취약점 점검을 의뢰받고 현장에 처음 들어서면, 가장 먼저 마주하는 것은 스캐너가 아니라 “여기에 무엇이 있는지 아무도 정확히 모른다”는 불편한 진실입니다. 설비 도면은 5년 전 버전이고, 담당자는 두 번 바뀌었으며, 제어반 안쪽에는 도면에 없는 장치가 들어와 있습니다. 이 상태에서 곧장 점검 도구를 돌리는 것은, 지도 없이 어두운 공장을 뛰어다니는 것과 다르지 않습니다. 그래서 모든 작업의 출발점은 언제나 OT 자산식별입니다.

이는 단순한 절차상의 권고가 아닙니다. SANS Institute의 2025년 OT 보안 실태조사에 따르면 응답 조직의 다섯 곳 중 한 곳 이상이 ICS/OT 보안 사고를 경험했고, 그중 약 40%가 실제 운영 중단으로 이어졌으며 거의 20%는 복구에 한 달 이상이 걸렸습니다 (SANS, 2025). 공격자가 노리는 것은 바로 “보이지 않는 영역”입니다. 그리고 그 보이지 않는 영역을 드러내는 첫 단계가 OT 자산식별인 것입니다.

자산식별이 우선시 되어야 하는 이유

IT 환경이라면 Active Directory나 자산 관리 시스템에서 출발점을 잡을 수 있습니다. 그러나 OT 환경에는 그런 단일한 “진실의 원천”이 거의 없습니다. 10년 전 설치된 뒤 한 번도 문서화되지 않은 RTU, 자본 투자 프로젝트 도중 보안 검토 없이 추가된 필드 장치, 여전히 구형 운영체제를 돌리는 엔지니어링 워크스테이션이 뒤섞여 있는 것이 현실입니다. 이 때문에 OT 자산식별은 IT보다 훨씬 까다롭고, 동시에 훨씬 더 중요합니다.

이 격차는 통계로도 분명히 드러납니다. SANS의 2025년 조사에서 자산 인벤토리와 가시성 확보는 2025년 가장 많은 투자가 이루어진 기술 영역(응답자의 50%)이자 2026~2027년의 최우선 과제(54%)로 꼽혔습니다 (SANS, 2025). 같은 조사에서 응답 조직의 약 31%는 운영 중인 ICS/OT 원격 접속 지점에 대한 중앙집중식 인벤토리가 아예 없거나 공식적으로 관리하지 않는다고 답했습니다 (SANS, 2025). “관리 대상조차 모르는 자산”이 이렇게 많다는 사실은, 왜 OT 자산식별이 점검보다 먼저여야 하는지를 그대로 보여줍니다.

미국 CISA가 NSA·FBI 등 8개국 기관과 함께 2025년 8월 발표한 합동 가이드 「Foundations for OT Cybersecurity: Asset Inventory Guidance」 역시 같은 결론에 섭니다. 이 가이드는 “자산 인벤토리가 없으면 조직은 자신이 무엇을 가졌고 무엇을 지켜야 하는지조차 알 수 없다”며, 자산 인벤토리를 방어 가능한 아키텍처(modern defensible architecture)의 토대이자 CISA 사이버보안 성과목표(CPG)의 하나로 규정합니다 (CISA, 2025). 결국 OT 자산식별은 “하면 좋은 일”이 아니라 “하지 않으면 그 뒤가 성립하지 않는 일”입니다.

실제로 NIST 사이버보안 프레임워크(CSF)가 가장 앞에 두는 기능의 이름도 ‘식별(Identify)’입니다. 제어 환경에 적용할 때 이 기능은 PLC와 RTU, HMI, 엔지니어링 워크스테이션, 히스토리안 서버는 물론 OT 구간의 모든 네트워크 장비를 목록화할 것을 요구하며, 무엇보다 “무엇이 무엇과, 어떤 프로토콜로, 어느 세그먼트에서 통신하는가”라는 통신 패턴까지 담아내야 한다고 봅니다 (NIST, 2023). 단순한 장비 목록이 아니라 통신 흐름과 의존관계까지 포함하는 작업으로 OT 자산식별을 정의해야 하는 이유가 여기에 있습니다.

OT 자산식별의 방법과 5단계 절차

그렇다면 OT 자산식별은 구체적으로 어떻게 진행할까요. 앞서 언급한 CISA 합동 가이드는 검증된 5단계 절차를 제시합니다 (CISA, 2025). 첫째는 범위와 목표 정의입니다. 어떤 구역·설비·시스템을 포함할지 경계를 정하고, 거버넌스와 역할을 명확히 하며, 무엇을 “자산”으로 볼 것인지부터 합의해야 합니다. 둘째는 자산 식별과 속성 수집으로, 물리적 점검과 논리적 조사를 병행해 자산 목록과 네트워크 의존관계를 만듭니다. 이때 자산 중요도, 유형·역할, 단종(EOL) 여부, 호스트명, IP 주소, 물리적 위치 같은 우선순위 높은 속성을 함께 수집합니다.

셋째는 분류체계(Taxonomy) 수립입니다. 자산을 기능과 중요도로 분류해 위험 식별과 취약점 관리, 사고 대응을 쉽게 만드는 단계로, CISA는 ISA/IEC 62443의 존(Zone)과 도관(Conduit) 개념을 활용한 분류를 권고합니다 (Industrial Defender, 2025). 넷째는 데이터 관리, 다섯째는 생애주기 관리로, 한 번 만든 목록을 살아 있는 자료로 유지하는 단계입니다. 이 다섯 단계가 OT 자산식별을 일회성 작업이 아닌 지속적인 프로세스로 만들어 줍니다.

방법론에서 가장 중요한 실무 원칙은 “건드려서 멈추게 하지 말라”입니다. IT용 능동 스캔(active scan)은 OT에서 프로세스 통신을 방해해 PLC 오류나 공정 정지로 이어질 수 있어, NIST SP 800-82 Revision 3와 다수의 가이드가 수동 모니터링(passive monitoring)을 우선합니다 (NIST, 2023). 그래서 OT 자산식별의 1차 수단은 트래픽을 흘려보내며 “무엇이 무엇과, 어떤 프로토콜로, 어느 세그먼트에서 통신하는가”를 관찰하는 패시브 방식이 되고, 여기에 도면 검토·물리적 워크다운·운영자 인터뷰를 겹쳐 사각지대를 메우는 것이 정석입니다.

방법을 조금 더 구체적으로 보면, 패시브 모니터링은 스위치의 미러(SPAN) 포트로 트래픽 사본을 떠서 분석하므로 운영망에 부하를 주지 않습니다. 여기에 스위치·라우터·방화벽의 설정 파일을 수집해 연결 관계를 역으로 모델링하는 구성 기반 분석을 더하면, 능동 스캔 없이도 토폴로지의 상당 부분을 복원할 수 있습니다. 다만 어떤 단일 방법도 완전하지 않다는 점이 핵심입니다. 자동 수집 결과와 사람이 눈으로 확인한 결과를 늘 교차 검증하는 것이 자산식별의 정확도를 끌어올리는 가장 현실적인 방법입니다.

현장에서 마주치는 돌발상황 6가지

절차를 아무리 잘 짜도, OT 자산식별의 진짜 난관은 현장에서 시작됩니다. 가장 흔한 첫 번째는 도면에 없는 유령 장치입니다. 제어반을 열면 어느 도면에도 없는 컨버터나 게이트웨이가 조용히 동작하고 있고, 누구도 설치 이력을 기억하지 못합니다. 두 번째는 능동 스캔에 의한 공정 정지입니다. 구형 PLC는 예기치 못한 패킷 한 번에 통신 폴트를 일으키기도 해서, 점검 도구를 잘못 들이댄 순간 라인이 멈출 수 있습니다. 세 번째는 시리얼 기반·비IP 장치로, 네트워크 기반 탐지만으로는 보이지 않아 OT 자산식별의 사각지대가 됩니다.

네 번째는 중복·충돌 IP와 문서-현실 불일치입니다. 도면상 주소와 실제 장비가 다르거나, 같은 IP가 여러 곳에서 쓰이는 경우가 드물지 않습니다. 다섯 번째는 아무도 모르던 벤더 원격 접속 경로입니다. 유지보수를 위해 열어 둔 외부 접속이 인벤토리에서 누락되어 있는 경우가 많으며, 이는 앞서 본 SANS의 “원격 접속 지점 인벤토리 부재 약 31%” 수치와 정확히 맞닿아 있습니다 (SANS, 2025). 여섯 번째는 담당자 부재와 지식의 단절로, 장비를 설치한 사람이 퇴사한 뒤 그 기능과 의존관계가 누구의 머릿속에도 남아 있지 않은 상황입니다. 이런 돌발상황은 예외가 아니라 거의 모든 현장에서 반복되는 기본값에 가깝습니다.

돌발상황을 줄이는 사전준비 노하우

현장에서 가장 흔한 출발점은 사실 자산대장이 ‘부실한’ 상황이 아니라 ‘아예 없는’ 상황입니다. 고객사가 한 번도 자산대장을 만들어 본 적이 없어, 빈 종이에서 첫 목록을 그려야 하는 경우입니다. 이때 OT 자산식별의 첫 단추는 스캐너를 켜는 것이 아니라 “무엇을 자산으로 볼 것인가”와 “대장에 어떤 항목을 담을 것인가”를 정의하는 일입니다. CISA 가이드가 권고하는 우선순위 속성 — 자산 중요도, 유형·역할, 단종(EOL) 여부, 호스트명·IP 주소, 물리적 위치 — 을 기준으로 대장 양식을 먼저 설계하고, 자산 명명 규칙(naming convention)과 고유 식별번호 체계를 합의해 두어야 나중에 중복과 혼선을 막을 수 있습니다 (CISA, 2025).

자산대장이 없다고 해서 단서까지 없는 것은 아닙니다. P&ID와 준공도면, 구매·발주 이력, 유지보수 기록, 벤더 납품 목록, 예비품(스페어 파트) 재고 대장은 모두 첫 OT 자산식별의 씨앗이 됩니다. 다만 이 자료들은 서로 다른 시점에 만들어져 현실과 어긋나 있는 경우가 많으므로, 정답이 아닌 가설로 다루고 반드시 현장에서 검증해야 합니다. CISA 가이드 역시 인벤토리 범위를 “문서와 물리적 점검 양쪽”에서 도출하라고 명시합니다 (CISA, 2025).

처음 만드는 자산대장, 곧 첫 OT 자산식별은 도구보다 발과 사람으로 채워집니다. 운영자와 정비 담당자 인터뷰를 정식 절차로 포함하면, 어떤 스캐너보다 빠르게 “도면에 없는 장치”의 존재와 그 용도를 확인할 수 있습니다. 여기에 제어반을 직접 열어 명판(nameplate)을 사진으로 기록하는 물리적 워크다운을 더하면, 시리얼 기반·비IP 장치처럼 네트워크 탐지로는 보이지 않는 자산까지 첫 대장에 담을 수 있습니다. 이 과정에서 발견되는 ‘도면에 없는 유령 장치’와 ‘아무도 모르던 원격 접속 경로’는, 자산대장이 없던 시기에 누적된 위험이 한꺼번에 드러나는 지점이기도 합니다.

베이스라인이 전혀 없는 상태일수록 OT 자산식별의 안전 원칙은 더 엄격해야 합니다. 생산 중 능동 스캔은 금지하고, 패시브 모니터링을 1차 수단으로 두며, 부득이한 능동 점검은 정비 시간대(maintenance window)에만 롤백 계획과 백업을 갖춘 뒤 수행합니다. NIST SP 800-82 Revision 3가 수동 방식을 우선하는 것도 같은 이유입니다 (NIST, 2023). 마지막으로, 처음부터 IT·OT 협업으로 진행하고 완성된 자산대장에 “누가, 어떤 주기로 갱신하고 검증하는가”라는 소유권과 갱신 절차를 함께 못 박아 두어야 합니다. 그래야 어렵게 만든 첫 OT 자산식별 결과가 일회성 보고서로 끝나지 않고, 조직이 계속 신뢰할 수 있는 살아 있는 기준으로 자리 잡습니다.

정리: 인벤토리의 품질이 점검의 품질을 결정한다

OT 자산식별은 화려하지도, 눈에 띄지도 않는 작업입니다. 그러나 이 단계의 정확도가 곧 뒤따르는 취약점 점검과 위험 대응 전체의 신뢰도를 결정합니다. 존재조차 몰랐던 장치는 점검 대상이 될 수 없고, 점검되지 않은 자산은 결국 공격자가 가장 먼저 찾는 통로가 됩니다. SANS 분석에 따르면 포괄적인 자산 가시성을 갖춘 조직은 ICS 사이버 킬체인 전반에 대한 완전한 가시성을 확보할 가능성이 그렇지 않은 조직보다 약 3.7배 높았습니다 (SANS, 2025).

결국 핵심은 단순합니다. 도구를 들기 전에 지도를 그리는 것, 그 지도를 문서가 아닌 현장에서 검증하는 것, 그리고 그 과정을 한 번이 아니라 계속 살아 있게 유지하는 것. 이 세 가지를 지키는 OT 자산식별이야말로, 흔들리지 않는 OT 보안의 가장 단단한 토대입니다.

참고 자료

• CISA 외 8개국 합동, Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators, 2025. — cisa.gov
• SANS Institute, ICS/OT Network Visibility (2025 State of ICS/OT Security 기반). — sans.org
• Dragos, SANS State of OT Security 2025: What the Data Tells Us, 2025. — dragos.com
• Industrial Cyber, SANS Institute 2025 survey finds OT cybersecurity incidents rising, 2025. — industrialcyber.co
• NIST, SP 800-82 Revision 3, Guide to Operational Technology (OT) Security, 2023. — csrc.nist.gov
• Industrial Defender, CISA and International Partners Emphasize Importance of OT Asset Inventory, 2025. — industrialdefender.com