작년에 유럽의 한 대형 제조 현장에서 있었던 일입니다. 정기 유지보수를 위해 외부 협력업체 엔지니어가 특정 설비에 접근해야 했습니다. 하지만 임시 계정을 생성할 시간이 충분하지 않았고, 결국 기존에 사용하던 공용 비밀번호가 그대로 활용되었습니다. 작업은 무사히 완료됐지만, 몇 주 뒤 해당 자격증명이 여러 하청업체 사이에서 공유되고 있다는 사실이 발견되었습니다.
악의적인 의도는 없었다고 합니다. 그러나 이 조직은 누가 언제 어떤 시스템에 접근했는지 정확히 확인할 방법이 없었습니다. 규제와 감사 관점에서 보면 이미 심각한 문제였습니다.
이 사례는 특별한 일이 아닙니다. 발전소, 공장, 교통 인프라, 공공 설비 등 수많은 OT 환경에서 매일 반복되고 있는 현실입니다. 이는 단순한 관리 실수가 아니라, 접근 통제 방식 자체가 OT 운영 현실과 맞지 않기 때문에 발생하는 구조적 문제입니다.
IT 방식의 인증이 OT에서 어려움을 겪는 이유
대부분의 인증 모델은 원래 IT 환경을 전제로 설계되었습니다. 그래서 안정적인 네트워크, 최신 단말, 중앙 집중형 시스템을 기본으로 합니다. 하지만 OT 환경은 완전히 다른 조건에서 운영됩니다.
OT 산업 현장은 대개 다음과 같은 특징을 가집니다.
• 수십 년 동안 운영되는 레거시 설비
• 중단이 허용되지 않는 운영 요구
• 분리되고 고립된 네트워크 구조
• 내부 직원과 외부 협력업체가 혼재된 접근 구조
• 안전 규정과 엄격한 변경 절차
이런 환경에서는 IT 중심으로 설계된 접근 통제가 제대로 작동하기 어렵습니다. 항상 온라인 연결을 요구하거나, 잦은 업데이트를 전제로 하거나, 복잡한 소프트웨어 설치가 필요한 방식은 현장에서 받아들여지기 힘듭니다.
결국, OT에서는 단순히 ‘더 편리한 접근 통제’가 필요한 것이 아니라, 운영 현실에 맞는 전혀 새로운 접근 방식이 요구됩니다.
문제의 본질은 운영이 아니라 구조
대부분의 OT 인증은 여전히 고정값 기반의 정적인 자격증명, 즉 재사용 가능한 사용자 이름과 비밀번호에 의존하고 있습니다. 한번 발급된 계정은 본래 작업이 끝난 뒤에도 계속 유효하고, 다양한 상황에서 반복적으로 사용됩니다.
단 한 번의 잘못된 접근만으로도 설비 중단이나 안전 사고가 발생할 수 있는 환경에서, 이러한 모델은 위험과 맞지 않습니다. OT에서 필요한 것은 더 복잡한 인증 절차가 아니라, 권한을 일시적이고 상황 중심으로 부여하는 새로운 신뢰 구조입니다.
OT 보안은 실제 업무 방식에서 출발해야
OT 접근 통제를 설계할 때는 기술보다 먼저 현장의 업무 방식을 살펴봐야 합니다. 현장에서 일어나는 대부분의 접근은 다음과 같은 형태입니다.
• 특정 장비를 조정하기 위한 엔지니어 작업
• 외부 업체의 원격 진단
• 제한 구역에 대한 임시 출입
• 긴급 복구를 위한 일시적 권한
모두 명확한 목적과 범위, 그리고 시간 제약이 있는 구체적인 작업 단위의 활동입니다. 그럼에도 많은 조직은 이런 활동을 여전히 영구 계정과 공용 비밀번호로 관리하고 있습니다.
보다 현실적인 접근 통제 모델은 전혀 다른 질문에서 출발합니다.
• 어떤 자산에 접근해야 하는가?
• 어떤 작업을 수행하려는가?
• 얼마나 오랫동안 필요한가?
• 현재 운영 조건은 무엇인가?
접근을 지속적인 권리가 아니라, 특정 작업에 한정된 일회성 행위로 바라볼 때 보안 수준은 자연스럽게 강화됩니다.
네트워크가 항상 보장되지 않는다는 현실
OT 환경의 또 다른 중요한 특징은 연결성을 보장할 수 없다는 점입니다. 많은 현장은 다음과 같은 조건에서 운영됩니다.
• 단절된 네트워크 구간
• 에어갭 환경
• 원격지 설비
• 긴급 상황에서의 독립 운영
이런 환경에서는 중앙 서버에 의존하는 인증 방식이 정작 가장 필요할 때 작동하지 않을 가능성이 높습니다. 따라서 OT 접근 통제는 로컬에서 검증 가능하고, 독립적으로 작동하며, 연결이 끊긴 상태에서도 신뢰할 수 있는 기록을 남길 수 있는 구조여야 합니다.
이러한 요구사항 때문에 최근 산업 현장에서는 일회성·행위 기반 승인 방식에 대한 관심이 커지고 있습니다. 예를 들어 OTAC와 같은 기술은 이런 원리를 구현하여, 지속적인 네트워크 연결 없이도 특정 작업에 대한 안전한 승인을 가능하게 합니다. 핵심은 새로운 기능을 추가하는 것이 아니라, 재사용 가능한 자격증명 자체의 구조적 약점을 제거하는 데 있습니다.
감사 가능성은 부가 기능이 아니라 필수 요소
NIS2, IEC 62443, CRA와 같은 규제들은 접근 통제에 대해 이전보다 훨씬 높은 수준의 책임성과 증빙을 요구하고 있습니다. 이제는 단순히 “누가 로그인했는가”를 아는 것만으로는 충분하지 않습니다. 조직은 다음을 명확히 증명할 수 있어야 합니다.
• 어떤 장비에 접근했는지
• 어떤 작업을 수행했는지
• 언제 이루어졌는지
• 누가 승인했는지
여러 시스템에 분산된 로그나 사후 추적에만 의존하는 방식으로는 이러한 요구를 충족하기 어렵습니다. 접근 승인 자체가 곧 감사 기록이 되는 구조가 필요합니다. OT에서 인증은 더 이상 단순한 출입문이 아니라, 운영과 규제를 동시에 뒷받침하는 핵심 근거 자료가 되어야 합니다.
보안과 운영 연속성의 균형
OT 보안의 가장 어려운 제약 조건은 언제나 동일합니다. 어떤 개선도 생산과 운영을 방해해서는 안 된다는 점입니다.
현실적으로 효과적인 접근 통제는 다음과 같은 특징을 갖습니다.
• 기존 인프라 위에 자연스럽게 적용 가능
• 레거시 설비 변경 최소화
• 네트워크 단절 상황에서도 지속 작동
• 외부 협력업체 접근을 무리 없이 지원
• 공용 계정 의존도를 단계적으로 축소
위기 상황에서 사용할 수 없는 보안은 의미가 없습니다. OT 접근 통제는 정상 상황뿐 아니라, 가장 열악한 조건에서도 작동해야 합니다.
현실적인 개선 방향
OT 접근 통제 강화는 거대한 프로젝트에서 시작되지 않습니다. 작고 실질적인 변화에서 출발합니다.
• 재사용 자격증명으로 인한 위험 지점 파악
• 영구 권한을 작업 단위 승인으로 전환
• 오프라인 검증 구조 확보
• 모든 중요 행위에 대한 신뢰할 수 있는 기록 보관
이러한 변화는 단순한 보안 프로젝트가 아니라, 운영 안정성과 규제 대응을 동시에 강화하는 실질적인 운영 개선입니다.
OT 환경이 점점 더 디지털화되고 외부와 연결될수록, 접근 통제는 사람과 설비를 잇는 가장 중요한 접점이 됩니다. 현장에서 반복적으로 확인되는 교훈은 명확합니다. 즉, OT 보안의 핵심은 비밀번호를 지키는 것이 아니라, 잘못된 행위가 일어나지 않도록 통제하는 것입니다.
앞으로의 OT 보안은 IT에서 빌려온 구조가 아니라, 산업 현장의 현실을 중심으로 재설계될 것입니다. 네트워크가 불안정해도, 장비가 오래되어도, 긴급 상황에서도 신뢰를 유지할 수 있는 접근 통제 구조가 필요합니다.
OT 현실에 맞게 설계된 접근 통제는 더 안전하고, 더 안정적이며, 더 투명하고, 더 지속 가능한 운영을 가능하게 합니다. 그것이 진정한 산업 보안의 출발점입니다.