2025년 한 해 동안 OT 보안은 수많은 규제 대응, 예산 투자, 시스템 업그레이드가 이뤄졌습니다. 그럼에도 불구하고 아찔한 사고들이 계속 발생했습니다. 놀랍게도, 이 사고들은 악성코드가 투입되거나 네트워크가 마비된 순간에 시작된 것이 아니었습니다. 그 대신 그보다 훨씬 이전, ‘신원 기반 접근 관리가 제대로 되지 않은 지점’에서 시작되었습니다.
유럽연합 사이버보안국(ENISA)과 미국 사이버안보·인프라보안국(CISA)이 발표한 보고서를 살펴봐도 주요 기반시설 공격의 초기 진입 경로 상당수는 도난된 계정, 약하거나 기본값으로 남아 있는 비밀번호, 잘못된 권한 관리에서 시작되었습니다. 2026년 OT 보안의 중심축이 네트워크에서 ‘신원 기반 인증’으로 이동할 수밖에 없는 이유가 여기에 있습니다.
빈틈은 숨겨져 있던 것이 아니라, 너무 오랫동안 외면되어 왔을 뿐입니다.
2025년 대형 OT 사이버 보안 사고의 공통점
① 노르웨이 브레망에르 댐 침해 (2025년 4월)
해커가 수문을 의도적으로 개방해 초당 497리터의 물이 방류된 사건입니다. 노르웨이 정보 당국은 이 공격의 핵심 원인 중 하나로, 인터넷에 노출된 제어 시스템과 취약한 비밀번호, 미흡한 접근 제어를 지목했습니다. 공격자는 새로운 취약점을 개발한 것이 아니라, 충분히 보호되지 않은 기존 접속 경로를 그대로 악용했던 것입니다.
② 캐나다 물·에너지·농업 ICS 침해 (2025년 10월)
캐나다 사이버보안센터는 해커들이 수도시설의 수압 밸브, 석유·가스 시설의 ATG(자동 탱크계량기), 농장 사일로 등을 조작한 사건을 발표했습니다. 여기에서도 문제는 복잡한 공격 기술이 아니라, 인터넷에 그대로 노출된 ICS 장비와 부족한 네트워크·접근 통제였습니다. 즉, 원격 접근 자체가 충분히 제한되지 않았고, 공격자는 특별한 우회 없이도 외부에서 제어 신호를 보낼 수 있는 구조를 활용했습니다.
③ 영국 재규어랜드로버(JLR) 글로벌 생산 중단 (2025년 8월)
재규어랜드로버(JLR)는 사이버 공격을 받은 뒤 영국 내 여러 공장을 포함한 일부 생산라인 가동을 일시적으로 중단했습니다. 이 과정에서 주문·재고·물류를 포함한 공급망 전반에 큰 차질이 발생했고, 다수의 협력사가 연쇄적인 영향을 받았습니다. 공개된 분석에 따르면, 공격자는 사회공학(피싱·비싱 등)을 통해 내부 계정을 탈취하고, 도난된 자격증명을 활용해 IT 및 제조 시스템에 대한 접근 권한을 확대해 나간 것으로 알려져 있습니다. 소수의 계정이 공격자 손에 넘어가자, 그 계정에 의존하던 프로세스와 공급망 전체가 흔들린 대표적인 사례입니다.
세 개의 사건 모두 한 가지 공통점을 드러냈습니다. 공격은 네트워크 침입 기술보다, 노출된 인터페이스, 약하거나 기본값을 사용하는 비밀번호, 재사용된 자격증명, 취약한 접근 통제와 같은 기초적인 ‘접속 신원 및 접근 관리’의 허점에서 출발했다는 점입니다. 즉, 복잡한 해킹 기술보다 기본적인 인증·접근 통제가 약한 지점을 먼저 노렸다는 사실입니다.
네트워크 중심 보안만으로는 OT를 지킬 수 없는 이유
그동안 OT 보안은 네트워크 중심의 구조에 맞춰 발전해 왔습니다. 망분리, 방화벽, 모니터링, 이상 탐지 같은 요소들은 모두 필수적입니다. 하지만 2025년에 발생한 실제 사고들은 네트워크만으로는 막을 수 없는 분명한 한계를 드러냈습니다.
- 공격자가 ‘정상 계정’을 사용하면 네트워크 분리는 의미가 없어지고
- 인증 서버가 응답하지 않으면 다중인증(MFA)은 작동할 수 없고
- 초기에 필요한 로그가 없다면 모니터링은 후행 분석밖에 못하고
- 원격 유지보수가 필요하면 에어갭도 일시적으로 무력화됩니다
이 모든 문제는 설계의 실패가 아니라 “신원 기반 인증은 보조 요소일 뿐”이라는 오래된 가정의 실패입니다. OT가 원격화, 자동화될수록 신원이 보안의 중심에 있어야 한다는 사실은 더욱 명확해집니다.
OT 환경에서 ‘네트워크 연결’이 필수인 신원인증은 사치
대부분의 OT 환경은 아래 같은 특성을 갖고 있습니다.
- 네트워크가 불안정하거나 간헐적으로 끊기고
- 공장은 외딴 지역에 있고
- 외부 공급업체가 접근해야 하고
- 오래된 ICS 자산은 기본 인증체계도 없고
- 운영자는 오프라인 또는 반오프라인에서 작업합니다
그런데 인증 방식은 여전히 IT 기반의 방식입니다.
- 서버에 의존하는 다중 인증
- 중앙에 저장된 자격증명
- 사용자명/비밀번호
- 인터넷 연결을 전제로 한 토큰
- 오프라인에서도 비활성화되지 않는 권한
이런 구조에서는 신원 기반 인증이 실패하는 순간 OT 전체가 무방비 상태가 됩니다. 그래서 2025년에 신원·계정과 관련된 사고들이 유독 두드러졌습니다.
2026년의 전환점은 ‘끊겨도 작동하는 신원 기반 인증’
OT 네트워크가 완전하지 않다면, 신원 기반 인증은 네트워크 없이도 동작해야 합니다. 2026년 주목해야 할 변화는 다음과 같습니다.
- 네트워크가 불안정해도 인증이 지속되는 구조
- 재사용되거나 탈취될 수 없는 동적 자격증명
- 중앙 서버가 닿지 않아도 검증 가능한 방식
- 특정 기기나 네트워크가 아니라 ‘사람’을 기준으로 접근을 제어
- 로컬에 인증 이벤트를 남겼다가 나중에 동기화
이 흐름은 이미 주요 산업 분야에서 확산되고 있습니다. 특히 단방향 구조의 일회용 다이내믹 인증 모델은 네트워크의 영향을 받지 않아 신뢰를 유지하는 데 유리합니다. 가장 대표적인 기술이 바로 OTAC입니다. 즉, ID와 비밀번호와 같은 고정값 기반의 인증값이 필요하지 않고, 절대 중복되지 않고 매번 새롭게 변경되는 코드가 생성되는 구조로, 재사용·도난이 근본적으로 불가능한 방식입니다.
이는 기존 OT 보안을 대체하는 것이 아니라, 오래 비어 있었던 ‘첫 관문’을 채워주는 역할에 가깝습니다.
OT 엔드포인트 보안이 신원 중심으로 이동해야 하는 이유
PLC, HMI, RTU 같은 OT 엔드포인트 기기들은 원래부터 신원 기반 인증을 전제로 만들어진 장비가 아닙니다. 그래서 다음과 같은 구조적 한계를 갖고 있습니다.
- 도난된 계정을 막을 방법이 없고
- 다이내믹 인증을 처리하지 못하고
- 오프라인에서 안전하게 인증할 방법이 없고
- 사용자 단위 접근 제어가 어렵습니다
신원을 중심에 두면 처음으로 “공격자가 실제 장비에 도달하기 전”에 차단할 수 있습니다. 이것이 2026년에 OT 보안이 추구해야 할 방향입니다.
2026년 OT 보안의 새로운 경계선은 바로 ‘접속자 신원’
2025년 발생한 사고들은 중요한 사실을 밝혀냈습니다. 네트워크는 강화할 수 있고, 방화벽은 개선될 수 있고, 모니터링은 정교해질 수 있습니다. 하지만 접속 신원 기반 인증이 정적이거나 공유되거나 서버 의존적이라면, 공격자는 언제든 우회 방법을 찾습니다.
2026년의 OT 보안은 더 큰 경계선이 아니라, 사용자와 함께 움직이는 경계선을 만드는 것입니다. 연결이 있든 없든 변하지 않는 신원 기반 인증. 그것이 공격자가 가장 우회하기 어려운 영역입니다.
많은 운영자들이 이제 같은 결론에 도달하고 있습니다.
접속 신원 기반 인증을 강화하면 그 위에 쌓인 모든 보안이 더욱 더 견고해진다.
