최근 유럽연합 사이버보안국(ENISA)이 발표한 Threat Landscape 2025 보고서를 살펴 보면, 유럽 내 사이버 공격 중 18.2%가 OT(운영기술) 시스템을 직접 겨냥한 것으로 나타났습니다. 이는 단순한 통계 수치로 치부하면 안 됩니다. 공격자들이 더 이상 IT 영역에 머무르지 않고, 산업 현장 그 자체로 침투하고 있다는 명확한 신호이기 때문입니다.
이제 OT 보안은 ‘나중에 해도 되는 투자’가 아니라, 늦출수록 손실이 커지는 선택이 되었습니다. 그 손실은 눈에 보이는 장비 교체 비용 뿐만 아니라, 가동 중단, 규제 벌금, 보험료 상승, 거래 신뢰도 하락 등 눈에 잘 보이지 않지만 실제로 기업의 수익 구조를 갉아먹는 “숨겨진 비용(hidden cost)”까지 감안하면, 기업으로서는 엄청난 피해를 감수해야 할 정도입니다.
생산 중단이 초래하는 실손액
산업제어시스템(ICS)이나 PLC, HMI 같은 OT 엔드포인트가 공격받으면, 그 피해는 데이터 유출이 아니라 공장 가동의 즉각적인 중단으로 이어집니다.
중간 규모의 제조 공장이라면 1시간 가동 중단으로 약 20만~50만 유로(약 3억~7억 원)의 손실이 발생합니다. 에너지나 정유, 중공업 분야에서는 이 금액이 시간당 100만 유로(약 15억 원)를 넘기도 합니다.
이런 손실은 단순히 생산의 중단만을 의미하지 않습니다. 납품 지연, 공급망 차질, 협력사 위약금, 그리고 안전 관리 리스크까지 이어져 “보안 투자를 미룬 비용”이 오히려 “운영 손실”로 되돌아오는 구조가 만들어집니다.
규정 미준수로 인한 벌금과 평판 리스크
유럽의 NIS2 지침은 이제 “권고”가 아니라 법적 의무입니다. 운영 기술 영역에서도 인증, 접근제어, 식별 등 명확한 보안 조치가 요구되며, 이를 이행하지 못할 경우 전 세계 연 매출의 최대 2%에 달하는 벌금이 부과될 수 있습니다.
예를 들어, 연매출이 10억 유로(약 1조 5천억 원)인 기업이라면, 벌금만으로도 2,000만 유로(약 300억 원)를 잃을 수 있습니다. 게다가 마지막 순간에 규정을 맞추려다 외부 컨설턴트와 긴급 대응을 진행할 경우, 평상시보다 2~3배의 인력·서비스 비용이 추가로 발생합니다.
보험료 상승과 재무적 부담
보안 사고는 단순히 시스템의 문제가 아닙니다. 한 번의 침해사고는 파트너사와 고객의 신뢰를 잃게 만들고, 공공입찰이나 민간 프로젝트에서 “리스크 기업”으로 분류될 수 있습니다.
2025년 유럽 제조기업 대상 조사에서, 62%의 응답 기업이 OT 보안사고 이력이 있는 공급사와의 거래를 재검토하겠다고 답했습니다. 즉, 기술보다 무서운 건 ‘신뢰의 손실’이며, 그 비용은 회복이 거의 불가능합니다.
지금 투자하는 것이 결국 가장 적은 비용 지출
많은 기업이 “예산을 내년에 반영하자”고 말합니다. 하지만 사이버 리스크는 회계연도처럼 기다려주지 않습니다. 지금 2개월을 미루면, 결국 내년 1년치 리스크를 그대로 방관하는 선택이 됩니다.
OT 엔드포인트를 다중인증으로 강화하거나 OTAC(One-Time Authentication Code) 기반 단방향 다이내믹 인증처럼 고도화된 OT 인증 시스템을 구축하는 기관 및 기업들이 증가하는 데에는 모두 이유가 있습니다.
보안 투자는 지출이 아니라 손실을 막는 비용 절감의 시작입니다. 보안을 미루는 순간, 그 대가는 이미 현실이 됩니다.
