2025년 5월, 미국의 한 대형 제강 회사가 사이버 공격을 받아 일부 생산라인을 긴급 중단했습니다. 정지된 것은 철강 공정만이 아니었습니다. 무엇보다 중요한 신뢰(Trust)가 흔들렸습니다.
불과 몇 주 뒤, 유럽에서는 체크인·탑승 시스템 공급사가 공격을 받아 영국 런던 히드로 공항(Heathrow Airport), 벨기에 브뤼셀 공항(Brussels Airport), 독일 베를린 브란덴부르크 공항(Berlin Brandenburg Airport) 등 주요 공항들이 마비됐습니다. 시스템은 모두 규정에 맞게 설계되어 있었지만, 규제(Compliance)’는 준수했어도 ‘연속성(Continuity)’까지 지키지는 못했습니다.
지금 유럽과 북미의 산업·공공 인프라 대부분은 NIS2 지침(Network and Information Security Directive 2), IEC 62443 국제 산업제어시스템 보안 표준, 사이버 복원력법(Cyber Resilience Act, CRA), NERC 표준(North American Electric Reliability Corporation Standards) 등 각종 규제의 체크리스트를 충실히 따르고 있습니다. 하지만 공격이 발생하면 여전히 시스템이 멈추는 현실은 달라지지 않았습니다.
이제 우리가 무엇을 해야 할 지 명확해졌습니다. 컴플라이언스만으로 OT 시스템을 완전히 지켜낼 수 없다면, 우리는 어떻게 OT 시스템의 연속성을 지켜낼 지를 고민해야 합니다. 즉, 침입 자체를 원천 차단하는 사전적 인증 보안의 중요성을 주목해야 합니다.
컴플라이언스는 출발점일 뿐, 목적지가 아닌 이유
많은 기업과 기관이 NIS2 시행과 CRA 대응을 위해 서둘러 감사를 준비하고, 정책을 수정하며, 사고 대응 매뉴얼을 마련했습니다. 이 모든 노력은 중요하지만, 그것이 ‘실제 OT 시스템 공격에 대한 완벽한 대비’를 보장하지는 않습니다.
유럽연합 사이버보안국(ENISA)의 최신 보고서에 따르면, 최근 주요 인프라 보안 사고의 70%는 이미 인가된 조직에서 발생했습니다. 즉, 서류상 ‘안전’과 실제 ‘운영 지속성’은 전혀 다른 문제입니다. 컴플라이언스는 무엇을 지켜야 하는가를 정하지만, 연속성은 그것이 위기 속에서도 정상적으로 작동하는가를 증명합니다.
감사 통과 시스템도 불이 꺼질 수 있다고?!
미국 제강 회사 중 하나인 뉴코어(Nucor) 사례는 이를 단적으로 보여줍니다. 2025년 5월, 사이버 공격이 발생하자 일부 생산라인이 멈췄고, 복구를 위해 공정이 지연되었습니다. NIS2 및 관련 보안 기준을 충족하고 있던 기업이었지만, 규정 준수와 운영 지속은 별개의 문제임이 드러난 셈입니다.
불과 몇 주 뒤 유럽에서는, 앞서 언급한 공항 체크인·탑승 시스템 공격으로 인해 런던, 브뤼셀, 베를린 등 주요 공항의 운항이 지연되거나 취소되었습니다. 각 기관은 ‘모든 절차를 지키고 있다’고 말했지만, 결국 운영은 수동 모드로 전환됐고, 컴플라이언스는 비상 상황을 멈추게 하지 못했습니다.
이 두 사건은 불편하지만 분명한 진실을 드러냅니다. 규정이 방어선을 세우지만, 진짜 복원력은 체크리스트 이후에 남아 있는 것들에 달려 있습니다.
정책과 현실 사이의 보이지 않는 틈
이 격차는 왜 사라지지 않을까요? 이유는 간단합니다. 감사는 ‘주기적’이지만, 공격은 ‘상시적’이기 때문입니다. 감사는 과거를 평가하고, 공격자는 지금 이 순간을 노립니다.
규정서에는 “다중인증(MFA) 적용”이라고 적혀 있지만, 만약 인증 서버가 네트워크 장애로 연결되지 않는다면 어떻게 될까요? “모든 접근을 기록한다”는 시스템도, 로그가 네트워크에만 의존한다면 아무 의미가 없습니다.
해답은 더 많은 문서 작성이 아니라, ‘연속성을 설계’하는 일입니다. 신원 확인, 모니터링, 복구 기능은 네트워크 연결이 불안정한 상황에서도 지속 작동해야 합니다.
체크리스트에서 ‘살아 있는 시스템’으로
이제 글로벌 선도 기업들은 컴플라이언스를 ‘연속성의 토대’로 재정의하고 있습니다. 그 변화는 단순한 규정 준수를 넘어, 시스템이 스스로 복원력을 유지하도록 설계하는 단계로 확장되고 있습니다.
- 끊겨도 살아 있는 신원 인증: 네트워크 연결이 불안정하거나 완전히 단절된 상황에서도 작동할 수 있는 인증 구조가 요구되고 있습니다. 이는 중앙 서버에 대한 의존도를 낮추고, 단말 자체에서 생성되는 일회용 다이내믹 인증 코드를 통해 오프라인 상태에서도 신뢰를 유지하는 방식입니다.
- 끊겨도 남는 로그와 감사 데이터: 로컬 기기에 안전하게 저장된 접근 기록은 네트워크가 복원된 이후에도 보안 감사와 추적성 확보에 핵심적인 역할을 합니다. 이는 단순히 규정을 충족하는 수준을 넘어, 사고 이후의 원인 분석과 복원력 평가의 근거로 작용합니다.
- 서류가 아닌 운영 지표: ‘감사 통과율’보다 실제 운영 성능을 보여주는 지표 — 탐지 시간(MTTD), 복구 시간(MTTR), 오프라인 인증 성공률 등 — 이 보안 체계의 실질적 신뢰도를 평가하는 기준이 되고 있습니다.
‘컴플라이언스’에서 ‘연속성’으로 전환
컴플라이언스는 감사를 통과하는 일입니다. 하지만 연속성은 고객에게 신뢰를 증명하는 일입니다. 에너지·운송·수도 같은 핵심 인프라는 이제 법을 지키는 것만으로 충분하지 않습니다. 위기 속에서도 멈추지 않아야 합니다.
ENISA는 2025년 권고문에서 이미 이렇게 강조합니다.
“문서 검토를 넘어, 실제 운영 환경에서의 복원력 검증(Live Operational Exercises)이 필요하다.”
앞으로의 OT 보안은 인증서나 감사 결과가 아니라, 위기 속에서도 계속 가동되는지로 평가받게 될 것입니다.
지금 당장 스스로에게 반드시 물어봐야 할 질문
2026년 예산을 세우기 전에, 한 가지 질문만큼은 반드시 던져야 합니다.
“내일 당장 사이버 공격으로 OT 시스템이 마비되더라도, 우리는 핵심 인증과 접근 제어를 유지할 수 있는가?
이 질문에 바로 “그렇다”라고 답할 수 없다면, 아직 컴플라이언스는 목적을 이루지 못한 것입니다. ‘인증 받은 보안’이 아니라, 멈추지 않는 ‘살아 있는 보안’. 그것이 진정한 연속성을 증명하는 기준입니다.
