CloudPNG

ºC

logo
IT/바이오

“운영기술도 제로트러스트”…KISA, 첫 안내서로 산업보안 재편

이도윤 기자
입력

운영기술 보안에 제로트러스트 개념을 접목하는 시도가 국내 산업 현장으로 확산될 조짐을 보이고 있다. 한국인터넷진흥원이 국내 최초로 운영기술 환경 전용 제로트러스트 안내서를 내놓으면서, 그동안 정보기술 중심으로 설계돼 온 보안 체계가 생산설비와 제어시스템 영역까지 확장되는 국면에 접어들었다. 제조 공장과 에너지, 사회기반시설 등에서 디지털 전환과 연결성이 급격히 높아지는 가운데, 업계에서는 이번 발표를 OT 보안 패러다임을 재정렬하는 분기점으로 보는 시각도 나온다.  

 

한국인터넷진흥원은 22일 운영 기술 환경의 제로트러스트 적용 안내서를 발간했다고 밝혔다. 운영기술은 공장 설비, 발전소, 교통관제 등 물리적 인프라를 제어하는 기술로, 장애 발생 시 생산 차질이나 사회기반시설 마비로 이어질 수 있어 가용성과 실시간성이 핵심으로 꼽힌다. KISA는 이번 안내서에서 네트워크가 이미 침해됐다고 전제하고 모든 접속과 행위를 지속적으로 검증하는 제로트러스트 보안 개념을 OT 특성에 맞게 재설계했다. 기존 IT 환경 위주로 적용돼 온 모델과 달리, 산업 현장 장비의 안정적 운영을 전제로 한 국내 첫 OT 특화 제로트러스트 모델이라는 점을 강조했다.  

기술적 측면에서 안내서는 IT와 OT 네트워크를 계층별로 구분해 설명하는 퍼듀 모델을 기반으로 삼았다. 여기에 국내 제로트러스트 지침의 뼈대인 제로트러스트 가이드라인 2.0의 6대 핵심 요소를 접목해, 각 계층과 자산 유형에 맞는 요구 사항을 도출했다. 예를 들어 사용자와 단말, 애플리케이션, 데이터, 네트워크, 가시성과 분석 등 영역별로 접근 통제와 검증 수준을 차등 설계하되, 제어시스템 특유의 민감한 반응 시간을 고려한 정책 적용 방식을 제시했다. 기존 IT망에서처럼 과도한 인증과 암호화를 강제하는 대신, OT 통신 프로토콜과 장비 성능에 맞춘 단계적 검증 구조를 명시한 셈이다.  

 

특히 이번 모델은 기존 OT 보안에서 주로 사용되던 경계 기반 방어 방식의 한계를 보완하는 데 초점을 맞췄다. 전통적인 산업제어시스템은 외부망과 논리적으로 분리된 폐쇄망 구조를 전제로 설계돼, 내부 구간에 대한 세밀한 검증과 모니터링이 상대적으로 부족했다. 안내서는 내부 네트워크를 포함한 IT와 OT 전 영역을 침해된 상태로 가정하고, 통신 흐름과 명령 실행 과정을 지속적으로 탐지·검증하는 구조로 재편하도록 제안했다. 이 과정에서 공정제어 장비의 특성상 펌웨어 업데이트와 패치가 제한적인 점을 고려해, 네트워크 단에서 보완하는 우회적 방어 전략도 함께 제시했다.  

 

KISA는 OT 특화 제로트러스트의 핵심 원칙으로 실시간성과 가용성 유지, OT 장비의 독립성 확보, IT와 OT 전 영역 침해 가정, 지속적 모니터링 등 네 가지를 제시했다. 예컨대 긴급 정지 신호처럼 지연이 허용되지 않는 제어 명령에는 최소한의 검증만 거치도록 하고, 사전 정의된 정상 통신 패턴을 벗어나는 경우에만 탐지·차단을 강화하는 방식이다. 동시에 장비 교체 주기가 긴 제어설비의 독립성을 보장하기 위해, 기존 OT 자산을 그대로 두고 외곽 네트워크와 연계 시스템에서 제로트러스트 요소를 단계적으로 확장하는 전략을 권고했다.  

 

시장과 산업 측면에서 운영기술 영역은 최근 디지털 전환과 스마트팩토리 도입, 원격 유지보수 확대로 외부망과의 연결이 급증한 상태다. 이에 따라 산업용 사물인터넷 기기와 제어시스템을 겨냥한 랜섬웨어와 침투 시도가 늘면서, 물리적 생산설비를 정조준하는 사이버 리스크에 대한 우려도 커지고 있다. 안내서는 이러한 환경 변화를 전제로, 제어실과 생산라인, 원격 관제센터 등 실제 OT 운영 현장에서 적용 가능한 보안 정책 시나리오를 담았다. 현장 엔지니어 입장에서는 장비 정지 없이 보안을 강화할 수 있는 방법론을, 보안 담당자는 네트워크와 계정·권한 관리 체계를 재설계할 수 있는 기준을 제공하는 셈이다.  

 

글로벌하게도 OT 보안과 제로트러스트 결합은 이미 가속하는 추세다. 미국에서는 주요 기간시설을 대상으로 한 사이버 공격이 잇따르면서, 정부 차원의 가이드라인이 산업제어시스템까지 확대되는 양상이다. 국토안보부와 에너지부 등이 중요 인프라를 대상으로 제로트러스트 기반 보안 설계 지침을 내놓고, 전력·송배전·석유화학 분야에서 시범 적용과 실증 사업을 진행 중이다. 유럽과 일본 역시 산업 현장의 디지털 트윈, 원격제어 도입에 맞춰 OT 보안 인증과 기준을 강화하는 흐름을 보이고 있다.  

 

KISA는 이번 안내서를 출발점으로, 국내 산업 환경에 맞는 단계별 성숙도 모델을 고도화하겠다는 계획을 밝혔다. 초기에는 네트워크 분리와 접근 관리, 기본적인 모니터링 수준에 머무르더라도, 장기적으로는 자산 식별과 행위 기반 이상 징후 탐지, 자동 대응까지 확장하는 로드맵을 제시한다는 방침이다. 이를 위해 OT 보안 실증 연구와 함께 관련 제도와 규제 체계를 정비해, 운영기술 영역에서의 보안 투자를 촉진하는 환경을 만드는 작업도 병행할 예정이다.  

 

규제와 제도 측면에서는 향후 국가 기반시설 보호 정책, 산업안전 관련 규정과의 정합성도 과제로 남아 있다. 제어시스템 특성상 패치 적용과 장비 교체에 제약이 크기 때문에, 보안 요구 사항과 생산 안정성 사이에서의 균형을 확보해야 한다는 지적이 따른다. 또 OT 환경에서는 장애 발생 시 책임 소재가 복잡해질 수 있어, 보안 솔루션 도입과 정책 변경 과정에서 명확한 역할 분담과 인증 체계가 필요하다는 목소리도 나온다.  

 

이상중 한국인터넷진흥원 원장은 이번 안내서가 산업 현장의 OT 보안 인식을 끌어올리고, 전반적인 보안 수준을 높이는 계기가 될 것으로 내다봤다. 그는 글로벌 선도국의 지침을 지속적으로 반영해 OT 제로트러스트 모델을 업데이트하겠다고 강조했다. 산업계에서는 새롭게 제시된 기준과 원칙이 실제 사업장과 기반시설 프로젝트에 얼마나 빠르게 스며들 수 있을지 주목하고 있다.

이도윤 기자
share-band
밴드
URL복사
#kisa#제로트러스트#운영기술ot