산업 현장에서 발생하는 보안 사고의 대부분은 고도의 해킹 기술에서 시작되지 않습니다. 오히려 이미 열려 있는 '정상적인' 접속 경로에서 시작되죠. 여러 조사 결과에 따르면, 심각한 OT 보안 사고의 대다수는 무단 침입이 아니라 정식 계정, 신뢰받는 연결, 혹은 이전에 승인된 접속 경로를 통해 발생합니다. 즉, 해커가 문을 부술 필요도 없이 이미 열려 있는 문으로 걸어 들어온 셈입니다.
사고 조사 과정에서 반복되는 패턴이 있습니다. 유지보수나 벤더 지원, 설비 가동 준비를 위해 생성했던 접속 권한이 작업이 종료된 후에도 수개월, 길게는 수년 동안 그대로 방치되는 경우입니다. 이 권한들이 훗날 공격자의 완벽한 침투 경로가 됩니다.
여기서 핵심은 "왜 접속을 허가했는가"가 아니라, "왜 접속을 차단하지 않았는가"입니다.
왜 '영구적인 접속'이 당연시되는가?
하지만 OT 환경의 현실은 전혀 다릅니다.
실제 보고에 따르면, 작업을 마친 뒤 OT 접속 권한을 즉시 회수하거나 만료시키는 기업은 극소수에 불과합니다. 권한을 삭제하는 것이 '위험하거나 번거롭다'는 인식 때문에, 임시로 허용했던 권한이 어느덧 영구적인 권한으로 굳어지게 됩니다.
수치가 말해주는 위험 신호
최근의 산업 분석 데이터들은 이 문제를 다각도에서 경고하고 있습니다.
결국 OT 사고는 기술적 결함이 아니라, 한때 정당했던 권한이 '지나치게 오래 살아남아' 발생합니다.
승인과 로그 기록이 방치된 권한을 막지 못하는 이유
그 어떤 메커니즘도 권한의 만료를 강제(Enforcement)하지는 못합니다. 상황이 바뀌면 과거의 승인 기록은 무의미해지고, 로그는 그저 사고의 결과만을 기록할 뿐입니다. 정책을 따랐고, 승인을 받았으며, 기록도 남겼지만 사고를 막지 못한 이유는 '작업이 끝났을 때 접속도 종료되어야 한다'는 강제 규칙이 없었기 때문입니다.
방치된 권한의 대가는 ‘금융치료’, 그 해결책은?
시간이 흐를수록 OT 환경에는 현재의 작업이나 책임 범위와는 상관없는 접속 권한들이 층층이 쌓여갑니다. 임시 방편으로 열어준 통로가 영구적인 통로가 되어버리는 것이죠.
이것은 모니터링의 실패가 아닙니다. 설계의 실패입니다. 접속을 하나의 '행위(Action)'가 아닌 계속 유지되는 '상태(State)'로 취급했기 때문입니다. 물리적인 결과로 즉각 이어지는 OT 환경에서, 이러한 설계 오류는 치명적인 운영 리스크로 돌아옵니다.
따라서 OT 보안의 패러다임을 바꿔야 합니다. 접속은 오직 '특정 작업'과 연결될 때만 의미가 있습니다. 작업이 끝나면 접속 권한도 자동으로 사라져야 합니다.
이제 업계의 관심은 '누가 접속할 수 있는가'를 넘어, '그 권한이 얼마나 오랫동안, 어떤 목적으로, 어떤 조건 하에 유효한가'로 이동하고 있습니다.
OT 보안 설계 시 주의점
승인과 가시성만으로는 부족합니다. 권한이 목적보다 오래 살아남는 순간, 이 모든 보안 체계는 무용지물이 됩니다.
해킹이나 기술적 실패가 없어도 사고는 일어납니다. 단순히 방치된 권한이 '재사용'되는 것만으로도 충분하니까요. OT 운영 리스크를 줄이는 첫걸음은 더 많이 보는 것이 아니라, 접속 권한이 그 목적을 다하는 순간 반드시 소멸되도록 보장하는 것에서 시작됩니다.