2025년 말, 폴란드 전력망을 겨냥한 조직적인 사이버 공격이 발생했습니다. 재생 에너지 발전소와 산업 제어 시스템이 마비되는 초유의 사태였죠. 놀라운 점은 당시 해당 시설들이 광범위한 모니터링과 로그 기록 시스템을 완벽히 갖추고 있었다는 사실입니다.
이 사건은 단순히 '보이지 않아서' 발생한 것이 아닙니다. 핵심은 따로 있습니다. 아무리 실시간으로 상황을 지켜본들, '가시성(Visibility)' 그 자체가 침입을 막는 '통제력(Control)'이 되어주지는 못한다는 점입니다. 이미 벌어진 일을 화면으로 확인하는 것만으로는 사고를 되돌릴 수 없기 때문입니다.
많은 산업 현장에서 접속 기록을 철저히 남기고 세션을 녹화합니다. 사고가 터지면 추적할 수 있는 감사 로그도 충분하죠. 하지만 그럼에도 공격은 성공하고 운영은 중단됩니다. 왜 그럴까요? 바로 "보이면 통제할 수 있다"는 IT 보안의 관성적인 믿음 때문입니다.
IT와 OT의 결정적인 차이는 ‘로그’
기존 IT 시스템에서 로그 기록과 모니터링은 나름의 통제 수단이었습니다. 약간의 지연이 발생해도 시스템이 감당할 수 있었고, 의심스러운 이벤트가 발생한 지 몇 시간 뒤에 분석하고 조치해도 치명적인 타격까지는 가지 않는 경우가 많았으니까요.
하지만 OT(운영 기술) 환경은 완전히 다릅니다.
결국 로그는 실행된 동작을 '설명'할 뿐, 실행되는 순간의 동작을 '제어'하지는 못합니다.
왜 가시성만으로는 부족한가?
기록하는 것과 통제하는 것은 구조적으로 다릅니다.
가시성에만 의존하는 보안은 리스크 관리를 사고 발생 이후로 미루는 셈입니다. 위험한 접속을 '예방'하는 것이 아니라 '발견'하는 데 그치기 때문입니다.
2026년 보안 트렌드가 던지는 메시지
기업들은 이제 리스크를 더 잘 감지하게 되었지만, 정작 접속이 결정되는 결정적인 순간에 통제력을 발휘하지는 못하고 있습니다. 이것은 데이터 부족의 문제가 아니라, 통제 방식의 문제입니다.
가시성이 할 수 있는 일과 할 수 없는 일
물론 로그와 모니터링은 중요합니다. 사고 후 책임 소재를 파악하고 포렌식 조사를 하거나 규정을 준수하기 위해 반드시 필요하죠. 하지만 '예방적 통제'를 대신할 수는 없습니다.
가시성을 통제와 혼동하는 것은 '증거'와 '집행'을 착각하는 것과 같습니다. OT 환경에서 이러한 착각은 막대한 비용 손실로 이어집니다.
남겨진 숙제
가시성은 상황을 더 잘 이해하게 해주지만, 결과를 실제로 바꾸는 것은 통제력입니다. 로그는 사건이 발생한 후에 무슨 일이 있었는지 설명해 줄 뿐, 접속이 일어나는 바로 그 순간에 무엇이 허용되는지 제한하지 못합니다. 보안 결정은 상류(upstream)에서 내리고 검토는 하류(downstream)에서 이루어지는 구조에서는, 그 사이의 공간에 운영 리스크가 고스란히 남아있게 됩니다.