Purdue 모델이란? 정의, 계층 및 모범 사례

Purdue 모델이란?

하나의 HMI 워크스테이션이 손상되면 공격자는 물리적 프로세스를 제어하는 PLC에 직접 명령 권한을 갖게 됩니다. 해당 워크스테이션이 세 개의 보안 경계 뒤에 위치하는지, 아니면 기업 이메일 서버와 평면 네트워크를 공유하는지의 차이가 실질적으로 Purdue 모델입니다.

Purdue Enterprise Reference Architecture (PERA), 일반적으로 Purdue 모델로 알려진 이 모델은 산업 제어 시스템(ICS) 네트워크를 현장 수준의 물리적 프로세스부터 기업 IT 및 외부 네트워크까지 명확한 기능 계층으로 분할하는 계층적 참조 프레임워크입니다. 이 모델은 1991년 Purdue 대학교의 Laboratory for Applied Industrial Control에서 Theodore J. Williams와 Industry-Purdue University Consortium for Computer-Integrated Manufacturing에 의해 개발되었으며, 원래는 사이버 보안이 아닌 컴퓨터 통합 제조의 데이터 흐름을 다루기 위해 고안되었습니다.

산업계가 OT를 IT에 연결하면서, 이 계층적 구조는 네트워크 경계를 넘어 무엇이 통신해야 하고 무엇이 통신하지 말아야 하는지를 정의하는 자연스러운 기반이 되었습니다. 오늘날 이 모델은 ICS 환경을 0~5단계(및 중요한 3.5단계 Industrial DMZ)로 구성하며, 각 단계는 정의된 구성 요소, 신뢰 경계, 보안 요구 사항을 가집니다.

DOE 연구에 따르면 이 모델은 "API 1164 및 NIST 800-82와 같은 모든 산업 제어 시스템 프레임워크의 기본 아키텍처로 사용된다"고 확인합니다.

Purdue 모델이 무엇인지 이해하는 것은 첫걸음에 불과합니다. 현대 산업 보안에서의 중요성은 이 계층 구조를 구체적인 사이버 보안 보호로 어떻게 전환하는지에 있습니다.

Purdue 모델과 사이버 보안의 관계

Purdue 모델의 핵심 보안 가치는 OT와 IT 환경 간의 명확한 신뢰 경계를 설정하여 계층화된 보안 존을 통한 심층 방어를 가능하게 하는 데 있습니다. ISA-95는 이 계층적 접근 방식을 표준화된 용어로 공식화했으며, ISA/IEC 62443은 이 모델의 기반 위에 존 및 컨듀잇 보안 아키텍처를 직접 구축했습니다.

CISA, NIST, 국방부는 2025년 최신 지침에서 Purdue 모델을 적극적으로 권장합니다:

CISA의 2025년 권고는 이를 "계층화된 보안 존의 가이드"로 참조합니다
NIST는 이를 SP 800-82 Revision 3에 통합했습니다
국방부는 제로 트러스트 OT 지침에서 이를 참조합니다

아키텍처 결정을 감사자나 규제 기관에 설명할 때 Purdue 모델은 연방 기관 간의 공식적인 지지를 받습니다.

제조업은 2025년 전체 사이버 공격의 27.7%를 차지하며, 5년 연속 모든 산업 중 가장 높은 비중을 기록했습니다( IBM X-Force 2026 Index 참조). 이러한 수치는 산업 환경에서 구조화된 분할이 선택적 강화가 아님을 보여줍니다.

이러한 분할이 실제로 어떻게 작동하는지 이해하려면 각 단계에 무엇이 존재하는지, 각 단계가 어떤 보안 의무를 가지는지 알아야 합니다.

Purdue 모델의 6개 계층

Purdue 모델은 6개의 기능적 계층(0~5)과 IT/OT 융합을 위해 추가된 Industrial DMZ를 정의합니다. 각 계층은 특정 구성 요소를 포함하고, 정의된 위험 프로필을 가지며, 별도의 보안 통제가 필요합니다.

Level 0: 물리적 프로세스

실제로 제어되는 산업 프로세스입니다. 센서, 액추에이터, 밸브, 모터, 생산 장비가 이곳에 위치합니다. 주요 요구 사항은 물리적 접근 통제와 신호 무결성 보호입니다.

Level 1: 기본 제어

물리적 프로세스의 실시간 프로그래머블 제어입니다. PLC, RTU, Safety Instrumented Systems(SIS), 지능형 전자 장치가 제어 논리를 실행합니다. 이들은 손상 시 물리적 프로세스의 직접 조작이 가능하므로 고가치 표적입니다. 일반적으로 최신 인증이나 패치가 지원되지 않는 실시간 운영체제를 실행합니다. DOE는 0 및 1단계를 Safety Zone으로 분류하며, 위험 프로필은 Critical입니다.

Level 2: 감독 제어

인간-기계 상호작용 및 감독 모니터링이 이루어집니다. HMI, SCADA 시스템, 운영자 워크스테이션, 로컬 제어 서버가 이곳에 위치합니다. 이 단계는 IT에서의 공격자 측면 이동의 주요 표적입니다. Windows 기반 운영체제를 실행하면서 Level 1 PLC에 직접 명령 권한을 유지하므로, 많은 환경에서 중요한 모니터링 및 격리의 취약점이 됩니다.

Level 3: 현장 운영

공장 전체의 운영 관리가 이루어집니다. Manufacturing Execution Systems(MES), 데이터 히스토리언, 배치 제어 시스템, OT 네트워크 모니터링 플랫폼이 모든 OT 데이터를 상위로 집계합니다. 이 단계의 히스토리언은 IT/OT 연결 지점으로 자주 활용되며, 과거에는 환경 간 피벗 포인트로 악용된 사례가 많습니다.

Level 3.5: Industrial DMZ (iDMZ)

이 계층은 원래 1990년대 모델에는 존재하지 않았습니다. DOE 지침에 따르면: "이 단계는 Purdue 모델에 처음 설계되지 않았으나, OT와 IT의 지속적인 융합으로 인해 통신 분리를 보장하는 데 필수적인 추상 계층입니다." 이곳에는 IT 및 OT 경계의 경계 방화벽, 데이터 다이오드, 프록시 서버, 히스토리언 복제본, 점프 서버가 포함됩니다. 이 존을 직접 통과하는 IT-OT 연결은 없습니다.

Level 4: 엔터프라이즈 네트워크

ERP, CRM, Active Directory, 비즈니스 애플리케이션 등 기업 IT 시스템이 위치합니다. 핵심 집행 요구 사항: Level 2 이하와의 직접 연결은 절대 허용되지 않습니다.

Level 5: 외부 네트워크

인터넷에 노출된 시스템, 클라우드 서비스, 벤더 액세스 포털 등이 포함되며, 적절히 설계된 경우 여러 보안 경계를 거치지 않고는 OT에 접근할 수 없습니다.

이러한 구성 요소를 이해하는 것도 중요하지만, 이들 간의 트래픽 흐름을 파악하는 것이 실제 보안 집행이 이루어지는 지점입니다.

Purdue 모델의 작동 방식

Purdue 모델은 계층적 통신 제어를 통해 보안을 집행합니다. 각 계층은 주로 인접 계층과 통신하며, OT 존(Level 0~3)과 IT 존(Level 4, 5) 간의 모든 트래픽은 반드시 Level 3.5의 Industrial DMZ를 통과해야 합니다.

NIST SP 800-82 Rev. 3은 Level 4 장치가 Level 2, 1, 0 장치와 직접 통신하지 못하도록 하는 방화벽 규칙을 명시적으로 요구합니다. 또한, 아웃바운드 규칙도 인바운드 규칙만큼 엄격하게 설정할 것을 권장하여, 인바운드 공격과 아웃바운드 데이터 유출 모두를 방지합니다.

ISA/IEC 62443은 이를 존과 컨듀잇을 통해 공식화합니다. 존은 공통 보안 요구 사항을 공유하는 자산 집합이며, 컨듀잇은 존을 연결하는 통신 채널로, 연결된 존 중 가장 신뢰도가 높은 수준에 맞춰 보호되어야 합니다.

실제로 데이터 흐름은 다음과 같이 작동합니다:

Level 0 센서가 Level 1 컨트롤러에 데이터를 전달
Level 1 컨트롤러가 Level 2 HMI 및 SCADA 시스템에 보고
Level 2가 Level 3 히스토리언에 데이터 전송
Level 3 DMZ 내 히스토리언 복제본이 Level 4 IT 사용자에게 데이터 제공

IT 시스템은 OT를 직접 쿼리하지 않습니다

이러한 일방향 데이터 푸시 아키텍처는 방화벽, 접근 통제, 필요시 하드웨어 데이터 다이오드로 강화되어, 엔터프라이즈 네트워크가 손상되더라도 물리적 프로세스를 제어하는 시스템에 접근하지 못하도록 방지합니다.

Purdue 모델 구현의 주요 이점

적절히 구현된 Purdue 모델은 네 가지 운영 영역에서 누적적인 보안 가치를 제공합니다.

분할 집행을 통한 심층 방어. 각 Purdue 단계는 공격자가 넘어야 할 보안 경계를 만듭니다. 엔터프라이즈 네트워크가 랜섬웨어에 완전히 손상되더라도, 적절한 분할은 물리적 프로세스의 운영 중단을 방지할 수 있습니다.
규제 및 표준 준수 정렬. Purdue 모델은 ISA/IEC 62443 준수 평가, NIST SP 800-82 아키텍처 요구 사항, CISA 권고의 명시적 기반을 형성합니다. 이를 구현하면 감사 및 규제 대응이 가능한 아키텍처를 갖추게 됩니다.
측면 이동 차단. 2025 Verizon DBIR에 따르면 랜섬웨어가 전체 데이터 유출의 44%를 차지합니다. OT 환경에서 랜섬웨어는 데이터뿐 아니라 운영 가용성과 안전을 직접 위협합니다. Purdue 분할은 IT에서 OT 존으로의 랜섬웨어 확산을 제한합니다.
레거시 시스템에 대한 보완 통제. 산업 장비의 수명 주기가 15~25년이기 때문에, OT 환경에는 최신 도구로 패치, 인증, 모니터링이 불가능한 시스템이 존재할 가능성이 높습니다. CISA 지침은 이러한 시스템의 주요 보호 수단으로 네트워크 분할을 권장합니다.

이러한 이점은 구현이 견고할 때만 누적됩니다. 견고한 구현은 Purdue 모델을 실제 환경에 적용할 때 발생하는 구조적 과제를 이해하는 것에서 시작됩니다.

Purdue 모델 구현의 과제

Purdue 모델의 원칙은 문서상 명확합니다. 그러나 실제 산업 환경에서 이를 구현하는 현실은 다릅니다. 여러 구조적 과제가 아키텍처 다이어그램과 실제 네트워크 트래픽 간의 괴리를 지속적으로 만듭니다.

IT/OT 융합으로 인한 비공식 아키텍처 생성. 현대 운영 요구는 Purdue 경계를 넘는 새로운 연결을 지속적으로 만듭니다. 2025년 발표된 동료 검토 연구는 데이터 흐름 요구, 보안 존 복잡성, 프로토콜 브리징을 주요 융합 과제로 지적합니다.
레거시 시스템의 현대 보안 통제 저항. Level 1 PLC 및 RTU는 대부분 IT 보안 도구가 검사할 수 없는 독점 프로토콜의 실시간 운영체제를 실행합니다. 2005년 RTOS를 실행하는 PLC에는 엔드포인트 에이전트를 설치할 수 없습니다. 네트워크 기반 분할이 유일한 실질적 통제 수단이 됩니다.
운영 안전이 보안 옵션을 제한. NIST SP 800-82 Rev. 3은 분할이 "운영 성능 및 안전"을 고려해야 함을 명시합니다. ICS 환경은 IT에서 허용될 수 있는 인증 실패나 네트워크 지연을 용납할 수 없습니다. 어떤 보안 통제도 생산 또는 안전 시스템의 단일 장애점이 되어서는 안 됩니다.
클라우드 및 IIoT의 Purdue 내 위치 불명확. DOE는 Level 0 및 1 장치는 실시간 타이밍 요구로 인해 가상화나 클라우드 호스팅이 불가능하다고 명시합니다. 클라우드 및 가상화는 Level 3 이상에 적용되지만, 많은 조직이 클라우드 분석 및 IIoT 센서를 명확한 프레임워크 없이 통합합니다.
원격 접속이 기본 원칙 위반. 기존 VPN 솔루션은 종종 하위 OT 계층에 직접 연결을 생성하여 Purdue 모델의 제어 계층 구조를 직접 위반합니다. CISA는 보안이 미흡한 인터넷 노출 VNC 연결을 통해 친러 해커 그룹이 OT 제어 장치를 성공적으로 침해한 사례를 문서화했습니다.

이러한 과제를 인지하면 사전에 대비할 수 있습니다. 그러나 가장 위험한 실패는 팀이 스스로 만드는 경우입니다.

피해야 할 Purdue 모델의 일반적 실수

구조적 과제가 불가피하다면, 실수는 선택의 문제입니다. 설계, 배포, 운영 관리 중 팀이 내리는 결정이 모델이 제공해야 할 보호를 약화시킵니다. 이는 실제 산업 환경에서 CISA 위협 헌터가 가장 자주 발견하는 오류입니다.

VLAN을 배포하면서 인터-VLAN 접근 통제를 집행하지 않음. CISA의 사전 위협 헌트는 IT와 SCADA VLAN을 올바르게 분리했으나, 이에 상응하는 방화벽 규칙이 없어 인터-VLAN 라우팅이 무제한인 조직을 발견했습니다. 결과: "IT 네트워크의 비특권 사용자가 자신의 자격 증명으로 중요한 SCADA VLAN에 접근할 수 있었습니다." VLAN은 네트워크 관리 도구일 뿐, 보안 통제가 아닙니다.

다음 오류들은 이러한 근본적 실수를 더욱 악화시키며, 실제 환경에서 마찬가지로 흔하게 발생합니다:

관대한 방화벽 규칙을 그대로 두기. "임시" 문제 해결용 규칙(allow any/any, RDP/VNC 오픈)이 감사와 인력 교체를 거치며 영구적으로 남아 있습니다.
현장 컨트롤러에 대한 IT의 직접 접근 허용. NIST SP 800-82 Rev. 3은 Level 4 장치가 Level 2, 1, 0과 통신하지 못하도록 방화벽 규칙을 요구합니다. 위반 시 모든 감독 통제를 우회하는 공격 경로가 생성됩니다.
구현을 일회성 프로젝트로 간주. Purdue 분할을 배포하고 재검토하지 않는 조직은 운영 요구 변화에 따라 비공식 연결이 누적됩니다. 아키텍처 검증에는 실제 트래픽 분석과 규칙 감사가 포함되어야 하며, 다이어그램 검토만으로는 충분하지 않습니다.
OT 존에 대한 광범위한 벤더 원격 접속 허용. CISA의 위협 헌트 지침은 벤더 원격 접속을 자주 악용되는 취약점으로 지적합니다. VPN 접속이 DMZ 점프 서버가 아닌 OT 존에 직접 종료되면 지속적인 공격 경로가 생성됩니다.

이러한 실수를 피하려면 표준에 부합하는 의도적 실무가 필요합니다.

Purdue 모델 모범 사례

무엇이 잘못될 수 있는지 아는 것이 절반입니다. 나머지 절반은 운영 압박, 감사, 실제 위협 상황에서도 견딜 수 있는 아키텍처를 구축하고 유지하는 것입니다. 다음 실무는 ICS 환경에 대한 최신 CISA, NIST, DOE 지침을 반영합니다.

이중 방화벽 Industrial DMZ 구현. CISA 지침은 명확합니다: IT-DMZ 경계와 OT-DMZ 경계에 각각 방화벽을 배치하여 두 개의 별도 집행 지점을 만듭니다. 모든 공유 서비스(히스토리언, 점프 서버, 원격 접속 엔드포인트)는 DMZ 내에 호스팅해야 하며, DMZ 호스트는 OT 존으로의 연결을 시작해서는 안 됩니다.

ICS 인식 보안 통제 배포. 표준 IT 방화벽만으로는 충분하지 않습니다. CISA는 산업 프로토콜을 애플리케이션 계층에서 검사할 수 있는 SCADA 인식 방화벽, 허가된 프로토콜에 대한 애플리케이션 허용리스트, 산업 통신에 대한 심층 패킷 검사를 요구합니다.

이후 네 가지 운영 통제가 아키텍처를 일상적으로 강화합니다:

양방향 통신 통제 집행. NIST SP 800-82 Rev. 3은 아웃바운드 규칙도 인바운드만큼 엄격하게 설정하여, 침해된 OT 시스템에서의 인바운드 공격과 아웃바운드 데이터 유출 모두를 방지할 것을 권장합니다.
고보안 데이터 흐름에 데이터 다이오드 사용. 하드웨어 기반 일방향 데이터 전송은 히스토리언 복제에 역방향 통신을 물리적으로 차단하여, 히스토리언 채널을 통한 OT로의 명령 및 제어 위험을 제거합니다.
실제 트래픽에 대한 아키텍처 검증. 방화벽 규칙셋을 네트워크 다이어그램과 비교합니다. CISA 위협 헌트는 이 둘이 상충하는 사례를 반복적으로 발견했습니다. 공격자 시나리오를 시뮬레이션하여, 비특권 IT 계정에서 중요한 SCADA VLAN에 접근을 시도합니다.
모든 원격 접속은 DMZ에서 종료. 모든 벤더, 직원, 계약자의 원격 세션은 Level 3.5 점프 서버에서 세션 로깅과 함께 종료되어야 하며, OT 존에 직접 연결되어서는 안 됩니다.

상위 계층에서는 제로 트러스트를 확장합니다. CISA의 2025년 지침과 국방부의 OT 제로 트러스트는 제로 트러스트가 Purdue의 대체가 아닌 보완임을 명확히 합니다. 신원 검증은 Level 3.5 이상에 적용되며, Level 0~2는 네트워크 기반 분할이 주요 통제 수단입니다.

이러한 실무는 모델이 설계된 대로 작동하도록 반영합니다. 그러나 Purdue 모델 자체도 진화해왔으며, IT와 OT가 더 이상 명확히 분리되지 않는 환경에서 그 변화 과정을 이해하는 것이 필수적입니다.

현대적 진화: IT/OT 융합과 Purdue 2.0

Purdue 모델은 6단계 아키텍처에서 Level 3.5를 필수 보안 통제로 추가한 7단계 모델로 진화했습니다. 보안 아키텍트들은 이를 "Purdue 2.0"이라 부르며, 대체가 아닌 적응을 의미합니다. 계층적 분할 원칙과 Level 3.5 iDMZ의 결합은 물리적 산업 프로세스 보호를 위한 가장 검증된 접근 방식으로 남아 있습니다.

이처럼 점점 융합되는 환경을 관리하는 보안 팀에게는 IT/OT 경계를 넘나드는 위협을 탐지하고, 엔드포인트, 신원, 네트워크 트래픽 전반의 의심스러운 활동을 상관 분석할 수 있는 교차 환경 가시성이 필수적입니다.

AI 기반 사이버 보안

실시간 감지, 머신 속도 대응, 전체 디지털 환경에 대한 종합적인 가시성을 통해 보안 태세를 강화하세요.

데모 신청하기

핵심 요약

Purdue 모델은 ICS 네트워크 분할을 위한 연방 공식 참조 아키텍처로 남아 있으며, 산업 환경을 계층적 수준과 집행된 신뢰 경계로 조직합니다. Level 3.5의 Industrial DMZ는 이제 모든 연결된 OT 환경에서 필수입니다.

구현의 성공 여부는 설계가 아닌 집행에 달려 있습니다: 실제 트래픽에 대한 방화벽 규칙 검증, 모든 원격 접속의 DMZ 종료, ICS 인식 보안 통제 배포가 필요합니다. 44%의 침해에서 랜섬웨어가 존재하고, 제조업이 5년 연속 가장 표적이 된 산업임을 고려할 때 Purdue 기반 분할은 선택이 아닙니다.

자주 묻는 질문

Purdue Enterprise Reference Architecture(PERA), 일반적으로 Purdue 모델이라고 불리는 이 모델은 산업 제어 시스템(ICS) 네트워크를 계층적으로 구분하여, 0단계의 물리적 프로세스부터 4, 5단계의 엔터프라이즈 IT 및 외부 네트워크까지 명확한 기능 계층으로 분할하는 프레임워크입니다.

1991년 Purdue University에서 개발된 이 모델은 원래 컴퓨터 통합 제조를 위해 설계되었으며, 이후 ICS 보안의 표준 참조 아키텍처로 자리 잡았고, CISA, NIST, 국방부에서 적극적으로 권장하고 있습니다.

Purdue 모델은 2025년 기준으로 CISA, NIST, DoD에서 계속 공식적으로 권장되고 있습니다. 제로 트러스트는 Purdue 모델을 대체하는 것이 아니라 보완하는 역할을 합니다. CISA의 2025년 지침과 DoD의 Zero Trust for OT 문서 모두 제로 트러스트를 Level 3.5 이상에서 적용 가능한 강화책으로 제시합니다.

Level 0부터 2까지는 일반적으로 신원 기반 제어를 지원할 수 없으므로, 네트워크 분리가 물리적 프로세스 제어를 위한 주요 보호 메커니즘이 됩니다.

1991년 원래 모델은 컴퓨터 통합 제조 데이터 흐름을 위해 6개 계층(0~5)을 정의했습니다. 확장 Purdue 모델은 OT(Level 0~3)와 IT(Level 4, 5) 사이에 필수 완충 구역인 Level 3.5, 즉 Industrial DMZ를 추가합니다.

DOE는 IT/OT 융합으로 인해 기존 경계가 충분하지 않다는 점을 반영하여 이 확장 모델을 개발했습니다. 현재 모든 정부 권고안은 Level 3.5를 필수로 간주합니다.

ISA/IEC 62443은 퍼듀 모델의 계층적 레벨을 기반으로 영역 및 컨듀잇 보안 아키텍처를 직접 구축합니다. 각 퍼듀 레벨은 정의된 보안 수준(SL 1부터 4까지)에 따라 보안 영역에 매핑되며, 이는 기본 보호부터 정교한 국가 지원 공격에 대한 방어까지 포함합니다.

영역을 연결하는 컨듀잇은 연결된 영역 중 가장 신뢰도가 높은 영역과 동일한 중요도로 보호되어야 합니다. 이러한 매핑은 보안 팀에 ICS 준수 평가 및 규제 검토를 위한 감사 가능하고 표준에 부합하는 아키텍처를 제공합니다.

Level 2에는 Windows 기반 운영체제를 실행하는 SCADA 시스템과 HMI가 포함되어 있으며, 이들은 Level 1 PLC에 대한 직접적인 명령 권한을 유지합니다. 이로 인해 표준 IT 공격 기법에 취약하며 동시에 물리적 프로세스 제어가 가능합니다.

Level 2는 엔터프라이즈 침해와 물리적 프로세스 영향 사이의 전환점이 되는 경우가 많아, 실제 플랜트에서 가장 큰 모니터링 및 접근 제어의 취약점이 되는 경우가 많습니다.

인터-VLAN 접근 제어를 적용하지 않고 VLAN을 배포함. CISA의 사전 위협 사냥에서는 IT와 SCADA VLAN이 적절히 분리되어 있지만, 그 사이에 방화벽 규칙이 없어 비특권 IT 사용자가 중요한 SCADA 네트워크에 접근할 수 있는 조직들이 문서화되었습니다.

VLAN은 네트워크 트래픽을 조직화할 뿐, 이를 제한하지는 않습니다. 인터-VLAN 통신을 명시적으로 제한하는 방화벽 규칙이 없다면, IT 네트워크가 침해될 경우 공격자는 OT 시스템으로 자유롭게 이동할 수 있습니다. VLAN 분할만으로는 의미 있는 보안 경계가 제공되지 않습니다.