보안 업계에서는 오랫동안 ‘승인’을 곧 ‘통제’와 같은 개념으로 여겨왔습니다. "액세스 승인이 떨어졌으니 안전하겠지"라거나, "요청 기록이 남고 승인이 이뤄졌으니 책임은 넘어갔다"고 생각하는 식이죠.
이러한 논리는 시스템이 안정적이고 사소한 변수는 쉽게 처리 가능한 일반적인 사무 환경(IT)에서는 꽤 잘 통합니다. 하지만 실제 공장 자동화 현장을 다루는 운영기술(OT) 영역은 전혀 다릅니다. OT 환경에서 승인이란 단지 '어느 특정 순간'에 내려진 결정일 뿐입니다. 진짜 문제는 승인 이후, 즉 실제 작업이 수행되는 과정에서 발생하기 때문입니다.
승인은 ‘변하지 않는 상태’가 전제 조건
기존의 승인 기반 액세스 제어는 "결재할 때의 조건이 실제 작업 시점에도 그대로 유지될 것"이라는 믿음을 바탕에 둡니다. IT 환경에서는 승인과 실행이 거의 동시에 일어나고 시스템이 예측 가능하므로 이 믿음이 유효합니다.
하지만 OT의 현장 상황은 시시각각 변합니다.
• 정비 시간이 갑자기 변경됩니다.
• 장비의 가동 상태가 바뀝니다.
• 현장의 압박 속에서 작업 범위가 원래 계획보다 늘어나기도 합니다.
결국 승인 직후 추가 인원이 투입되는 등 상황이 바뀌어 버리면, 서류상의 승인 기록은 유효할지 몰라도 그 승인의 근거가 되었던 '맥락'은 이미 사라진 뒤입니다.
승인과 실제 작업 사이의 ‘괴리’
OT 환경에서의 액세스는 한 사람이 처음부터 끝까지 혼자 수행하는 경우가 드뭅니다. 관리자가 승인하면 외부 엔지니어가 작업을 수행하고, 그 과정에 현장 운영자가 개입하기도 하죠. 긴급한 상황에서는 같은 통로를 통해 추가적인 조정 작업이 연달아 일어납니다.
이런 복잡한 과정 속에서 승인 기록은 더 이상 책임의 소재를 명확히 밝혀주지 못합니다. "누군가 결정했다"는 사실은 증명해주지만, "누가, 어떤 엔지니어링 스테이션에서, 실제 어떤 상태의 장비를 건드렸는지"는 설명하지 못하기 때문입니다. 사고가 터졌을 때 승인 서류는 완벽한데 정작 "무슨 일이 벌어졌는지" 모르는 이유가 바로 여기에 있습니다. 승인 기록은 존재하지만, 실질적인 통제는 이루어지지 않은 셈입니다.
시간이 지날수록 약해지는 승인의 유효성
승인은 본질적으로 '정지된 스냅샷'과 같습니다. 하지만 공장은 계속해서 돌아가는 '살아있는 생물'과 같죠. 현장에서는 작업 며칠 전, 혹은 몇 시간 전에 미리 승인을 받는 경우가 많습니다.
이 시간 간격 동안 현장 상황이 크게 바뀌면, 승인 시점에는 '안전'했던 작업이 실행 시점에는 '위험'한 작업이 될 수 있습니다. 하지만 한 번 떨어진 승인은 상황 변화를 다시 평가하지 않습니다. 이는 결국 '종이 위의 거버넌스'라는 착시 현상을 만듭니다. 서류상으로는 모든 게 통제되는 것처럼 보이지만, 실제로는 승인과 실행 사이의 시간이 길어질수록 보안의 방어벽은 점점 무너집니다.
왜 승인 절차를 늘려도 보안은 제자리걸음인가?
보안에 허점이 보이면 기업들은 흔히 승인 단계를 더 늘리는 식으로 대응합니다. 검토자를 추가하고, 체크리스트를 길게 만들고, 결재 라인을 복잡하게 하죠. 하지만 이는 실질적인 통제력은 회복하지 못한 채 업무의 마찰만 키울 뿐입니다.
• 구조적 한계: 승인 시스템은 '의도(Intent)'를 확인하도록 설계되었지만, OT 사고는 '실행(Execution)' 단계에서 터집니다.
• 비공식적 우회: 절차가 까다로워질수록 현장에서는 계정 공유나 상시 개방 계정(Standing Access) 같은 편법을 쓰게 됩니다.
• 가시성 저하: 결과적으로 통제력은 커녕 현장에서 실제로 무슨 일이 일어나는지 알 수 없는 '가시성 부족' 상태에 빠지게 됩니다.
OT 환경에 맞는 새로운 ‘승인’의 정의
진정한 의미의 OT 액세스 제어는 실제 작업이 이루어지는 방식과 연결되어야 합니다. 즉, 다음과 같은 현실을 인정하는 데서 시작해야 합니다.
• 승인 한참 뒤에 작업이 일어날 수 있다.
• 한 번의 승인 아래 여러 명의 작업자가 움직일 수 있다.
• 현장 상황에 따라 작업 범위가 바뀔 수 있다.
이제 승인은 액세스를 열어주는 '영구적인 스위치'가 아니라, 작업 내용, 대상 장비, 그리고 실시간 현장 조건과 결합된 하나의 유동적인 입력값으로 취급되어야 합니다. 현장의 역동적인 움직임을 반영하지 못하는 보안은 보호가 아니라 그저 '안심시키기 위한 서류 작업'일 뿐입니다.