earticle

영어

This study investigates operational technology (OT) security in the expanding smart factory supply chain of the manufacturing sector under rapid digital transformation, applying a three-dimensional framework – supply chain unit (Unit), OT/IT layer (Layer), and attack flow (Flow) – to empirical cases from the automotive industry. The analysis shows that most supply chain breaches originate in Tier 1 at Level 4, escalate through privilege abuse and lateral movement, and ultimately result in production shutdowns and large-scale data leakage at the OEM level, while the comparatively weak security posture of Tier 2+ functions as an additional weak link that amplifies risks to OEM operational continuity and regulatory exposure. These findings indicate a structural imbalance of responsibility in which lower-tier suppliers, constrained by gaps in budget, personnel, and technical capability, fail to meet required security levels, yet the ultimate impact and accountability for incidents are disproportionately concentrated at the upper tiers. Accordingly, OT security must be designed as a context-aware system spanning all tiers of the supply chain, incorporating sector- and organization-specific characteristics, and supported by a governance model that combines mandatory requirements for Tier 1, support-focused measures for Tier 2+, statutory minimum controls for Level 4, and reinforced security boundaries between IT and OT to establish organization-wide supply chain security governance.

한국어

이 연구는 디지털 전환이 가속되는 제조 산업에서 확대되는 스마트팩토리 공급망을 대상으로, 자동차 산업 사례에 3차원 분석 프레임워크(공급망 단위(Unit), OT/IT 계층(Layer), 공격 흐름 (Flow))를 적용해 OT 보안 구조를 진단하고 보완 방향을 제시한다. 분석 결과, 공급망 보안 침해 는 주로 Tier 1의 Level 4에서 시작해 권한 상승과 전파를 거쳐 OEM의 생산 중단과 대규모 데이 터 유출로 이어지며, Tier 2+의 낮은 보안 역량 또한 OEM의 운영 연속성과 규제 리스크를 증폭 시키는 약한 고리로 작동하는 것으로 나타났다. 이러한 결과는 국제표준을 준수하는 OEM과 달 리 하위 협력사가 예산·인력·기술 격차로 요구 수준의 보안 역량을 확보하지 못하면서도, 사 고의 최종 피해와 책임은 상위 단위에 집중되는 구조적 책임 불균형이 존재함을 보여준다. 이에 따라 OT 보안은 공급망 전 계층에 산업·조직별 특성이 반영된 맞춤형 체계로 설계되어야 하며, Tier 1에 대한 강제 규제, Tier 2+에 대한 지원 중심 정책, Level 4 최소 보안 기준의 법제화, IT– OT 계층 간 보안 경계 강화 등을 통해 전사적 공급망 보안 거버넌스를 확립하는 것이 필수적이다.