OT 보안이란?
2021년 5월, DarkSide 랜섬웨어 공격으로 Colonial Pipeline이 5일간 운영을 중단했고, 회사는 440만 달러의 몸값을 지불했다고 미국 법무부 발표에 따르면 전해졌습니다. 진입 방식은 제로데이 취약점이 아니었습니다. 공격자는 원격 액세스 및 자격 증명 취약점을 악용하여 IT 측에서 거점을 확보한 후 운영 중단으로 이어졌습니다.
OT 보안은 중요 인프라의 물리적 프로세스를 모니터링하고 제어하는 하드웨어 및 소프트웨어 시스템을 보호하는 분야입니다. NIST SP 800-82r3에 따르면, 이러한 시스템에는 산업 제어 시스템(ICS), SCADA 네트워크, 분산 제어 시스템(DCS), 프로그래머블 로직 컨트롤러(PLC)가 포함됩니다.
OT 자산은 물리적 결과를 직접적으로 제어합니다. 손상된 PLC는 밸브를 열거나, 터빈을 과열시키거나, 수처리 프로세스를 중단시킬 수 있습니다. 이러한 시스템이 실패할 경우, 단순한 데이터 손실을 넘어 장비 파괴, 환경 피해, 인명 위협으로 이어질 수 있습니다.
OT 보안과 사이버 보안의 관계
IT 보안 배경이 있다면 이미 CIA 3원칙(기밀성, 무결성, 가용성)을 알고 있을 것입니다. OT 보안은 이 우선순위를 완전히 뒤집습니다.
SANS Institute에 따르면, "OT 사이버보안의 주요 목표는 산업 운영의 안전성, 신뢰성, 가용성을 유지하는 것"입니다. 실제로 이는 다음을 의미합니다:
- 가용성이 최우선입니다. 발전소나 수도 시설은 보안 패치로 인해 오프라인이 될 수 없으며, 이는 공공 안전에 위험을 초래할 수 있습니다.
- 무결성이 두 번째입니다. 제어 명령은 정확하게 실행되어야 하며, 기계가 안전하고 예측 가능한 동작을 하도록 해야 합니다.
- 기밀성이 세 번째입니다. 데이터 탈취보다 물리적 프로세스의 운영 제어 상실이 더 큰 문제입니다.
이러한 우선순위의 전환은 근본적인 긴장을 만듭니다. IT 환경에서 사용하는 보안 통제(딥 패킷 검사, 적극적인 패치 주기, 실시간 안티바이러스 검사 등)는 OT 운영의 밀리초 단위 정밀성을 방해할 수 있는 지연을 초래할 수 있습니다. NIST SP 800-82r3에 따르면, OT 시스템은 "물리적 세계에 영향을 미칠 수 있으므로, ICS에 적용되는 위험의 정의에는 실제 세계의 결과에 대한 고려가 포함되어야 한다"고 명시되어 있습니다.
이러한 우선순위 변화는 OT 보안 프로그램의 모든 아키텍처적 결정을 형성합니다. 네트워크를 어떻게 분할할지, 취약점 관리를 어떻게 처리할지 등 모든 부분에 영향을 미칩니다. 다음 구성 요소들은 이러한 원칙을 구체적인 통제로 전환합니다.
OT 보안의 핵심 구성 요소
OT 보안 프로그램을 구축하려면 산업 환경의 운영 제약에 맞춘 다섯 가지 기본 구성 요소가 필요합니다.
1. Purdue 모델 기반 네트워크 분할
Purdue Enterprise Reference Architecture(PERA)는 OT 네트워크와 IT 네트워크를 분리하는 계층적 프레임워크를 제공합니다. DOE 발간 자료에 따르면, 이 모델은 레벨 0(센서 및 액추에이터 등 현장 장치)부터 레벨 5(벤더 지원 및 클라우드 액세스 등 외부 연결)까지 6개 레벨을 정의합니다. 현대 환경에서 중요한 추가 요소는 레벨 3.5의 비무장지대(DMZ)로, 데이터 히스토리언 등 공유 서비스를 호스팅하여 기업 IT와 OT 제어 시스템 간의 직접 트래픽을 차단합니다. CISA 분할 가이드는 각 경계마다 방화벽이 적용된 다중 DMZ 계층을 요구합니다.
2. 자산 인벤토리 및 가시성
보이지 않는 것은 보호할 수 없습니다. CISA 인벤토리 가이드는 단계별 접근법을 제시합니다: 범위 정의, 거버넌스 역할 할당, 물리적 점검 및 논리적 조사를 통해 중요도 및 보안 구성 등 속성을 포함한 자산 목록을 작성합니다.
특히 도전적인 부분은 휴면 장치입니다. 백업 컨트롤러, 이중화 안전 시스템, 비상 장비 등은 정상 운영 중에는 비활성 상태로 남아 수동 네트워크 모니터링에 포착되지 않으며, 공격자에게 악용될 수 있습니다.
3. 안전한 원격 액세스
원격 벤더 액세스는 운영상 필수이면서도 지속적인 취약점입니다. Defense-in-Depth 가이드에 따르면, 벤더 계약에는 종종 원격 장비 액세스가 요구되며, 공격자는 이러한 연결을 진입점으로 사용합니다. 이 채널을 보호하려면 DMZ 구간의 점프 서버, 다중 인증, 임시 역할 기반 액세스, 강력한 암호화가 필요합니다.
4. 위험 기반 패치 관리
OT 시스템 패치는 IT 엔드포인트 패치와 근본적으로 다릅니다. CISA 로드맵에 따르면, "ICS 소유자 및 운영자는 운영 프로세스 중단 위험 또는 비용, 특정 장비에 대한 벤더의 패치 미제공 등 다양한 이유로 패치를 적용하지 않습니다."
직접 패치가 불가능할 경우, 보완 통제를 적용합니다: 취약 자산 주변의 네트워크 분할 강화, 애플리케이션 화이트리스트, 접근 제한 강화, 악용 시도에 대한 모니터링 강화 등이 있습니다.
5. OT 특화 행동 기반 모니터링
산업 환경에서는 OT 네트워크 트래픽이 예측 가능하고 반복적인 패턴을 따르기 때문에 행동 이상 탐지가 효과적입니다. NIST IR 8219에 따르면, 행동 모니터링은 이상 데이터를 조기에 탐지하여 ICS 신뢰성을 높입니다. 효과적인 모니터링을 위해서는 Modbus, DNP3, EtherNet/IP, PROFINET 등 산업 통신 프로토콜별 기능이 필요합니다.
이 다섯 가지 구성 요소는 OT 보안 프로그램의 기본을 제공합니다. 다음 단계는 생산을 방해하지 않는 운영 모델에 이들을 적용하는 것입니다.
OT 보안의 작동 방식
OT 보안은 산업 환경의 제약을 고려한 다계층 방어를 통해 운영됩니다.
1단계: 환경 매핑
보안 프로그램은 자산 발견에서 시작합니다. 현장 장치의 물리적 점검, 네트워크 통신의 논리적 조사, 모든 컨트롤러, 센서, HMI, 엔지니어링 워크스테이션의 문서화를 수행합니다. 이 인벤토리는 Purdue 모델 레벨에 직접 매핑되어 각 계층의 현황을 명확히 파악할 수 있습니다.
2단계: 분할 및 격리
Purdue 모델을 청사진으로 삼아 네트워크 존 간의 경계선을 설정합니다. 방화벽의 기본 거부 규칙이 각 경계에서 트래픽을 제어합니다. 레벨 3.5의 DMZ는 히스토리언, 리포팅 서버 등 공유 서비스를 호스팅하며, 엔터프라이즈 네트워크와 제어 시스템 간의 직접 통신을 차단합니다.
3단계: 기준선 수립
PLC는 동일한 제어 논리를 반복적으로 실행합니다. SCADA 폴링 주기는 고정된 일정에 따라 진행됩니다. 이러한 정상 통신 패턴을 기준선으로 캡처한 후, 예상치 못한 프로토콜 명령, 이전에 통신하지 않았던 장치 간의 신규 연결, PLC 논리 변경 등 편차를 탐지합니다.
4단계: 모니터링 및 대응
지속적인 모니터링은 경계 및 존 내 네트워크 트래픽을 감시합니다. PLC에 대한 무단 쓰기 명령이나 엔터프라이즈 네트워크에서 레벨 1 컨트롤러로의 예상치 못한 연결 등 이상 징후가 나타나면 대응 절차가 활성화됩니다. OT 사고 대응은 IT 대응과 다르며, 손상된 시스템을 격리하면 중요한 프로세스가 중단될 수 있습니다. 대응 계획에는 운영 연속성과 물리적 안전이 반드시 고려되어야 합니다.
5단계: 라이프사이클 관리로 유지
OT 보안은 일회성 배포가 아닙니다. 자산 인벤토리를 지속적으로 갱신하고, 새로운 취약점이 등장할 때마다 위험을 재평가하며, 패치가 불가능할 때 보완 통제를 테스트합니다. 취약점 평가 결과를 CISA의 Known Exploited Vulnerabilities Catalog와 교차 참조하여 우선순위를 정합니다.
이 단계를 안정적으로 운영할 수 있게 되면, 다음으로 공격자가 가장 진입하기 쉬운 지점이 어디인지 고민해야 합니다. 점점 더 그 답은 IT/OT 경계입니다.
IT/OT 융합이 위험을 증가시키는 이유
OT 보안에서 가장 큰 구조적 변화는 IT와 OT 네트워크의 융합입니다. DOE 공급망 보고서에 따르면, 이 융합은 "계속 증가"하고 있으며, 에너지 부문 시스템이 ICT와 OT를 연결해 효율성을 얻으면서 새로운 위험이 발생하고 있습니다. NSTAC 전략 보고서는 이 역설을 설명합니다: 연결성은 효율성 이점을 제공하지만, OT 시스템을 본래 설계되지 않은 위협에 노출시킵니다.
융합은 보안 프로그램이 반드시 대응해야 하는 특정 공격 경로를 만듭니다:
- 플랫 네트워크 아키텍처: CISA 환경 보고서에 따르면, 네트워크 경계가 약하거나 존재하지 않아 공격자가 SCADA 환경으로 수평 이동할 수 있습니다.
- 레거시 프로토콜 악용: Modbus, DNP3, ICCP 등 암호화나 인증 없이 데이터를 전송하는 산업용 프로토콜을 통한 공격입니다.
- 원격 액세스 취약점: VPN 및 벤더 지원 채널을 통한 인증 또는 모니터링 우회입니다.
융합 환경을 관리하는 보안 리더에게 IT 네트워크 측이 공격자가 OT 자산에 접근하는 주요 진입점입니다. 이미 XDR 관점에서 사고한다면, 엔터프라이즈 엔드포인트와 제어 네트워크를 연결하는 경로에도 동일한 가시성 원칙을 적용해야 합니다. 이러한 경로를 이해하면 OT 보안 프로그램 구축이 실제로 왜 어려운지도 알 수 있습니다.
OT 보안의 과제
OT 보안 프로그램 구축에는 확립된 프레임워크와 정부 지침이 있어도 고유한 장애물이 존재합니다.
- 업데이트 불가 레거시 시스템: DOE 보고서는 레거시 SCADA 장치가 사이버보안을 고려하지 않고 설계되었으며, 업그레이드 시 다른 연결 시스템의 종속성이 깨질 수 있음을 강조합니다. 지원되지 않는 운영체제, 하드코딩된 비밀번호, 암호화되지 않은 프로토콜, 광범위한 테스트나 시스템 중단 없이는 패치가 불가능한 PLC를 보호해야 할 수도 있습니다.
- 운영 중단 제한: OT 시스템에 패치를 적용하려면 다운타임이 필요합니다. 24/7 발전소나 수처리 시설에서는 어떤 중단도 위험을 수반합니다. 이 제약으로 인해 직접적인 조치보다 보완 통제에 더 많이 의존하게 됩니다.
- 다양한 위협 행위자: 고도화된 국가 지원 공격자부터 저숙련 해크티비스트까지 OT를 노립니다. 2025년 12월의 공동 권고에 따르면, 친러 해크티비스트 그룹이 기본적인 방법으로 SCADA 네트워크를 성공적으로 공격했으며, 일부는 DDoS 공격을 동시에 수행해 SCADA 침입을 용이하게 했습니다. 한편, CISA 경보는 2015년 우크라이나 Prykarpattyaoblenergo를 공격해 약 22만 5천 명의 고객이 수 시간 동안 정전 피해를 입은 사례를 설명합니다.
- 교차 기능 협업: OT 보안은 IT 보안, 제어 엔지니어, 플랜트 운영자, 물리적 보안 담당자 간의 협력이 필요합니다. 단일 분야만으로는 전체를 파악할 수 없습니다. SANS 2025 보고서에 따르면, 현장 기술자를 테이블탑 연습에 포함한 조직이 실제 준비 태세를 보일 확률이 거의 두 배 높습니다.
- OT 환경 전반의 가시성 부족: 휴면 장치, 문서화되지 않은 자산, 암호화된 벤더 연결이 사각지대를 만듭니다. SANS 2025 보고서에 따르면, 사고의 49%는 24시간 이내에 식별되지만, 약 5건 중 1건은 복구에 한 달 이상 소요됩니다.
이러한 제약은 목표를 바꾸지는 않지만, 대응 전략을 재구성하게 만듭니다. 공인 프레임워크는 이를 체계적으로 해결할 수 있는 구조를 제공합니다.
OT 보안 프레임워크 및 컴플라이언스
여러 프레임워크가 조직의 OT 보안 프로그램 구축 및 측정 방법을 안내합니다. 가장 널리 채택된 세 가지는 NIST SP 800-82, IEC 62443, NERC CIP입니다. 각각의 역할이 다르며, 대부분의 성숙한 프로그램은 둘 이상을 참고합니다.
NIST SP 800-82 Revision 3은 2023년 9월에 발간된 미국 연방 산업 제어 시스템 보안 가이드입니다. 위험 기반 OT 보안 접근법을 제공하며, NIST Cybersecurity Framework 2.0과 정렬되어 있으며, OT 사이버보안 거버넌스를 조직 수준으로 끌어올리는 새로운 Govern 기능을 포함합니다. NIST SP 800-82는 지침적(descriptive)이며, 고려 사항과 위험 평가 방법을 안내하지만, 구체적 구현은 각 조직에 맡깁니다. 프로그램 관리의 뼈대 역할을 합니다.
IEC 62443는 ISA와 IEC가 공동 유지하며, NIST SP 800-82가 남긴 기술적 세부사항을 보완합니다. NIST가 달성해야 할 목표를 설명한다면, IEC 62443은 그 목표를 달성하기 위한 프로그램 구조를 정의합니다. 이 표준은 일반 개념, 정책 및 절차, 시스템 수준 보안, 구성요소 수준 보안을 네 가지 표준 시리즈로 포괄합니다. 핵심 기여는 보안 수준(Security Level, SL) 모델로, 방어가 견뎌야 할 위협 행위자의 역량에 따라 통제를 매핑합니다:
- SL-1: 우발적 또는 비의도적 노출에 대한 보호.
- SL-2: 기본적인 방법과 제한된 자원을 사용하는 의도적 공격에 대한 보호.
- SL-3: 중간 수준 자원과 자동화 지식을 가진 정교한 공격에 대한 보호.
- SL-4: 심도 있는 OT 전문성을 가진 국가 수준 또는 자금력이 풍부한 공격자에 대한 보호.
IEC 62443의 존 및 컨듀잇 모델은 앞서 설명한 Purdue 모델 분할 구현에 직접적인 지침을 제공합니다.
NERC CIP(Critical Infrastructure Protection) 표준은 완전히 다른 접근을 취합니다. 북미 대규모 전력 시스템 운영자에게 의무적이며, 자산 식별, 접근 관리, 사고 보고, 복구 계획에 대한 구체적 보안 통제를 규정합니다. NERC CIP 적용 대상 조직은 미준수 시 집행 벌칙이 있는 감사 대상 요건을 따릅니다. 에너지 부문에서 운영한다면 NERC CIP는 선택이 아닙니다.
SANS 2025 보고서에 따르면, 규제 대상 조직이 비규제 조직보다 사고가 적지는 않지만, 사고 발생 시 재정적 손실과 안전 영향이 약 50% 적습니다. 컴플라이언스는 자산 가시성, 로깅, 변경 탐지 등 효과적인 위협 탐지 및 대응의 기반이 되는 역량에 대한 투자를 강제합니다.
실제로 이러한 프레임워크는 조합할 때 가장 효과적입니다. NIST SP 800-82를 프로그램 관리 구조로, IEC 62443을 기술적 구현 명세로 사용하십시오. 규제 의무가 없는 조직도 이러한 표준을 성숙도 경로로 채택하면 이점을 얻을 수 있습니다. 이 기반 위에서 프레임워크 요구사항을 일상 운영 관행으로 전환할 수 있습니다.
OT 보안 모범 사례
NIST SP 800-82r3, IEC 62443 표준, CISA의 공식 가이드를 바탕으로, 다음 실천 사항이 성숙한 OT 보안 프로그램의 토대를 이룹니다.
- 다계층 네트워크 분할 구현. Purdue 모델을 따라 계층적 존을 설정하고, 각 경계에서 방화벽이 기본 거부 규칙을 적용하도록 합니다. 엔터프라이즈 IT와 OT 제어 네트워크 간의 직접 트래픽은 절대 허용하지 않습니다.
- 지속적으로 갱신되는 자산 인벤토리 유지. CISA의 단계별 접근법을 따릅니다: 범위 및 거버넌스 정의, 물리적 및 논리적 조사 수행, 중요도, 펌웨어 버전, 보안 구성 등 주요 속성 기록. 휴면 장치도 반드시 포함합니다.
- 모든 원격 액세스에 다중 인증 적용. DMZ 구간의 점프 서버 사용, 벤더에게 임시 역할 기반 액세스 부여, 모든 원격 세션 로깅. 외부 당사자의 OT 네트워크 직접 연결은 제거합니다.
- 위험 기반 패치 관리 도입. 계획된 유지보수 기간에 패치를 예약합니다. 패치가 불가능할 경우, 애플리케이션 화이트리스트, 분할 강화, 모니터링 강화 등 보완 통제를 적용합니다. 취약점은 CISA의 Known Exploited Vulnerabilities Catalog와 교차 참조합니다.
- OT 특화 행동 기반 모니터링 배포. 정상 통신 패턴을 기준선으로 삼고 편차를 탐지합니다. 산업 프로토콜(Modbus, DNP3, OPC-UA)에서 무단 명령을 모니터링합니다. 모니터링을 보안 운영 전반과 통합해 통합 가시성을 확보합니다.
- 교차 기능 사고 대응 계획 수립. IT 보안 인력뿐 아니라 제어 엔지니어, 플랜트 운영자를 포함합니다. 손상된 장치 격리가 중요한 프로세스 중단으로 이어질 수 있는 시나리오를 엔지니어 주도 테이블탑 연습으로 훈련합니다.
이러한 모범 사례를 일상 운영으로 확장하려면, 공격자가 OT에 접근할 때 가장 자주 사용하는 IT 측 통제를 강화하는 것부터 시작해야 합니다.
핵심 요약
OT 보안은 중요 인프라의 물리적 프로세스를 제어하는 산업 시스템을 보호하며, 데이터 기밀성보다 가용성과 안전을 우선시합니다. IT/OT 융합으로 노출 범위가 확대되어 레거시 시스템이 위험에 처해 있습니다. 효과적인 프로그램은 Purdue 모델 기반의 다계층 분할, 엄격한 자산 인벤토리, 위험 기반 패치 관리, OT 특화 행동 기반 모니터링을 요구합니다.
NIST SP 800-82, IEC 62443과 같은 프레임워크는 구조화된 성숙도 경로를 제공하며, IT 경계의 자율적 보호 강화는 연결된 운영 환경의 위험을 직접적으로 줄여줍니다.
자주 묻는 질문
OT 보안은 산업 환경에서 물리적 프로세스를 모니터링하고 제어하는 하드웨어 및 소프트웨어 시스템을 보호하는 실천입니다. 이러한 시스템에는 에너지, 제조, 수처리, 운송 등 분야에서 사용되는 ICS, SCADA 네트워크, DCS, PLC가 포함됩니다.
OT 보안은 데이터 기밀성보다 가용성과 안전성을 우선시합니다. 이러한 시스템의 장애는 장비 손상, 환경 피해 또는 인명 위협을 초래할 수 있기 때문입니다.
레벨 3.5는 데이터 히스토리언 및 보고 서버와 같은 공유 서비스가 위치하는 제어된 교환 지점 역할을 합니다. 기업 IT에서 오는 트래픽은 제어 시스템으로 직접 진입하지 않고 DMZ에서 종료됩니다. 방화벽은 엔터프라이즈 네트워크를 향한 경계와 OT 존을 향한 경계 모두에서 엄격하고 프로토콜별 규칙을 적용합니다.
연결은 가능한 한 단방향으로 구성되며, 데이터 다이오드 또는 일방향 게이트웨이를 사용하여 OT 데이터가 비즈니스 분석을 위해 외부로 흐르도록 허용하면서 인바운드 명령은 차단합니다.
공격자는 주로 취약한 자격 증명 관리, 패치되지 않은 VPN 게이트웨이, 노출된 인터넷 연결 OT 장치를 악용합니다. 스피어 피싱은 IT와 OT 네트워크를 연결하는 엔지니어링 워크스테이션을 대상으로 하며 여전히 매우 효과적입니다.
공급망은 악성 펌웨어 업데이트 또는 손상된 공급업체 소프트웨어를 통해 지속적인 백도어를 도입할 수 있습니다. 조직은 모든 OT 장치에 대한 자격 증명 교체 정책을 시행하고, 패시브 네트워크 모니터링을 배포하며, 존 경계에서 네트워크 접근 제어를 구현하고, 공급업체가 세션 기록이 활성화된 전용 점프 호스트를 사용하도록 요구함으로써 방어합니다.
모니터링을 위해 아웃바운드 데이터 흐름만 허용하고 인바운드 명령을 차단하여 원격 악용을 방지하는 단방향 게이트웨이를 사용하여 레거시 시스템을 격리하십시오. 지연을 유발하지 않으면서 가시성을 확보하기 위해 패시브 네트워크 탭을 배포하십시오.
제어 패널에 자물쇠, 배지, 변조 감지 씰을 사용하여 물리적 접근을 제한하십시오. 특정 산업용 명령 시퀀스만 허용하고 비인가 기능 코드는 차단하는 프로토콜 인식 방화벽을 사용하십시오. 유지보수 시간 외에는 원격 연결을 비활성화하는 시간 기반 접근 정책을 구현하십시오.
OT 사고 대응 계획에는 프로세스별 임계값을 사전에 정의하여 대체 대응 경로를 트리거해야 합니다. 자산을 중요도에 따라 분류하고, 조치에 대한 사전 승인을 설정하십시오: 비중요 시스템은 즉시 격리하고, 미션 크리티컬 컨트롤러의 경우 수동 오버라이드 또는 이중 백업을 활용하여 축소 모드로 운영하면서 공격자를 상위 네트워크에서 차단하십시오.
제어실 운영자가 보안 승인을 기다리지 않고 사전 정의된 안전 프로토콜을 실행할 수 있도록 의사결정 트리를 구축하십시오. 모든 제어 프로세스에 대해 페일세이프 상태를 문서화하여, 대응자가 안전하게 종료할 수 있는 시스템과 지속적으로 운영해야 하는 시스템을 명확히 알 수 있도록 하십시오.
OT 시스템을 대상으로 하는 대부분의 공격은 IT 네트워크에서 시작되어 운영 구역으로 횡방향 이동합니다. 자율 대응 기능을 갖춘 IT 엔드포인트, 아이덴티티, 클라우드 워크로드를 보호하면 공격자가 IT/OT 경계에 도달하기 전에 차단할 수 있습니다.
IT 엔드포인트의 행동 기반 AI는 횡방향 이동을 실시간으로 탐지 및 차단하여 연결된 OT 자산의 노출 시간을 줄입니다. 이는 IT 측 보호가 모든 융합 환경 보안 프로그램의 기본 계층이 되는 이유입니다.
