최근 국내외 산업 제어시스템 침해 사고는 공통된 흐름을 보여준다. 공격은 네트워크 경계를 넘은 이후 현실화된다. 방화벽과 망분리를 통과한 뒤 원격 유지보수 계정이나 협력사 접속, 현장 엔드포인트 단말을 통해 실제 제어 권한이 행사되는 순간 물리적 피해로 이어진다. 침입 그 자체보다 더 치명적인 것은 '권한이 실행되는 시점'이다.
그동안 운영기술(OT) 보안은 경계망 보안을 강화하는 방식으로 발전해왔다. 이는 필요한 조치다. 그러나 산업 환경의 디지털화와 원격 운영의 일상화로 경계는 다층화됐고 단일 방어선이 아니다. 망을 분리해도 USB, 원격 유지보수, 업데이트 경로는 남는다. 많은 사고가 경계를 통과한 뒤, 공유 패스워드를 악용해 '정상 계정'과 '정상 절차'로 위장하면서 발생한다. 경계망의 벽을 높이는 것만으로는 충분하지 않다.
최근 강조되는 네트워크 탐지·대응(OT-NDR)은 비정상 트래픽과 프로토콜 이상 행위를 탐지하는 데 강점이 있다. 그러나 대응의 정확성을 좌우하는 것은 '누가, 어떤 단말로, 언제 접속했는가'에 대한 정합성 높은 로그, 즉 신뢰 가능한 기준 데이터(Ground Truth)다. 기준이 명확해야 탐지도 의미를 갖는다. 접속 단계 정보가 불명확하면 분석은 추정에 머문다.
이상 징후가 탐지됐을 때 해당 세션의 사용자 신원, 단말 정보, 접속 경로와 시간, 적용 정책이 명확히 기록돼 있다면 대응은 신속해진다. 반대로 접속 단계의 식별·인증·정책 정보가 불명확하다면 원인 규명과 책임 추적은 지연되고 사고 반복 가능성도 커진다. 보안은 탐지의 정교함만으로 완성되지 않는다. 신뢰할 수 있는 행위 데이터가 전제돼야 한다.
이 같은 문제의식은 국내 정책에서도 나타난다. 한국인터넷진흥원(KISA)은 OT 환경 제로트러스트 안내서를 통해 엔드포인트 자산과 행위 중심 통제를 강조한다. 국정원도 제어시스템 보안 모니터링 가이드라인에서 접속 로그 수집과 이상 징후 분석 체계 구축의 중요성을 제시한다. 이는 추적 가능한 접속 정보 축적을 전제로 한다는 의미다.
해외 규제 흐름도 다르지 않다. 유럽연합(EU)의 네트워크·정보보안 지침(NIS2)은 중요 인프라 운영 조직에 사고 보고 의무와 경영진 책임을 명확히 하며 관리·운영 체계 전반의 보안 역량을 요구한다. 2024년 발효된 사이버복원력법(CRA)은 제품 설계 단계부터 보안을 내재화하고 취약점 관리 체계를 유지하도록 의무화했다. 이는 '보호하고 있다'는 선언이 아니라 어떤 통제가 어떻게 작동했는지를 설명할 수 있어야 한다는 요구다.
OT 제로트러스트의 본질도 여기에 있다. 엔드포인트 자산 중심으로 접근 권한을 정의하고 지속 검증하며 정책과 로그로 증빙 가능한 구조를 만드는 것이다. 다만 OT 환경은 가용성이 최우선이다. 정보기술(IT) 환경의 복잡한 인증 구조를 그대로 적용하면 안정성을 해칠 수 있다. 현장의 제약을 고려한 경량 구조와 단방향 통신 환경에서도 작동 가능한 통제가 필요하다.
결국 OT 보안 고도화의 출발점은 '단말 접속 단계 통제'다. 사고 이후 '누가 어떤 권한으로 접속했는가'를 명확히 설명할 수 있어야 한다. 접속 단계의 식별·인증·정책·로그가 일관되게 관리되지 않는다면 보안 체계는 완결됐다고 보기 어렵다. 이는 IEC 62443이 요구하는 기본 원칙이기도 하다.
OT 보안의 초점은 이제 '성벽을 얼마나 높게 쌓을 것인가'가 아니라 '설비와 단말에 어떻게 자물쇠를 채울 것인가'로 이동하고 있다. 제어 권한이 행사되는 지점을 통제하지 못한다면 가장 중요한 문을 열어둔 채 방어를 말하는 셈이다. 경계망 보안은 필요하다. 그러나 진정한 안전은 접속을 정의하고 통제하는 데서 시작된다. 이제 질문은 분명하다. 성벽을 더 높일 것인가, 아니면 자물쇠를 설계할 것인가.
유창훈 센스톤 대표 chyoo@ssenstone.com
