산업 제어 시스템(ICS)이나 OT(운영 기술) 보안 문제를 논의할 때 최근까지만 해도 규제나 표준에 대해서 심각하게 논의가 되었던 적은 없습니다. 하지만 요즘 들어 IEC 62443의 FR1 항목(식별 및 인증 제어)이 여러 산업 현장에서 자주 언급되고 있는 것을 분명 들어보셨을 겁니다.
그 이유는 바로 올해 들어 유럽을 중심으로 많은 기업들이 OT 보안에 대한 규제 대응과 기술 강화에 주목하고 있는데, 그 중심에 바로 FR1이 자리하고 있기 때문입니다. 그렇다면 FR1을 우리는 왜 주목해야 할까요?
FR1이 대체 뭐길래?
IEC 62443은 산업 제어 시스템을 위한 국제 보안 표준 시리즈입니다. 이 중 FR1(Function Requirement 1)은 ‘식별 및 인증 제어’를 다루며, 핵심은 다음과 같습니다:
- 사용자와 디바이스의 고유 식별
- 다중 인증(MFA) 도입
- 접속 이력 및 실패 기록 로깅
- 공유 계정 금지, 역할 기반 접근 제어(RBAC)
위에 언급한 내용들은 매우 기본적인 보안 사항들처럼 보일 수 있지만, 실제 현장에서는 여전히 간과되는 경우가 많습니다.
왜 하필 2025년에 주목받는 걸까?
올해 들어 FR1이 더욱 주목받게 된 이유는 명확합니다.
- IEC의 새로운 가이드라인 발표 (2025년 3월)
PAS 62443‑2‑2:2025가 발표되면서, 이제 기업들은 추상적인 목표가 아닌 실제 적용 가능한 인증 프로세스를 참고할 수 있게 되었습니다.
- 프랑스에서 발생한 보안 사고 (2025년 5월)
한 대형 헬스케어 기업의 OT 시스템이 마비되는 사고가 발생했습니다. 문제는 벤더 계정을 여러 인원이 공유하고 있었고, MFA도 없었다는 점. FR1이 제대로 적용됐다면 막을 수 있었던 사고였습니다.
- 유럽 기업들의 규제 대응 압박
NIS2 규제가 본격적으로 시행되면서, 에너지·제조·운송·의료 등 주요 산업군 기업들은 인증 체계를 제대로 갖췄는지 다시 검토하고 있습니다.
유럽 기업들의 FR1 대응 현황
클래로티와 ISAGCA가 2025년에 발표한 보고서에 따르면 몇 가지 중요한 사실을 확인할 수 있습니다.
- 유럽 내 OT 자산 보유 기업 중 60% 이상이 벤더에 FR1 수준의 인증을 요구하고 있습니다.
- 그러나 실제 디바이스 인증이나 원격 MFA를 도입한 곳은 30%에 불과합니다.
도입 필요성을 인식하고 있지만, 실행까지는 아직 격차가 있는 상황입니다.
FR1을 도입하면 달라지는 것들
FR1을 도입하면 그 동안 취약한 OT 시스템 공격 포인트로 지목받던 부분에서 자유로워지게 됩니다. 실제 FRI을 강화한 기업들이 말하는 FRI 도입 이후 변화는 다음과 같습니다.
🔐 사용자 및 디바이스 고유 식별 적용
계정 공유 금지, 디폴트 비밀번호 제거 등 기본 보안 강화
📱 원격 접속에 MFA 필수화
특히 외부 벤더나 유지보수 인력 대상
📋 접근 이력 전면 로깅
누가 언제 어디서 어떤 시스템에 접근했는지 투명하게 기록
🔑 역할 기반 접근 제어 (RBAC)
불필요한 접근 권한 차단으로 내부 위협도 방지
FR1은 수많은 보안 조건 중 하나일 뿐?
FRI을 단순한 보안 대응으로 치부하기도 하지만, 그것은 현재 OT 엔드포인트가 얼마나 취약한 지를 간과했기 때문입니다. FRI은 보안을 넘어 실제 비즈니스의 연속성에 있어서도 매우 중요한 기준입니다.
✅ 사이버 공격에 대한 실질적 방어
공격자들이 가장 자주 노리는 진입점은 바로 약한 인증입니다.
✅ 규제 대응 준비 완료
NIS2와 같은 보안 감사에서 인증 체계는 가장 먼저 점검받는 항목입니다.
✅ 보안 사고 대응 속도 향상
누가 어떤 행동을 했는지 추적 가능해야 빠르게 대응하고 보고할 수 있습니다.
✅ 신뢰받는 벤더로서의 입지 확보
FR1 수준의 인증을 지원하는 벤더는 선택에서 우위를 점하게 됩니다.
OT 시스템 개방과 통제의 문제
2025년 현재, IEC 62443 FR1은 이제 선택이 아니라 필수 기준이 되어가고 있습니다. 발전소, 스마트 팩토리, PLC 원격 접속 환경 등 어떤 OT 환경이든 ‘누가 들어오는가’에 대한 철저한 통제 없이는 보안이 성립되지 않습니다. 지금까지 FR1 도입을 미뤄왔던 조직이라면, 더 이상은 늦출 수 없는 시점입니다.
