OT 보안의 현실과 퍼듀 모델의 딜레마

현대 제조업체의 OT 보안 담당자라면 누구나 한 번쯤 마주하게 되는 딜레마가 있습니다. 바로 퍼듀 모델을 어떻게 실무에 적용할 것인가의 문제입니다. 수많은 보안 벤더들과 컨설턴트들이 퍼듀 모델을 OT 보안의 만능 솔루션처럼 제시하지만, 실제 현장에서는 예상과 다른 결과를 경험하게 됩니다.

제조업체의 OT 보안 환경은 IT 환경과 근본적으로 다릅니다. 24시간 연속 가동되는 생산라인, 실시간 제어 시스템, 그리고 수십 년간 축적된 레거시 장비들이 복잡하게 얽혀있는 환경에서 단순한 계층적 접근법은 한계를 드러낼 수밖에 없습니다. 이 글에서는 현장에서 직접 경험한 퍼듀 모델의 5가지 핵심 한계점과 함께, 실무진이 바로 적용할 수 있는 효과적인 OT 보안 전략을 제시하겠습니다.

퍼듀 모델의 본질적 한계와 오해

퍼듀 모델에 대한 가장 큰 오해는 이것이 OT 보안 설계를 위한 프레임워크라고 생각하는 것입니다. 실제로 Purdue University에서 1990년대에 개발한 이 모델의 원래 목적은 공장 자동화 장비의 계층적 이해와 교육이었습니다. 네트워크 보안 설계가 아닌 말입니다.

교육 도구에서 보안 프레임워크로의 오해

많은 OT 보안 프로젝트에서 목격하는 공통적인 실수는 퍼듀 모델의 Level 0부터 5까지를 마치 네트워크 세그멘테이션의 절대적 기준으로 받아들이는 것입니다. 하지만 이러한 접근법은 다음과 같은 심각한 문제를 야기합니다:

특히 Level 5의 정의가 문서마다 다르게 기술되어 있는 것을 보면, 이 모델이 얼마나 유연하고 상황 의존적인지 알 수 있습니다. 어떤 문서에서는 인터넷을, 다른 문서에서는 엔터프라이즈 네트워크를 Level 5로 정의하고 있습니다.

수평적 세그멘테이션의 치명적 문제점

퍼듀 모델을 네트워크 세그멘테이션에 직접 적용할 때 발생하는 가장 심각한 문제는 수평적(Layer-based) 분리만을 강조한다는 점입니다. 이는 실제 OT 보안 위협의 확산 패턴과 맞지 않습니다.

Lateral Movement의 위험성

실제 생산 환경에서는 Level 1의 여러 PLC들이 같은 네트워크 세그먼트에 위치하며, Level 2의 다양한 HMI 시스템들이 서로 통신합니다. 만약 한 워크셀의 PLC가 감염된다면, 수평적 분리만으로는 동일 레벨의 다른 워크셀로의 확산을 막을 수 없습니다.

실제 사례를 통한 문제점 분석

이러한 문제는 OT 보안 설계에서 가장 중요한 원칙인 ‘위협 확산 방지’와 ‘가동 중단 최소화’를 제대로 고려하지 못했기 때문입니다. 수평적 분리는 North-South 트래픽(상위-하위 레벨 간)은 제어할 수 있지만, East-West 트래픽(동일 레벨 내)에 대해서는 무력합니다.

마이크로 세그멘테이션: 기능 중심의 OT 보안 전략

효과적인 OT 보안을 위해서는 단순한 레벨 기반 분리가 아닌 기능적 단위 기반의 마이크로 세그멘테이션이 필요합니다. 이는 실제 생산 프로세스의 논리적 구조를 반영한 세그멘테이션 전략입니다.

ISA-95 모델과의 연계

마이크로 세그멘테이션을 효과적으로 구현하기 위해서는 ISA-95 표준의 기능적 계층구조를 활용해야 합니다. 이는 다음과 같은 단위로 네트워크를 분할하는 것을 의미합니다:

• 워크셀(Work Cell) 단위: 특정 작업을 수행하는 장비 그룹
• 생산라인(Production Line) 단위: 연속된 공정을 담당하는 워크셀들
• 생산 영역(Production Area) 단위: 관련된 생산라인들의 집합

제어엔지니어와의 협업 필수성

OT 보안 전문가만으로는 올바른 네트워크 분할이 불가능합니다. 제어엔지니어, 생산기술팀과의 긴밀한 협업을 통해 다음 사항들을 명확히 해야 합니다:

IT 관점에서만 접근하면 생산 프로세스의 연속성을 해칠 수 있으며, 반대로 OT 관점만 고려하면 보안 효과가 미흡할 수 있습니다. 균형잡힌 접근이 성공적인 OT 보안 구현의 핵심입니다.

DMZ 설계: IT/OT 경계의 핵심 방어선

퍼듀 모델에서 실제로 가치 있는 개념은 바로 Level 3.5의 DMZ(Demilitarized Zone)입니다. 이는 IT와 OT 네트워크 사이의 중립지대 역할을 하며, 대규모 보안 사고의 확산을 방지하는 핵심적인 방어선입니다.

DMZ의 전략적 중요성

DMZ는 단순한 네트워크 분리 이상의 의미를 가집니다. 이는 IT와 OT 도메인 간의 신뢰 경계(Trust Boundary)를 명확히 정의하고, 각각의 보안 정책과 거버넌스를 독립적으로 운영할 수 있게 해줍니다.

효과적인 DMZ 구성 요소

실무에서 검증된 OT 보안 DMZ는 다음과 같은 요소들로 구성되어야 합니다:

특히 OT 보안 DMZ에서는 실시간성이 중요합니다. IT 환경에서 허용되는 수 초의 지연도 제어 시스템에서는 치명적일 수 있기 때문입니다. 따라서 보안과 성능의 균형점을 찾는 것이 핵심입니다.

실무진을 위한 OT 보안 설계 가이드라인

지금까지 살펴본 내용을 바탕으로, 실무진이 바로 적용할 수 있는 OT 보안 설계 가이드라인을 제시하겠습니다. 이는 수년간의 현장 경험과 다양한 산업 분야의 프로젝트를 통해 검증된 방법론입니다.

우선순위 기반 접근법

모든 것을 한 번에 완벽하게 구현하려 하지 마십시오. 다음과 같은 우선순위에 따라 단계적으로 접근하는 것이 효과적입니다:

East-West 세그멘테이션의 실무 적용

수평적 분리보다는 East-West 세그멘테이션에 집중하십시오. 이는 실제 위협 확산 패턴과 일치하며, 운영 효율성도 유지할 수 있습니다:

• 워크셀별 VLAN 분리 및 ACL 설정
• 생산라인 간 필수 통신만 허용
• Level 0-2 과도한 방화벽 삽입 지양
• PLC, 센서, HMI의 기능적 그룹핑

마지막으로, OT 보안은 일회성 프로젝트가 아닌 지속적인 개선 과정임을 명심하십시오. 생산 환경의 변화, 새로운 위협의 등장, 기술 발전에 따라 보안 전략도 함께 진화해야 합니다. 오늘 완벽한 솔루션이 내일도 완벽할 것이라는 보장은 없습니다.