산업 현장은 빠르게 디지털화되고 있습니다. 제어 시스템도 예외가 아니어서, 전용 PLC 대신 산업용 PC에 소프트웨어로 구현한 Soft PLC가 확산되고 있습니다. 효율성과 유연성을 제공하는 이 변화는 동시에 보안 경계의 재정립을 요구합니다. 컨트롤러가 더 이상 단순한 하드웨어 장비가 아니라 복잡한 소프트웨어 플랫폼으로 진화하면서, 외부 방어만으로는 부족한 새로운 위험이 드러나고 있습니다.
Soft PLC가 필요한 이유
이제 제어는 더 이상 전용 PLC(Programmable Logic Controller)만의 영역이 아닙니다. 산업용 PC(IPC)에 Windows나 Linux를 설치해 소프트웨어로 PLC 기능을 구현하는 Soft PLC가 빠르게 보편화되고 있습니다. 표준 x86/ARM 플랫폼 위에서 컨트롤러 이미지를 손쉽게 배포·백업·복원할 수 있어 유지보수가 훨씬 간편해집니다.
실시간 커널(PREEMPT_RT, Xenomai)이나 Windows 실시간 확장 기능 덕분에 제어 주기의 미세한 떨림(지터)까지 관리할 수 있고, TSN·EtherCAT 같은 결정적 통신 기술로 공정의 신뢰성도 확보합니다. 한 대의 IPC에 제어, HMI, 데이터 게이트웨이(OPC UA·MQTT) 기능을 통합해 공간과 전력 소모를 줄일 수 있으며, 가상화나 컨테이너 기술을 활용해 디지털 트윈이나 원격 유지보수 시스템까지 연동할 수 있습니다. 특히, IEC 62443, NIS2와 같은 보안 규제가 강화되면서, 지속적인 업데이트가 가능한 소프트웨어 컨트롤러가 보안 대응에 훨씬 유리해졌습니다.
Soft PLC의 구현 방식
가장 일반적인 방식은 IPC, OS(Windows/Linux), 그리고 Soft PLC 런타임을 조합하는 것입니다. 실시간 확장 기능과 필드버스 마스터 스택(EtherCAT, PROFINET 등)을 최적화하여 전통적인 PLC에 버금가는 결정성을 확보합니다.
다른 방식으로는 하이퍼바이저를 이용해 IPC 내부에 제어용 실시간 가상머신(VM)과 HMI·데이터 처리용 비실시간 VM을 분리하여 성능과 보안 경계를 동시에 관리합니다. 더 나아가 가상 PLC(VPLC)나 컨테이너 형태로 컨트롤러 이미지를 중앙에서 배포하고 운영하기도 합니다. 기능 안전(Functional Safety)이 중요할 경우, Safety PLC나 릴레이를 별도 하드웨어로 분리하고 Soft PLC는 표준 제어와 데이터 연계를 담당시켜 안전 기능과 일반 기능을 명확히 분리합니다.
하나의 IPC에 모이는 다양한 기능
Soft PLC가 동작하는 IPC에는 다양한 구성 요소가 함께 실행됩니다.
- Soft PLC 런타임: 시퀀스, 모션, 로봇 제어 수행
- HMI/EWS 에이전트: 온라인 모니터링 및 로직 배포
- 산업용 통신 스택: EtherCAT, PROFINET, Modbus/TCP 등 처리
- 데이터 게이트웨이: OPC UA 서버, MQTT 게이트웨이, 히스토리안을 통한 데이터 수집 및 연계
- 보안·관리 에이전트: 자산 식별, 무결성 점검, 패치, 백업, 접근 통제
실시간 제어와 운영·관리가 한 플랫폼에 공존하므로, 네트워크 경계에 있는 방화벽이나 스위치만으로는 내부 접근을 완벽히 막기 어렵습니다. 엔지니어가 노트북을 직접 연결하는 등의 우회 경로가 항상 존재하기 때문입니다.
보안의 중심을 컨트롤러 내부로
기존처럼 스위치와 PLC 사이에 OTAC Trusted Access Gateway(TAG)를 인라인 장비로 설치하는 방식은 여전히 유효합니다. 하지만 Soft PLC 환경에서는 컨트롤러 자체가 IPC이므로, 보안 경계를 컨트롤러 내부로 가져오는 것이 더욱 자연스럽고 강력한 모델이 됩니다.
사용자가 프로그래밍 포트나 OPC UA의 쓰기 권한처럼 민감한 서비스에 접근을 시도하면, 컨트롤러 내부에서 즉시 OTAC 인증(Challenge-Response) 절차가 진행됩니다. 인증에 성공해야만 해당 서비스가 세션과 시간 단위로 한시적으로 허용되며, 실패하거나 시간이 만료되면 즉시 차단됩니다.
이 방식은 임시 케이블로 장비를 직결하는 등의 물리적 우회 시도를 원천 차단합니다. 또한 인증은 제어 트래픽이 아닌 세션 수립 시점에만 수행하고 실시간 태스크와 CPU 코어를 분리 설계하여 제어 성능 저하(지터)를 최소화할 수 있습니다. 오프라인 환경에서도 사전 발급된 정책과 일회용 인증 코드를 통해 망분리나 장애 상황에서도 통제된 유지보수가 가능합니다.
PKI·OTP와 다른 OTAC의 강점
PKI와 VPN은 사용자·디바이스 인증과 통신 채널 암호화에 강점이 있지만, 인증서 수명 주기와 폐지 목록 관리 등 OT 현장에서 운영하기에는 부담스러운 요소가 많습니다.
표준 OTP의 경우, 여러 사용자가 이론적으로 동일한 코드를 생성할 수 있으므로 OTP 코드만으로는 특정 사용자를 고유하게 식별하기 어렵습니다. OTP는 단지 인증 시점에 해당 시크릿을 소유하고 있음을 증명할 뿐, 그 자체가 특정 사용자를 지칭하지는 않습니다. 이 때문에 ID/PW 같은 다른 식별자와 반드시 결합해야 합니다.
반면 OTAC는 사용자, 세션, 행위의 맥락을 모두 결합한 일회용 동적 코드를 생성하므로, 실제 로직 변경이 일어나는 ‘바로 그 순간’에 재인증을 강제할 수 있습니다. 이는 ‘로그인으로 끝나는 인증’이 아닌, ‘다운로드, 파라미터 변경, 강제 조작 등 위험 행위마다 재인증’하는 강력한 제로 트러스트 보안 모델을 구현합니다.
국제 표준과의 정합성
내장형 OTAC Trusted Access Gateway 접근 방식은 IEC 62443의 기본 요구사항(Foundational Requirements, FR)과 잘 부합합니다. 특히 SR 1.x(신원·인증) 및 SR 2.x(권한 통제)를 직접적으로 만족시키며, SR 3.x(시스템 무결성), SR 5.x(데이터 흐름 제한), SR 6.x(이벤트 대응) 등의 요구사항을 효과적으로 구현할 수 있도록 돕습니다. 특정 보안 수준(Security Level) 달성 여부는 전체 시스템 평가를 통해 결정되지만, 내장형 접근 통제는 이러한 요구사항을 충족하기 위한 강력한 기술적 기반이 됩니다.
보안의 출발점은 컨트롤러 내부
Soft PLC로의 전환은 단순히 컨트롤러를 소프트웨어로 바꾸는 것을 넘어, 보안 경계의 재설정을 요구합니다. 외부에서 한 번 막는 방식만으로는 부족합니다. 컨트롤러 내부 경계에서 세션과 행위 맥락에 기반한 OTAC 인증을 적용해야만, 프로그래밍 다운로드나 파라미터 변경 같은 고위험 작업을 안전하게 통제할 수 있습니다. 기존 라인에는 인라인 OTAC Trusted Access Gateway 방식이 여전히 유효하며, Soft PLC로 전환한 라인이라면 내장형 OTAC Trusted Access Gateway 를 기본값으로 고려하는 것이 합리적입니다. 컨트롤러가 소프트웨어로 진화한 지금, 보안의 시작점도 컨트롤러 내부가 되어야 합니다.
