센스톤 Blog

CISA 취약점 패치에 매달린 OT 보안이 정작 정문 침입을 막지 못하는 이유

작성자: 센스톤 | Jul 8, 2026 11:35:19 AM

2026년 상반기 내내 전 세계 산업 제어 시스템(ICS) 보안 담당자들은 유례없이 바쁜 시간을 보냈습니다. 미 사이버보안·인프라보안청(CISA)의 '알려진 악용된 취약점(KEV)' 목록이 업데이트될 때마다 가동 중인 핵심 설비의 패치 일정을 잡느라 IT와 OT 부서 간의 긴장감이 최고조에 달하곤 했습니다. 하지만 상반기가 마무리된 현시점에서 우리는 매우 당혹스러운 질문과 마주해야 합니다. 왜 취약점 패치에 그토록 많은 예산과 인력을 쏟아부었음에도 불구하고, 글로벌 제조 인프라를 겨냥한 침해 사고는 오히려 사상 최대치를 기록하고 있을까요?

 

취약점 카탈로그의 팽창과 현장의 패치 피로증 설

CISA의 KEV 목록은 현업 실무자들에게 절대적인 보안 기준서처럼 여겨집니다. 알려진 약점을 먼저 메우는 것이 보안의 정석이기 때문입니다. 실제로 올해 상반기 누적 1,500개를 돌파한 방대한 규모의 CISA KEV 카탈로그를 기반으로, 대다수의 엔터프라이즈 기업들은 PLC(프로그래머블 로직 컨트롤러)나 HMI(휴먼 머신 인터페이스) 제조사들이 배포한 긴급 패치를 적용하기 위해 생산 라인의 가동 중단 위험까지 감수해야 했습니다.

하지만 기계의 가동 연속성이 생명인 OT 현장에서 잦은 패치는 그 자체로 거대한 리스크입니다. 패치 적용 후 발생할지 모르는 시스템 오작동이나 소프트웨어 충돌을 검증하는 데만 수주일이 소요되며, 이는 보안 팀과 현장 엔지니어 모두에게 극심한 패치 피로증을 유발했습니다. 정작 더 큰 문제는 보안 팀이 이 끝없는 패치 레이스에 매몰되어 있는 사이, 실제 공격자들은 전혀 다른 경로로 유유히 걸어 들어오고 있었다는 사실입니다.

 

해커들은 취약점을 뚫지 않는다, 계정으로 로그인할 뿐

2026년 상반기 위협 인텔리전스 데이터가 가리키는 진실은 냉혹합니다. 최근 발표된 글로벌 보안 보고서에 따르면, 전 세계 사이버 침입 탐지 건수의 무려 82%가 악성코드를 전혀 쓰지 않고 정상 계정과 신원 권한을 도용하는 'Malware-free' 공격이었습니다. 실제로 최근 발생한 대규모 OT 셧다운 사고들의 공격 타임라인을 분석해 보면, 해커들은 복잡한 제어 시스템의 제로데이(Zero-Day) 취약점을 찾아내기 위해 고도의 기술을 짜내지 않았습니다. 대신 다크웹의 초기 침투 브로커(IAB)들로부터 단돈 수백 달러에 거래되는 '실제 현장 엔지니어의 정상 계정(ID/PW)'을 구매했습니다.

공격자가 유효한 자격 증명을 손에 넣는 순간, 기업이 상반기 내내 피땀 흘려 완성한 '취약점 제로'의 완벽한 패치 시스템은 무력화됩니다. 해커는 시스템의 약점을 파고들어 부수고 들어오는 침입자가 아니라, 정당한 마스터 키를 들고 정문으로 당당히 걸어 들어오는 사용자가 되기 때문입니다. 아무리 최신 패치를 적용한 HMI라 할지라도, 올바른 아이디와 비밀번호를 입력하고 들어오는 제어 명령을 거부할 방법은 없습니다. 취약점 관리에만 올인하는 현재의 방어 패러다임이 구조적 한계에 부딪힌 이유가 바로 여기 있습니다.

 

정적 인증의 종말과 동적 검증 아키텍처로의 전환

상반기의 실패를 되풀이하지 않기 위해 하반기 OT 보안 전략은 '약점 메우기'에서 '정적 권한의 원천 무력화'로 즉각 전환되어야 합니다. 해커가 다크웹에서 탈취한 정적 ID와 비밀번호는 언제든 재사용이 가능하기 때문에 위험합니다. 만약 공격자가 훔친 계정 정보를 들고 시스템에 접근하더라도, 그 계정 자체의 인증 메커니즘이 실시간으로 변하는 구조라면 정문 침입은 불가능해집니다.

이를 해결하기 위해 글로벌 선도 기업들이 주목하는 방식이 바로 제어 시스템 전면에 동적 인증 인프라를 결합하는 전략입니다. 예컨대 OTAC Trusted Access Gateway (TAG)와 같은 동적 인증 게이트웨이 솔루션을 기존 HMI나 엔지니어링 워크스테이션의 로그인 길목에 배치하는 아키텍처가 대표적입니다.

이 방식은 기존의 고정된 비밀번호 기반 인증을 수학적으로 복제가 불가능한 일회성 동적 코드로 대체합니다. 설령 해커가 엔지니어의 정상 계정을 완벽하게 탈취했을지라도, 로그인하려는 그 시점과 물리적 디바이스에서만 생성되는 일회성 코드가 없다면 게이트웨이 단계에서 완벽히 차단됩니다.

2026년 상반기의 데이터는 우리에게 명확한 교훈을 줍니다. 보안의 핵심은 해커가 노리는 무수한 시스템 취약점을 쫓아다니는 것이 아니라, 그들이 들고 있는 고정된 열쇠 자체를 무용지물로 만드는 것입니다. 계정 자체를 동적 자산으로 전환하는 논리적 통제만이 쉴 새 없이 쏟아지는 새로운 위협 속에서 공정의 가동을 온전히 지속시키는 유일한 이정표입니다.