한 대형 제조 현장에서 있었던 일입니다. 외부 협력업체 엔지니어가 정기 점검을 위해 제어기 접근 권한이 필요했습니다. 과정은 익숙했습니다. VPN 계정이 발급되었고, 빠른 작업을 위해 기존에 쓰던 계정 정보를 재사용했으며, 점검은 문제없이 끝났습니다.
하지만 몇 주 뒤, 그 접속 경로는 여전히 활성화된 상태였습니다. 그사이 누가 접속했는지, 어떤 설비를 건드렸는지, 원래 목적 외에 다른 작업을 하지는 않았는지 그 누구도 확신하지 못했습니다. 명백한 악성 행위가 발견되지는 않았지만, 운영 측면에서 보면 이미 '통제권'을 상실한 상태였던 것입니다.
이런 패턴은 공장, 발전소, 교통망 등 수많은 OT 환경에서 반복됩니다. OT 보안이 무너지는 이유는 조직이 보안을 소홀히 해서가 아닙니다. 운영 환경의 특수성을 고려하지 않은 채, IT 모델을 그대로 가져다 쓰기 때문입니다.
IT 모델이 OT에서 통하지 않는 근본적인 이유
일반적인 IT 접근 제어는 안정적인 네트워크, 중앙 집중화된 신원 관리, 그리고 실시간 업데이트와 통제가 가능한 시스템을 전제로 합니다. 하지만 OT 환경은 전혀 다릅니다.
• 운영 환경의 제약: 설비는 수십 년간 사용되며, 안전을 위해 함부로 설정을 바꿀 수 없습니다. 네트워크는 분리되거나 격리된 경우가 많고, 무엇보다 '가동 중단(Downtime)'은 절대 허용되지 않습니다.
• 외부 접근의 일상화: 외부 벤더나 협력업체의 접근이 잦고 필수적이지만, 정작 누가 무엇을 했는지 추적하기는 매우 어렵습니다.
• 누적되는 보안 부채: 운영의 편의를 위해 비밀번호를 공유하거나, 할 일이 끝난 VPN 계정을 그대로 방치하곤 합니다. 권한을 주는 것보다 뺏는 것이 운영상 더 번거롭기 때문에 권한은 시간이 갈수록 비대해집니다.
결국 IT 방식의 보안은 접속 기록(로그)은 남길지 몰라도, 그 사람이 '왜', '어떤 작업'을 했는지는 설명해주지 못합니다.
문제는 '사람'이 아니라 '구조'
보안 취약점이 발견되면 흔히 비밀번호를 더 복잡하게 만들거나 결재 단계를 늘리는 식으로 대응합니다. 하지만 이는 증상만 완화할 뿐 근본 원인을 해결하지 못합니다.
기존 구조는 여전히 '한번 발급하면 한참 유효한' 정적 자격증명에 기반하기 때문입니다. 한 번의 조작 실수나 오남용이 생산 중단이나 안전사고로 직결되는 OT 환경에서, 작업 목적과 상관없이 살아있는 계정 권한은 그 자체로 거대한 시한폭탄과 같습니다.
'ID'가 아닌 '작업(Task)' 중심으로 설계해야
현명한 OT 접근 제어는 "이 사람이 누구인가"라는 일반적인 질문에서 벗어나야 합니다. 대신 다음과 같은 구체적인 맥락을 물어야 합니다.
• 어떤 작업을 수행하는가?
• 어떤 자산을 건드리는가?
• 얼마나 오래 필요한가?
• 현재 운영 조건에 적합한가?
접근 권한을 '지속적인 권리'가 아니라 '특정 작업에 한정된 일회성 이벤트'로 취급하면, 운영에 부담을 주지 않으면서도 통제력을 획기적으로 높일 수 있습니다. 작업이 끝나면 권한도 자동으로 사라지기 때문입니다.
네트워크가 끊겨도 보안 유지는 필수
OT 환경의 또 다른 특징은 연결성을 항상 보장할 수 없다는 점입니다. 외딴 지역의 설비나 폐쇄망에서는 중앙 서버와 통신이 불가능할 때가 많습니다.
중앙 서버에만 의존하는 보안 모델은 정작 가장 중요한 순간(장애 상황이나 유지보수 시)에 작동하지 않습니다. 따라서 진정한 OT 보안은 오프라인에서도 로컬 검증이 가능해야 하며, 연결이 끊긴 상태에서도 모든 행위 증거를 남길 수 있어야 합니다. 이것이 바로 최근 업계에서 재사용 가능한 비밀번호 대신 '동적·작업 기반 인증'에 주목하는 이유입니다.
현실적인 OT 보안을 위한 제언
OT 접근 제어를 개선하는 것은 거창한 변화를 요구하지 않습니다. 운영의 현실을 반영하여 설계를 살짝 비트는 것만으로도 충분합니다.
1. 공용 계정과 장기 미사용 계정을 점진적으로 제거하세요.
2. 상시 권한 대신 '작업 단위 승인' 방식을 도입하세요.
3. 네트워크 단절 상황에서도 인증이 가능한 구조를 확보하세요.
4. 모든 핵심 행위에 대해 명확한 증거(로그)를 남기세요.
IT 방식을 억지로 끼워 맞춘 보안은 언젠가 반드시 깨지기 마련입니다. 현장의 작업 흐름과 설비의 상태, 그리고 실제 운영 조건을 이해하는 접근 제어만이 신뢰할 수 있는 OT 보안의 기초가 됩니다.