산업 현장에서 발생하는 보안 사고의 대부분은 고도의 해킹 기술에서 시작되지 않습니다. 오히려 이미 열려 있는 '정상적인' 접속 경로에서 시작되죠. 여러 조사 결과에 따르면, 심각한 OT 보안 사고의 대다수는 무단 침입이 아니라 정식 계정, 신뢰받는 연결, 혹은 이전에 승인된 접속 경로를 통해 발생합니다. 즉, 해커가 문을 부술 필요도 없이 이미 열려 있는 문으로 걸어 들어온 셈입니다.
사고 조사 과정에서 반복되는 패턴이 있습니다. 유지보수나 벤더 지원, 설비 가동 준비를 위해 생성했던 접속 권한이 작업이 종료된 후에도 수개월, 길게는 수년 동안 그대로 방치되는 경우입니다. 이 권한들이 훗날 공격자의 완벽한 침투 경로가 됩니다.
여기서 핵심은 "왜 접속을 허가했는가"가 아니라, "왜 접속을 차단하지 않았는가"입니다.
왜 '영구적인 접속'이 당연시되는가?
이런 현상은 IT 보안 모델을 그대로 OT에 가져왔기 때문에 발생합니다. IT 환경에서는 사용자가 정기적으로 로그인하고, 동일한 역할을 반복하며, 계정이 계속 유효한 상태를 유지하는 것이 효율적입니다. 접속할 때마다 새로 권한을 만드는 번거로움을 피하려 한 것이죠.
하지만 OT 환경의 현실은 전혀 다릅니다.
- 긴 설비 수명: 자산이 수십 년간 운영되는 동안 운영 조건은 끊임없이 변합니다.
- 유동적인 인력: 협력업체가 바뀌고 담당자의 책임 범위도 계속 이동합니다.
- 고착화된 권한: 설비 도입 초기에 만들어진 권한이 자산의 수명 내내 살아남는 경우가 허다합니다.
실제 보고에 따르면, 작업을 마친 뒤 OT 접속 권한을 즉시 회수하거나 만료시키는 기업은 극소수에 불과합니다. 권한을 삭제하는 것이 '위험하거나 번거롭다'는 인식 때문에, 임시로 허용했던 권한이 어느덧 영구적인 권한으로 굳어지게 됩니다.
수치가 말해주는 위험 신호
최근의 산업 분석 데이터들은 이 문제를 다각도에서 경고하고 있습니다.
- 전략적 리스크 관리의 부재: 세계경제포럼(WEF)의 '2026 글로벌 사이버 보안 전망'에 따르면, 많은 기업이 리스크를 인지하고 있음에도 불구하고 OT 보안 이슈를 이사회 수준에서 논의하는 곳은 소수이며, 전담 OT 보안팀을 운영하는 곳은 약 20%에 그칩니다. 방치된 접속 권한이 단순한 운영 실수가 아닌 '전략적 위험'으로 다뤄지지 않고 있다는 뜻입니다.
- 가장 강력한 위험 요인: 미국 CISA나 영국 NCSC 같은 정부 기관들은 기존에 생성된 접속 경로가 산업 환경에서 위험을 증폭시키는 가장 큰 요인 중 하나라고 거듭 강조합니다. 지속적인 근거 확인 없이 쌓여가는 '신뢰받는 권한'들이 사고의 주범이라는 것입니다.
결국 OT 사고는 기술적 결함이 아니라, 한때 정당했던 권한이 '지나치게 오래 살아남아' 발생합니다.
승인과 로그 기록이 방치된 권한을 막지 못하는 이유
흔히 승인 절차를 거치고 로그를 남기면 안전하다고 생각하지만, 현실은 그렇지 않습니다.
- 승인(Approval)은 특정 시점에 접속이 '적절했다'는 것만 증명합니다.
- 로그(Logging)는 나중에 접속이 '일어났다'는 것만 기록합니다.
그 어떤 메커니즘도 권한의 만료를 강제(Enforcement)하지는 못합니다. 상황이 바뀌면 과거의 승인 기록은 무의미해지고, 로그는 그저 사고의 결과만을 기록할 뿐입니다. 정책을 따랐고, 승인을 받았으며, 기록도 남겼지만 사고를 막지 못한 이유는 '작업이 끝났을 때 접속도 종료되어야 한다'는 강제 규칙이 없었기 때문입니다.
방치된 권한의 대가는 ‘금융치료’, 그 해결책은?
시간이 흐를수록 OT 환경에는 현재의 작업이나 책임 범위와는 상관없는 접속 권한들이 층층이 쌓여갑니다. 임시 방편으로 열어준 통로가 영구적인 통로가 되어버리는 것이죠.
이것은 모니터링의 실패가 아닙니다. 설계의 실패입니다. 접속을 하나의 '행위(Action)'가 아닌 계속 유지되는 '상태(State)'로 취급했기 때문입니다. 물리적인 결과로 즉각 이어지는 OT 환경에서, 이러한 설계 오류는 치명적인 운영 리스크로 돌아옵니다.
따라서 OT 보안의 패러다임을 바꿔야 합니다. 접속은 오직 '특정 작업'과 연결될 때만 의미가 있습니다. 작업이 끝나면 접속 권한도 자동으로 사라져야 합니다.
- 권한 상속 방지: 신원 중심이 아닌 실행(Task) 중심으로 접속을 묶으면, 불필요한 권한 대물림을 차단할 수 있습니다.
- 재사용 차단: 정기적인 검토나 사후 감지에 의존하지 않고, 어제의 유지보수 경로가 내일의 공격 경로가 되지 않도록 원천 봉쇄합니다.
이제 업계의 관심은 '누가 접속할 수 있는가'를 넘어, '그 권한이 얼마나 오랫동안, 어떤 목적으로, 어떤 조건 하에 유효한가'로 이동하고 있습니다.
OT 보안 설계 시 주의점
승인과 가시성만으로는 부족합니다. 권한이 목적보다 오래 살아남는 순간, 이 모든 보안 체계는 무용지물이 됩니다.
해킹이나 기술적 실패가 없어도 사고는 일어납니다. 단순히 방치된 권한이 '재사용'되는 것만으로도 충분하니까요. OT 운영 리스크를 줄이는 첫걸음은 더 많이 보는 것이 아니라, 접속 권한이 그 목적을 다하는 순간 반드시 소멸되도록 보장하는 것에서 시작됩니다.
