가짜 부품: 쉽게 볼 수 있는 곳에 숨어 있는 펜타곤 공급망 문제

새로 완성된 F-35 전투기 18대가 여름의 거의 절반 동안 텍사스 포트워스에 있는 록히드 마틴이 운영하는 시설인 공군 4공장 밖에 있었다.

F-35는 전세계의 군사 기지로 비행하는 대신, 미 국방부 관리들이 그들을 그곳에 고정시킨 공급망 혼란을 해결하려고 노력하는 동안 주기되었다.

지난 8월 F-35의 핵심 엔진 부품 제조업체인 허니웰이 록히드사에 한 부품의 출처에 대해 새로운 우려를 제기한 후 미 국방부는 항공기 인도를 중단했다. 구체적으로, 하청업체는 부품의 자석이 수년 동안 중국에서 조달된 원자재를 사용하여 만들어졌다는 것을 알게 되었다. 이는 연방 조달 규칙을 위반한 것이다.

국방부는 궁극적으로 중국산 합금이 F-35를 위험에 빠뜨리거나 손상시키지 않았다고 결정했고, 10월 초에 인도가 재개될 수 있도록 면제를 승인했다.

그러나 세간의 이목을 끄는 이 사건은 국방부 지도자들에게 어려움을 부각시켰는데, 국방부는 이 문제를 해결하기 위해 노력해 왔고 10년 이상 동안 경고를 받아왔다. 위조 부품과 기타 허가받지 않은 재료들이 국방부의 광범위한 공급망에 잠입하는 것을 어떻게 막을 것인가 하는 것이다.

국방부 관리들은 최선의 경우에는 장비 성능이 저하될 수도 있고 최악의 경우에는 부대의 우발적인 사망으로 이어질 수도 있다고 우려하고 있습니다.

중국이 미국의 군사적 라이벌로 부상하고 세계에서 많은 위조품의 발원지라는 지위를 누리고 있는 가운데 관리들과 전문가들은 이에 대한 우려가 커지고 있다고 말한다.

미 국방부의 컴퓨터 칩 공급망을 연구해온 허드슨 연구소의 브라이언 클라크 국방 분석가는 "분명히 생명이 위태롭다"고 말했다.

국방부의 광범위한 공급업체 네트워크는 위조품, 조악한 부품 또는 기타 허용되지 않는 부품을 적발하는 것을 벅찬 작업으로 만든다. 미 국방부 지도자들은 위조 부품을 찾기 위한 새로운 테스트를 개발하고 문제가 있는 구성 요소가 발견되면 보고에 다시 중점을 두며 군대와 산업이 발견한 위조 부품에 대한 메모를 더 자주 비교하도록 권장한다고 말한다.

국방 획득 및 유지 담당 차관인 Bill LaPlante는 F-35 배송이 중단된 후, "좋은 소식은 인공지능과 오픈 소스를 사용하여 우리가 뛰어들어 이런 것들 중 일부를 찾을 수 있는 도구들이 나온다는 것입니다." "하지만 공급망을 이해하는 것이 우리에게 끊임없는 문제가 될 것이라고 생각합니다."라고 했다. 

 

 

'지속적인 경계'

할리마 나지브-로크 국방부 산업기반 복원 담당 부차관보는 9월 디펜스 뉴스와의 인터뷰에서 위조 부품의 문제는 지적 재산권의 도난만이 아니라고 말했다. 더 중요한 것은, 그것들이 작동하지 않거나, 엉성하거나 신뢰할 수 없다는 것이다.

2020년 6월 공군 조종사 David Schmitz 중위  사망사건의 경우, 투명성의 부족은 치명적인 것으로 판명되었을지도 모른다. 슈미츠는 낙하산이 오작동하는 사출 좌석에서 전개되지 않아 사망했는데, 공군 연구소는 최대 10개의 위조품과 결함이 있는 트랜지스터와 반도체 칩이 있었을 것이라고 말했다.

연구소는 이 부품들이 "의심스럽다"고 말했지만, 그것들이 진짜 위조품인지를 확인하기 위해서는 더 많은 분석이 필요할 것이라고 언급했다.

슈미츠의 미망인 발레리는 3명의 방산업체를 상대로 연방 민사소송을 제기해 이 부품들이 가짜로 판명됐는지 여부를 밝혀내려고 했다. 공군은 이 사건에 대해 언급하기를 거부했다.

 

세계적인 반도체 부족 현상 속에서, 일부 국방부 관리들은 궁지에 몰린 공급업체들로부터 이익을 얻으려는 공급업체들과 사이버 백도어의 본거지인 복제 부품을 만든 적수를 통해 위조 칩의 잠재적인 유입을 우려하고 있다.

 

미 국방부 내부 반도체 공급업체인 디펜스 마이크로일렉트로닉스 액티비티(Defense Microelectronics Activity)의 닉 마틴 국장은 "아무도 하지 않을 때 공급망 내에서 위조 부품을 사용할 수 있다고 광고하는 것만으로도 그 어느 때보다 많은 인센티브가 있다"고 말했다.

2018년 블룸버그 비즈니스위크는 중국 정부가 오리건주에 본사를 둔 Elemental Technologies가 만든 작은 마이크로칩 형태의 서버에 비밀 출입구를 설치했다고 보도했다.

보고서에 따르면, 중국의 제조 하청업체들이 운영하는 공장에 칩이 삽입된 이 서버들은 국방부 데이터 센터, CIA 드론 운영, 해군 함정의 탑재 네트워크에서 발견될 수 있다.

이제, 승인된 공급원으로부터 일부 부품을 얻는 데 종종 2년이 걸리기 때문에, 전자 제품 제조업체들은 더 적은 선택지에 직면하게 됩니다. 마틴은 가장 일반적인 위조품은 악의적인 것이 아니며 단순히 군사적 목적으로 적합하지 않다는 것을 위장하기 위해 일련번호를 변경했을 수 있다고 말했다.

마틴은 "우리의 DoD 무기 시스템은 현장에서의 시간 측면에서 긴 시간을 가지고 있으며, 우리는 그것들에 넣는 부품에 대한 구체적인 신뢰성 요구 사항이 있는지 확인해야 한다"고 말했다. "위조품이나 심지어 복제된 구성 요소도 장비의 신뢰성을 손상시킬 수 있습니다."

클락은 위조 칩은 한동안 정품으로 간주될 수 있지만 더 빨리 마모될 수 있다고 말했다. 칩이 올바르게 코팅되거나 경화되지 않았거나 표준 이하의 재료를 사용하거나 값싼 전선으로 연결된 경우 군이 기대하는 기준에 맞지 않으며 잠재적으로 군인들을 위험에 빠뜨릴 수 있다고 그는 설명했다.

클라크는 "이러한 [군사적] 기준에 대해 이야기할 때, 비록 그것이 예정된 시간 이후에 계속해서 서비스를 제공하더라도, 많은 것들이 예정된 방식으로 수행되도록 설계되었습니다,"라고 말했다. "상업용 제품에서는 애플이 10년 동안 아이폰 뒤에 서 있지 않을 것입니다. 반면 DoD에서는 F-16[전투기]이 수십 년 동안 작동하도록 되어 있습니다."

국방부의 공급망 규모는 무엇이 그 안에 들어가는지 주시하는 것을 어려운 과제로 만든다. Najieb-Locke는 국방-산업 기반에 20만 개의 주요 공급업체가 있으며 더 많은 하청업체를 확보하고 있다고 추정했다.

Najieb-Locke는 "우리가 아직까지 가시성이 있다는 사실을 감안할 때 진정으로 확실한 수치를 제공하기는 어렵다"고 말했다. "Lockhid는 그들이 주요 제조업체로서 공급하는 위젯을 계약하고자 하는 사람과 계약할 수 있습니다."

실제로 올 여름 F-35의 문제는 국방부의 복잡한 공급망과 부서에 얼마나 불투명할 수 있는지를 새롭게 조명했다.

F-35는 모든 수준에서 약 30만 개의 부품을 제공하는 1,700개 이상의 공급업체에 의존한다. 공군의 네트워크는 훨씬 더 넓다; 서비스는 그것이 약 12,000개의 직접 공급업체에 의존한다고 말했다. 그러나 공급망을 더 아래로 내려가면, 네트워크는 약 100만 개의 회사로 확장된다.

앤드류 헌터 서비스 인수 책임자는 9월 회의에서 기자들에게 "코로나의 교훈 중 하나는 우리가 생각했던 것만큼 공급망을 잘 이해하지 못했다는 것"이라고 말했다. "코로나 영향과 인플레이션 모두 사람들이 돌아가서 '이봐요, 공급망에는 우리가 충분히 인식했을 수 있는 것보다 더 복잡해요.'라고 말하게 하고 있습니다."

헌터는 F-35가 이런 문제를 일으킨 것은 이번이 처음이 아니라고 말했다. 오바마 행정부 시절, 스코틀랜드에서 처음 생산된 F-35 부품은 록히드나 부품 제조사가 알지 못한 채 중국에 외주를 주었다.

헌터는 "이러한 공급망은 정적인 것이 아닙니다,"라고 말했다. "그것은 도전이며, 끊임없이 움직이는 목표입니다. 따라서 공급망이 탄력적이고 안전하며, 제품이 어디에서 나오는지, 규정 준수 여부를 파악해야 합니다."

 

 

정보 공유 추진

올 여름, 미 국방부는 미분류 정부 산업 청산소에 위조로 의심되는 부품을 보고하는 격차를 해결하기 위한 새로운 정책을 채택했는데, 이는 2016년 정부 회계 책임국이 확인한 문제이다.

24페이지 분량의 이 정책은 모든 국방부 장관들에게 위조품과 "부적합한" 품목들이 발견된 지 60일 이내에 현재는 거의 알려지지 않은 정부-산업 데이터 교환 프로그램 또는 GIDEP라고 불리는 프로그램에 보고되도록 의무화할 것이다.

오랜 규정은 국방부의 공급업체들이 정부에 물품을 인도하기 전에 그들의 물품을 시험하고 검사하도록 의무화하고 있다. 새로운 정책에 따르면, 해당 공급업체와 DoD 부품이 위조된 것으로 의심되는 부품을 발견하면 GIEDP에 보고서를 제출해야 합니다.

이 정책은 현재 하이디 슈 국방부 연구 및 엔지니어링 차관을 임명하여 GIEDP를 감독하고 그 주변에 설치된 두 개의 패널을 의장하는데, 이 패널에는 군사 부서, 국방 물류청 및 기타 국방부 기관의 대표가 포함될 것이다.

새로운 정책은 또한 국방부가 GIEDP 보고 및 모니터링 의무사항을 특정 계약에 작성하도록 요구하는 2019년 연방 인수 규정에 부합하도록 할 것이다.

Jim Stein GIDP 프로그램 매니저는 "[정책을 촉발한] GAO 권고는 공정한 경쟁의 장이 있는지 확인하기 위한 것이었습니다,"라고 말했습니다. "산업은 산업과 정부 전반에 걸쳐 알고 있는 것을 공유하고, 정부는 정부와 산업 전반에 걸쳐 알고 있는 것을 공유할 것입니다. 산업에 있어서 이것의 한 가지 이점은 정부가 무엇을 해야 하는지 보고하기 시작할 것이라는 것입니다."

GAO는 의회 조사에 따라 2011년에 GIEDP 참여가 급증했지만 나중에 크게 감소했다는 것을 발견했다. 감시기구는 육,공,미사일방어국이 중앙 담당자의 부재와 부서 전반에 걸친 보고에 대한 다양한 접근을 비난하며 어떠한 보고도 하지 않았다고 말했다.

스타인에 따르면, 국방부는 지난 20년 동안 위조품의 숫자와 정교함이 증가했고, 위조품 묶음이 정품 부품에 점점 더 많이 숨겨져 있어 찾기가 더 어려워졌다고 합니다. 그러나 국방부는 또한 공급업체들이 테스트와 검증에 대해 더욱 경계하는 것을 목격했다.

"콘덴서 한 릴을 구입하는 것이 한 예가 될 것입니다."라고 그가 말했습니다. "어떤 경우에는 릴의 첫 번째 100개가 진품이고, 그리고 나서 그들은 더 먼 옛날에 위조품을 삽입하기 시작한다. 그것은 테스트를 어렵게 하지만, 그 후 전문가 회의가 열리고, 그 정보가 더 널리 알려지게 됩니다."

한편, 국방부는 어떤 마이크로일렉트로닉스도 안전하지 않으며 모든 것이 검증되어야 한다고 가정하는 제로 트러스트 정책을 모색하고 있다. 이는 테스트 결과 마이크로일렉트로닉스에 취약점이 없고 모든 요구사항을 충족하는 경우에만 공급 사슬에 마이크로일렉트로닉스를 허용하는 것을 의미할 수 있다.

클라크는 "현장에서 테스트하고 '가라' 또는 '아니오'라고 말할 수 있다면 전체 과거 이력을 가질 필요가 없다"고 말했다.

실제로 Najieb-Locke는 국방부가 공급망 전체를 완벽하게 파악할 필요가 없다고 확인했습니다. 나사가 작동하는 한, 누가 나사를 만들었는지, 계약자가 지역 철물점에서 그것을 샀는지는 중요하지 않다고 그녀는 말했다.

그러나 그녀는 중요한 시스템과 관련된 일부 경우에 국방부가 공급업체를 15단계 정도까지 추적할 수 있다고 지적했다. 기본 유지보수 계약과 같은 다른 계약에서는 부서가 공급업체를 두 번째 계층으로만 추적할 수도 있습니다.

국방부는 이 가짜 부품들이 공급 흐름에 빠지기 전에 그것들을 잡을 수 있는 자격 시스템과 다른 안전 장치를 갖추고 있다고 나지브-록은 말했다. 납품업체들도 먼저 시험대를 보내 방어조직이 소유권을 받아들이기 전에 부품을 확인할 수 있도록 해야 한다.

그러나 국방부는 또한 위조 부품을 탐지하고 유지보수 중에 부품을 검사하는 검사를 실시하고 있다고 그녀는 말했다.

그 부서는 전자파 신호로 펄스를 보낼 때 부품에서 방출되는 것을 분석하는 덜 침습적인 기술을 연구하고 있다. 마틴은 전자 지문 탐지 장비가 100만 달러 미만의 비용과 몇 분 이내에 작동하기 때문에 유망하다고 말했다. 그러나 비교 분석을 수행하는 데 필요한 인공지능은 예를 들어 의도적으로 삽입된 결함을 탐지하기 전에 여전히 성숙해야 한다.

2018년 의회는 마이크로 전자 부품과 무기 시스템의 진위와 보안을 결정하기 위해 기계 비전 기술을 평가하는 시범 프로그램을 만들라고 국방부에 명령했다. 시범 프로그램을 주도한 국방 마이크로일렉트로닉스 액티비티는 곧 그 결과에 대한 공개 보고서를 발표할 예정이다.

마틴은 "현재 기계 학습을 위해서는 아직 해야 할 일이 상당히 많다"고 말했지만, "많은 가능성을 보여주고 있다"고 말했다.

 

계약자의 역할

헌터는 공군이 일부 방산업체들이 가시성을 높이기 위해 공급망 관리를 전문으로 하는 기업들과 새로운 관계를 구축하는 것을 지켜보고 있다고 말했다.

그러나 때로는 공급망 가시성에 대한 정부의 갈망이 영업 비밀을 지키려는 공급업체의 욕구와 충돌할 수 있다.

록히드사의 F-35 국내 계약 담당 이사인 에드워드 스미스는 "어떻게 하면 공급업체의 2, 3, 4, 5단계에 대해 더 많은 투명성을 확보할 수 있을까?"라고 말했다. "이 중 일부는 공급업체의 독점 정보가 되므로 공급업체가 제품을 생산하고 경제적 가치를 얻는 방법에 대해 독점적이기 때문에 공급업체는 이 정보를 우리와 공유할 필요가 없습니다."

스미스는 공급 사슬의 두 번째와 세 번째 계층을 넘어, 이 과정은 하청업체들이 인수 규칙을 따를 것이라는 신뢰에 의존한다고 말했다.

스미스씨는 "당신이 자신의 IP[지적 재산] 내에서 공급망을 유지하기를 기대하며, 당신이 이에 대한 파트너이기 때문에 IP를 존중할 것이며, [준수]를 기대할 것"이라고 말했다.

크리스 오도넬 미 국방부 인수담당 고위 관계자는 "공급망 3단계 이하에서 누가 위조 부품에 대한 책임을 지느냐는 이미 고위급 줄다리기의 일환"이라고 말했다.

"우리는 소수로부터 다음과 같은 말을 들었다: '야, 너는 우리에게 그것을 하라고 돈을 주지 않는다. 당신은 우리가 그것을 하기를 바라나요? 그렇다면, 우리에게 돈을 지불하세요.'라고 오도넬이 말했다. "그리고 우리의 대답은 '아뇨, 우리는 당신이 그렇게 할 것이라고 예상했습니다. 만약 그것이 당신의 디자인이고, 당신이 그것을 생산하고, 당신이 지속에 책임이 있다면, 당신은 당신의 공급망을 주의하고 있다.' 그리고 대답은, 그렇게 많지 않다는 것이다."

이 문제는 국방부나 산업부가 신뢰 제로 기준을 충족시킬 책임이 있는지 여부로 눈덩이처럼 불어나고 있다. 그 부서가 심지어 제로 트러스트 접근법으로 가야 하는지 여부는 아직 해결되지 않았다.

오도넬은 "큰 논쟁이다,"라고 말했다. "우리가 말하고자 하는 것은 우리가 이 칩들을 전 세계 어디서나 만들 수 있다는 것입니다. 우리는 신뢰를 전혀 염두에 두지 않고 설계했기 때문에, 우리는 가도 좋다는 것입니다. 나는 아직도 그것에 대해 '믿는다' 버튼을 누르지 않았다."

록히드사의 기업용 공급망 담당 부사장인 크리스 스톤은 F-35 사건은 회사와 다른 회사들이 공급망을 더 잘 파악해야 할 필요성을 강조한다고 말했다.

스톤은 "우리는 우리가 알고 있는 더 중요한 위험 노출이 있는 영역에서 어떻게 더 나은 통찰력을 얻을 수 있는지에 대해 논의하고 있다"고 말했다.

그리고 방위 산업 기반 전반에서 기업들은 잠재적인 문제를 찾는 방법을 찾으려고 노력하고 있다.

"불행하게도, 우리는 종종 평발로 잡힙니다," 라고 스톤이 말했습니다. "이 모든 데이터가 존재합니다. 이는 단순히 모든 데이터를 얻는 것이 아닙니다. 데이터가 위험에 대해 무엇을 알려주고 어떻게 인간을 루프에 빠뜨리는지에 대해 현명해야 합니다."

Najieb-Locke는 위조 부품이 법무부의 생태계에 진입하기 전에 업계와의 지속적인 의사소통 개선을 최고의 선택으로 보고 있으며, 이는 자체 프로세스를 강화하는 것보다 더 중요하다.

Najieb-Locke는 "그것은 우리가 무엇을 더 조일 수 있는지에 대한 과정이 아니다"며 "우리가 산업 및 공급업체와 협력하여 누가 그들의 제품을 위조하고 있는지 확실히 하는 것만큼"이라고 말했다. "그리고 우리의 인수단에게, 여기 새로운 위조품 목록이 있고 이것이 위조품의 모습이라는 것을 알게 했다. 그래서 그것은 과정 그 이상의 교육 제도입니다. 만약 그것이 그 검사를 통과한다면, 그것은 기술적 실행 가능성을 통과했다는 것을 의미하기 때문입니다."