OT(Operational Technology, 운영기술) 보안은 새로운 국면에 들어섰습니다. 최근 몇 년 사이 랜섬웨어 공격 그룹들은 산업 시스템을 노리고 있으며, IT와 OT 네트워크의 융합은 공격자들이 파고들 수 있는 새로운 통로를 빠르게 늘리고 있습니다. 기존처럼 1년에 한 번씩 하는 보안 점검이나 가끔 진행되는 모의 침투 테스트만으로는 부족합니다. 이제는 위협이 끊임없이 발생한다는 현실에 맞는 새로운 보안 프레임워크가 필요합니다.
그 해법 중 하나로 떠오른 개념이 바로 CTEM(Continuous Threat Exposure Management, 지속적 위협 노출 관리) 입니다. 이 개념은 글로벌 리서치 기관인 가트너(Gartner)가 처음 제안했으며, 지금은 IT뿐 아니라 OT 보안 영역에서도 빠르게 주목받고 있습니다.
CTEM이란?
CTEM은 특정 제품이나 체크리스트가 아니라, 조직이 위험에 노출되는 지점을 지속적으로 찾아내고 줄여나가는 순환적 관리 방식입니다. 다섯 단계로 구성된 이 사이클은 끊임없이 반복되며, 위협이 숨어들 수 있는 틈을 줄이는 데 목적을 둡니다.
- 범위 설정(Scoping): 에너지 산업의 SCADA, 제조 현장의 제어 시스템처럼 무엇을 가장 중요하게 보호할지를 정의합니다.
- 발견(Discovery): 오래된 장비의 취약점, 잘못 설정된 원격 접속 지점, 보안팀 모르게 연결된 그림자 자산까지 지속적으로 찾아냅니다.
- 우선순위화(Prioritisation): 모든 위험을 동일하게 다루는 것이 아니라, 실제 영향도와 악용 가능성을 기준으로 우선순위를 정합니다.
- 검증(Validation): 현재의 보안 대책이 실제로 효과적인지, 안전한 환경에서 현실적인 공격 시나리오를 모의 실험해 봅니다.
- 대응(Mobilisation): 패치를 적용하거나 접근 제어를 강화하고, 보완 조치를 배치한 뒤 다시 사이클을 시작합니다.
CTEM의 가장 큰 강점은 바로 연속성입니다. 정기 점검 때까지 기다릴 필요 없이, 언제나 취약점을 살피고 대응할 수 있다는 점입니다.
왜 OT 환경에 CTEM이 필요한가?
OT 환경은 단순한 재정적 위험을 넘어 실제 운영과 안전까지 위협받을 수 있습니다. 수십 년 동안 운용돼온 장비는 보안을 고려하지 않고 설계된 경우가 많고, 패치를 적용하기도 까다롭습니다. 업데이트를 위해 멈출 수도 없는 상황에서 공격자들은 멈추지 않습니다.
IBM이 발표한 2025년 보고서에 따르면 올해 상반기에 공개된 OT 취약점의 절반 가까이가 ‘높음’ 또는 ‘치명적’으로 평가됐으며, 그중 20% 이상은 이미 공격 코드가 공개돼 있었습니다. 이는 OT 환경의 위협이 추상적이지 않고 실제 공격자에게 즉시 활용 가능한 수준임을 보여줍니다. CTEM은 취약점이 발견된 순간부터 대응까지의 시간을 단축시켜 이러한 현실을 관리합니다.
CTEM을 OT 환경에 적용하는 방법
많은 조직들이 CTEM을 시작할 때 가장 먼저 하는 일은 가시성 확보입니다. 보이지 않는 것은 관리할 수 없기 때문입니다. 실제로 일부 산업 현장에서는 라즈베리 파이(Raspberry Pi) 같은 장치가 몰래 연결돼 숨겨진 백도어를 만드는 사례가 있었습니다. 이는 고도화된 모니터링으로만 발견되었는데, 바로 CTEM의 ‘발견(Discovery)’ 단계가 작동한 사례라 할 수 있습니다.
그 다음은 우선순위 결정입니다. 외부와 연결되지 않은 오래된 센서보다 잘못 설정된 원격 접속 서비스가 훨씬 더 시급한 위협일 수 있습니다. 검증 단계에서는 현재의 접근 제어나 네트워크 분리, 인증 방식이 실제 공격 시나리오에 맞서 제대로 작동하는지를 확인합니다.
마지막으로 대응 단계에서는 가능한 경우 패치를 적용하거나, 접근 권한을 조정하고, 때로는 다운타임 없이 취약점을 줄일 수 있는 보완 조치를 배치합니다. 그리고 여기서 끝이 아니라, 얻은 교훈을 다시 사이클에 반영하여 과정 전체를 살아있는 체계로 만듭니다.
CTEM이 여는 OT 보안의 미래
CTEM의 진정한 가치는 기존의 보안 활동을 대체하는 것이 아니라, 그것을 지속적이고 유기적인 관리 체계로 바꾼다는 데 있습니다. 이를 통해 노출 시간을 줄이고, EU의 네트워크 및 정보 보안 지침 2차 개정안(NIS2: Network and Information Systems Directive 2)이나 사이버 복원력법(CRA)과 같은 규제 준수를 강화하며, 점점 더 정교해지는 사이버 공격에 맞서는 회복력을 확보할 수 있습니다.
대응적 방어에서 벗어나 선제적으로 위협 노출을 관리하는 방식은 결코 가볍지 않지만, 점점 더 필수적인 과제가 되고 있습니다. OT 환경을 노리는 위협은 끊임없이 다가오고 있습니다. 그렇다면 우리의 방어도 똑같이 끊임없어야 합니다. CTEM은 단순한 보안 프레임워크가 아니라, 산업과 사회를 더 안전하고 탄탄하게 지켜내는 미래의 길입니다
