산업 전반에서 OT(Operational Technology, 운영기술) 담당자들은 2026년 예산안을 준비하며 한 가지 목표에 집중하고 있습니다. 바로 ‘규정 준수(Compliance)’입니다. NIS2(Network and Information Security Directive 2, 네트워크 및 정보보안 지침 2), CRA(Cyber Resilience Act, 사이버 복원력법), NERC(North American Electric Reliability Corporation, 북미 전력 신뢰성 공사) 표준 등 새로운 규제가 전 세계 산업 현장에서 감사를 위한 체크리스트와 문서화 기준을 바꾸고 있습니다.
하지만 그 이면에는 우리가 미처 깨닫지 못한 공백이 존재합니다. 바로, 대부분의 OT 시스템이 여전히 ‘공격 후’에 어떻게 방어할 지를 고민한다는 사실입니다. 사전 대응은 여전히 후순위로 밀려 있는 셈이죠.
규정 준수 중심의 예산, 사전 대응보다 사후 복구?
유럽연합 사이버보안국(ENISA: European Union Agency for Cybersecurity)의 2025년 위협 보고서에 따르면, 유럽 내 OT 관련 사고의 64% 이상이 자격 증명 탈취나 무단 접근으로 시작되었습니다. 미국 사이버보안·인프라안보국(CISA: Cybersecurity and Infrastructure Security Agency)의 2025년 자료 역시 동일한 결론을 내립니다.
즉, 여전히 수많은 기관 및 기업들은 보안 패치나 사고 복구 같은 ‘사후 대처’에 주력하고 있지만, 실제 공격의 진입점은 대부분 ‘신원과 접근(Identity & Access)’의 약점에서 비롯된다는 것입니다.
사후 복구의 숨은 비용
지난 한 해는 사후 복구 전략의 한계를 여실히 드러냈습니다. 에너지 기업들은 랜섬웨어 공격이 발생하고 나서야 복구 작업에 나섰고, 제조사는 자격 증명 탈취로 인해 시스템을 아예 재설계해야 했으며, 공공 인프라는 침해 이후 서비스를 재개하느라 철야근무까지 감행해야 했습니다.
사후 복구는 반복될수록 비용이 늘어나고, 가동 중단 시간은 더 길어집니다. Gartner의 최근 조사에 따르면, OT 시스템이 사이버 공격으로 멈출 경우 시간당 평균 22만 달러(약 3억 원)의 손실이 발생한다고 합니다.
보고 체계와 인증 절차는 개선되었지만, 공격은 여전히 반복되고 있습니다. 이유는 단순합니다. 대부분의 보안 체계가 ‘너무 늦게 작동하기 때문’입니다.
진짜 보안은 침입 이전에 시작
진정한 보안은 ‘침입 이후’가 아니라 ‘침입 이전’에 시작됩니다. 다음 세대의 OT 보안 투자는 ‘공격을 막는 순간’, 즉 ‘신원 확인과 접근 통제의 단계’에서 시작돼야 합니다. 공격자가 애초에 들어올 수 없다면, 복구가 필요하지 않습니다. 도난당하거나 재사용될 수 없는 자격 증명이라면, 탐지할 침해도 없습니다.
따라서 2026년 예산은 네트워크가 제한적이고 가동 중단이 치명적인 OT 환경에 맞는 인증 및 접근 제어 기술에 우선순위를 두어야 합니다. CISA의 2025년 산업제어시스템(Industrial Control Systems, ICS) 권고문은 특히 오프라인 환경에서도 작동 가능한 다중인증(Multi-Factor Authentication, MFA) 과 에어갭(망분리) 인증 방식을 주요 대응 전략으로 꼽고 있습니다.
끊겨도 신뢰를 유지하는 다이내믹 인증
현대 OT 시스템은 네트워크가 끊겨도 시스템에 접속할 수 있어야 합니다. 단순히 경고를 기다리는 것이 아니라, 애초에 무단 접근이 불가능하도록 설계된 인증 구조가 필요합니다.
각 인증 정보가 중앙 서버에 의존하지 않고 독립적으로 생성되는 단방향 다이내믹 인증 방식은 이미 주요 산업군에서 도입되고 있습니다. 이 방식은 비밀번호나 네트워크 연결 없이도 매 순간 동적으로 신원을 검증할 수 있는 OTAC(One-Time Authentication Code) 원리를 기반으로 하며, 방어의 초점을 ‘대응(Response)’에서 ‘예방(Prevention)’으로 이동시키는 역할을 합니다. 이러한 접근법은 연결이 단절된 환경에서도 시스템 신뢰성을 유지할 수 있도록 돕습니다.
2026년 예산은 ‘예방’에 맞춰야
예산은 이러한 변화를 반영해야 합니다. 감사 보고서나 대시보드가 인사이트를 제공할 수는 있지만, 그 어떤 문서도 침입을 차단하지는 못합니다. 다가오는 2026년은 “얼마나 빨리 복구하느냐”가 아니라 “처음부터 침입당하지 않느냐”가 성패를 가를 것입니다.
ENISA는 2026년까지 전체 주요 인프라 공격의 다수가 IT망이 아닌 OT 엔드포인트를 직접 겨냥할 것이라고 경고합니다. 즉, 컴플라이언스 보고서에는 예산을 쓰면서도, 사전 인증 방어에는 예산을 쓰지 않는 것이야말로 가장 큰 실수가 될 것입니다.
예방이 모든 제어 시스템의 일부가 될 때, 진짜 연속성(Continuity)은 자연스럽게 따라옵니다. 2026년의 진짜 질문은 명확합니다.
“여러분은 사후복구를 위해 투자하고 있습니까, 아니면 애초에 공격이 시작되지 않도록 사전대응에 투자하고 있습니까?”