산업 시스템은 디지털 세계와 물리적 세계 사이의 경계가 더 이상 명확한 선이 아니라, 서로 공유되는 취약 지대로 변하는 새로운 시대에 진입하고 있다.

공장, 유틸리티, 인프라 운영자들이 보다 지능적인 자동화와 긴밀한 연결성을 도입함에 따라, 기술 발전과 보조를 맞춰 함께 커지는 과제도 떠안게 된다.

바로 현대 사회를 움직이는 설비를 보호해야 하는 시급한 필요성이다.

과거에는 폐쇄된 네트워크와 에어갭 시스템 뒤에서 운영되던 환경이 이제는 클라우드 플랫폼, 원격 센서, 글로벌 데이터 흐름과 긴밀히 연결되면서 효율성 향상의 기회를 제공하는 동시에, 10년 전에는 존재하지 않았던 새로운 취약점을 만들어내고 있다.

이러한 환경에서 사이버보안은 더 이상 정보기술(IT) 부서만의 문제가 아니다.

이는 핵심 인프라를 안전하게 유지하기 위해 노력하는 엔지니어, 운영자, 정책 입안자 모두에게 최전선의 필수 요소로 자리잡았다.

산업 5.0으로의 진화는 인간 중심 설계와 지속가능성의 가치를 강조할 뿐만 아니라, 회복탄력성의 필요성 또한 부각시킨다.

이는 사회의 물리적 기반이 이제 이를 둘러싼 디지털 위협을 견딜 수 있어야 함을 의미한다.

유럽연합의 NIS2 Directive(Network and Information Security 2) 지침은 이러한 변화를 반영하며, 조직들이 운영기술(OT) 보호 방식을 재고하도록 요구하고 있다.

동시에 산업 시스템 보호가 기계 자체를 유지하는 것만큼이나 필수적이라는 점을 강조하고 있다.

운영기술(OT)은 정수 처리 시설에서 물을 이동시키고, 공장의 온도를 모니터링하며, 발전소의 터빈을 제어하는 등 실제 물리적 장비와 공정을 다루는 기술로, 점점 더 상호 연결되고 있다.

이러한 연결성은 효율성과 인사이트를 제공하는 기회를 열어주지만, 동시에 시스템을 점점 더 확대되고 위험해지는 디지털 위협 환경에 노출시키고 있다.

이 글에서는 왜 OT 사이버보안이 갑자기 최전선 이슈로 부상했는지, 관련 규제가 어떻게 변화하고 있는지, 그리고 엔지니어와 조직이 회복탄력성을 유지하기 위해 무엇을 해야 하는지를 설명한다.

■ 연결된 산업의 새로운 현실

10년 전만 해도 대부분의 산업 시스템은 외부 세계와 분리되어 있었다.

당시의 최우선 과제는 연결성이 아니라 신뢰성이었다.

그러나 산업 4.0은 수백만 개의 센서, 컨트롤러, 기계 간 실시간 데이터 공유를 도입했다.

이러한 변화는 기업들이 낭비를 줄이고, 생산성을 최적화하며, 유지보수 문제를 사전에 예측할 수 있도록 만들었다.

하지만 이러한 급속한 확장은 숨겨진 대가를 동반했다.

보안을 고려하지 않고 설계된 수십억 개의 디바이스가 갑자기 인터넷에 노출되기 시작한 것이다.

그리고 공격자들은 이를 인지했다.

최근 조사에 따르면 2024년 미국과 영국의 수자원 및 전력 운영자의 62%가 사이버 공격을 경험했으며, 많은 사고가 이를 식별할 도구나 전문성이 부족해 탐지되지 못한 것으로 나타났다.

이러한 위협은 더 이상 이론적인 것이 아니라, 이미 우리 문앞에 와 있다.

일부 사례는 사이버 스릴러의 한 장면처럼 보이기도 한다.

한 카지노의 네트워크는 수조에 설치된 스마트 온도계를 통해 침해되었다.

또 다른 사례에서는 해커가 정수 처리 시설의 SCADA(감시 제어 및 데이터 수집) 시스템에 침투해 플로리다의 한 도시 식수를 오염시키려 시도했다.

이와 같은 공격은 국가 단위에서도 발생했다.

예를 들어 2022년 이란의 한 제철 시설을 겨냥한 사이버 공격은 대규모 화재를 유발하기도 했다.

이러한 사건들은 한 가지 분명한 사실을 보여준다.

OT 사이버보안은 더 이상 데이터를 보호하는 문제가 아니라, 사람과 인프라, 나아가 전체 경제를 보호하는 문제로 확장되고 있다는 점이다.

■ NIS2: 더 강력한 사이버 방어를 위한 유럽의 대응

증가하는 위협을 인식한 유럽연합(EU)은 기존 NIS1 지침을 보다 포괄적인 NIS2로 확대해 2023년 1월 시행했다.

NIS2는 이전 지침보다 훨씬 넓은 범위를 포괄한다.

공공 통신, 폐수 관리, 제조, 운송, 우편 서비스, 우주 운영 등 다양한 산업이 보다 엄격한 사이버보안 요구사항의 적용 대상에 포함됐다.

또한 중견 및 대기업은 해당 규정을 반드시 준수해야 하며, 이를 위반할 경우 상당한 수준의 제재가 부과될 수 있다.

NIS2의 핵심 변화 중 하나는 ‘책임성(accountability)’이다.

이제 경영진이 사이버보안 대비 상태에 대해 직접적인 책임을 지게 된다. 기업은 다음과 같은 사항을 입증할 수 있어야 한다.

o 선제적인 리스크 관리 전략
o 24시간 이내의 신속한 사고 보고 체계
o 명확한 복구 및 비즈니스 연속성 계획

또한 감독, 집행, 그리고 동료 평가(peer-review) 메커니즘까지 도입되어, 조직이 이러한 책임을 실제로 이행하도록 강력히 요구하고 있다.

■ 초연결 시대에서 회복탄력성 구축

NIS2가 요구사항을 제시하고는 있지만, 효과적인 OT 사이버보안을 구현하기 위해서는 전통적인 IT 보안과 유사하면서도 완전히 동일하지는 않은 몇 가지 핵심적인 기반 실천이 필요하다.

○ 보호 대상 파악
현대의 산업 현장에는 수천 개의 네트워크 연결 장치가 존재하며, 이들 중 상당수는 정기적으로 교체되거나 업데이트된다. 최신 상태의 자산 목록을 유지하는 것은 취약점을 식별하고 보호 우선순위를 설정하는 데 필수적이다.

○ 제로 트러스트 원칙 도입
제로 트러스트는 어떤 사용자나 장치도 기본적으로 신뢰하지 않는다는 전제를 바탕으로 한다. 다중 요소 인증(MFA), 유지보수 공급업체를 위한 안전한 원격 접근, 상세한 로그 기록과 같은 방식은 비인가 접근을 방지하는 데 도움이 된다.

○ 중단 없는 패치 적용
OT 시스템은 대부분 24시간 지속적으로 운영된다. 따라서 업데이트를 위해 시스템을 중단하는 것이 항상 가능한 것은 아니다. 효과적인 사이버보안을 위해서는 사전에 계획된 유지보수 시간, 오프라인 테스트, 장애 발생 시 대응 절차를 포함한 체계적인 접근이 필요하다.

○ 분리 및 격리
핵심 OT 자산을 주요 네트워크로부터 분리하는 것은 공격자가 시스템 내에서 수평 이동(lateral movement)하는 것을 방지할 수 있으며, 이는 고도화된 사이버 공격에서 흔히 사용되는 기법이다.

○ 지속적인 모니터링 및 평가
위협은 빠르게 진화하기 때문에 사이버보안은 일회성 활동으로 끝날 수 없다. 리스크 모델링, 모의 공격, 규정 준수 점검과 같은 기법을 통해 지속적인 대응 준비 상태를 유지해야 한다.

○ 팀 역량 강화
인적 오류는 여전히 가장 큰 취약점 중 하나다. 정기적인 교육, 위협 인식 프로그램, 그리고 IT와 OT 팀 간 협업은 조직의 방어 역량을 강화하는 데 중요한 역할을 한다.

■ 위험의 본질

산업 5.0은 더욱 스마트하고 유연한 산업 생태계를 약속하지만, 강력한 사이버보안이 뒷받침되지 않는다면 그 약속은 무너질 수밖에 없다.

OT와 IT의 융합이 계속될수록 위험 또한 확대된다. 단 한 번의 침해 사고만으로도 생산 라인이 중단되고, 환경 피해가 발생하며, 심지어 공중 보건까지 위협받을 수 있다.

이제 사이버보안을 사후 고려 사항으로 남겨두기에는 그 대가가 너무 크다.

필요한 프레임워크와 기술은 이미 존재한다. 그 성공 여부는 지속적인 개선에 대한 의지, 조직 간 협업, 그리고 회복탄력성에 대한 투자에 달려 있다.

■ 결론

산업 사이버보안은 더 이상 단순한 기술적 문제가 아니라 사회적 책임의 영역으로 확장되고 있다.

산업 5.0 시대로 접어들면서 회복탄력성은 지속 가능한 발전의 핵심 요소로 자리잡고 있다.

변화하는 위협 환경을 이해하고 NIS2와 같은 지침을 수용함으로써, 조직은 자사의 운영뿐만 아니라 이에 의존하는 사회 전체를 보호할 수 있다.