되자, 다수의 해외 파트너 기업이 투야와의 협력 관계를 중단하거나 자체 플랫폼으로 이전했다.

투야 사건은 단순한 기업 차원의 위기라기보다는, 중국산 IoT·CPS 생태계 전반의 공급망 신뢰성에 의문을 제기한 계기였다. 로봇청소기를 포함한 생활밀착형 기기에서 수집되는 데이터가 중국 서버를 경유한다면, 그 자체로 개인정보 유출이나 국가 안보 문제로 직결될 수 있기 때문이다. 따라서 CPS 보안은 기술적 대응만으로는 충분하지 않다. AI 모델 보호, 네트워크 보안, 암호화와 같은 기술적 방어를 넘어서, 글로벌 공급망 관리·국가 차원의 인증 제도·국제 규범 준수가 함께 이루어져야 한다는 점을 분명히 보여준다.

나아가 CPS는 단순한 IoT 기기 차원을 넘어, 스마트 팩토리·에너지 인프라·교통 시스템 등 국가 기반시설과 직결되기 때문에 데이터 법제 리스크는 곧 사회·경제 전반의 리스크로 확장된다. 결국, 중국의 데이터 법제가 보여준 것은 특정 기업의 문제가 아니라, CPS 보안이 기술·정책·국제 협력 차원을 아우르는 종합 과제라는 사실이다.

4. 마무리

최근 5년간의 사례들을 종합해 보면 CPS 보안 위협은 단순한 정보 유출을 넘어 실제 물리적·사회적 피해로 확산되고 있다. 가정 영역에서는 중국산 로봇청소기 해킹을 통해 사생활과 주거 구조가 외부로 유출될 수 있음이 확인되었고, 산업 영역에서는 Colonial Pipeline 사건으로 IT망 침해가 OT 운영 마비로 이어지며 국가 차원의 에너지 공급 위기를 초래했다. 교통 분야에서는 자율주행차 센서 교란과 철도 신호 교란 사례가 대중교통의 안전을 위협할 수 있음을 보여주었으며, 의료 분야에서도 약물 주입 펌프와 인슐린 펌프의 취약점이 환자의 생명을 직접 위협하는 것으로 드러났다. 나아가 최근 해외 인프라에서 발견된 중국산 장비의 원격 차단 기능은 CPS 보안이 단순한 취약점 문제를 넘어, 법제와 공급망 차원의 구조적 리스크와도 직결된다는 사실을 보여줬다.

이는 CPS 보안 전략이 단편적 솔루션 도입만으로는 결코 충분하지 않음을 강조한다. CPS는 센서, 네트워크, 데이터, 제어 시스템, 물리적 장치가 유기적으로 연결된 구조이기에 어느 한 지점이 무너지면 전체 시스템이 위험에 노출된다. 따라서 설계 단계부터 보안 내재화(Security by Design)를 적용하고, 공급망 보안 검증과 국가 차원의 인증 체계를 마련하며, AI 기반 위협 탐지·대응과 동시에 AI 자체의 무결성을 보장해야 한다. 또한 국제 표준 준수와 정책적 제도화, 산업·정부·학계 간 협력 네트워크를 통한 전주기 관리가 필수적이다.

결국 CPS 보안은 가정용 기기부터 국가 기반시설까지 아우르는 다층적 과제이며, 기술적·제도적·정책적 대응이 결합된 총체적 전략으로 추진되어야 한다. 이는 단순한 사이버 보안을 넘어, 사회적 신뢰와 안전, 국가 안보를 지탱하는 핵심 전략 과제로 자리매김해야 한다.

5. 참고자료

1. 중국산 로봇 청소기 쓰다 사생활 털릴 수 있다, 조선일보:
https://www.chosun.com/economy/2025/09/02/LE3DVHZWXNAYLNMATE2NFSHIY4/
2. 제조업 노린 사이버 공격 기승…OT/CPS 보안 중요성 확대, 아이티데일리
http://www.itdaily.kr/news/articleView.html?idxno=233494
3. Hype Cycle for Cyber-Physical Systems Security, 2025, Gartner:
https://www.gartner.com/en/documents/6723934
4. Cyber-Physical Systems Market Size, Share & Report, MarketsandMarkets:
https://www.marketsandmarkets.com/Market-Reports/cyber-physical-systems-cps-market-150375126.html
5. AI 노리는 대표적 공격 3가지는? AI 모델 공유 플랫폼, AI 취약점, 데이터 오염, 보안뉴스:
https://www.boannews.com/media/view.asp?idx=130808
6. [데이터 주권] 디지털 보호주의 '급부상'…데이터 장벽 더 높아진다, ZDNET:
https://zdnet.co.kr/view/?no=20250820094210
7. Cybersecurity Experts Worried by Chinese Firm’s Control of Smart Devices, VOA:
https://www.voanews.com/a/east-asia-pacific_voa-news-china_cybersecurity-experts-worried-chinese-firms-control-smart-devices/6209815.html

💌 후속 콘텐츠, 계속 받아보세요 ▶