OT 보안 컨설팅 현장의 10대 난제, 실무로 검증된 해결 로드맵

제조 현장의 OT 보안은 기술의 문제이기 전에 인식·예산·조직·제도의 문제입니다. 컨설팅 현장에서 반복적으로 부딪히는 열 가지 벽과, 글로벌 데이터로 검증된 해법을 네 갈래의 실행 로드맵으로 정리했습니다.

제조 현장에서 OT 보안 프로젝트를 시작하면, 기술적 취약점을 진단하기도 전에 더 단단한 벽을 먼저 만납니다. 바로 “우리가 왜 해킹을 당하느냐”는 질문입니다. 현장 담당자도 경영진도 공장 설비를 공격 대상으로 여기지 않는 분위기 속에서, 컨설턴트가 처음 메워야 할 것은 코드가 아니라 인식의 격차입니다. 그런데 이 격차는 한국만의 사정이 아닙니다. IBM X-Force 2026 위협 인텔리전스 보고서에 따르면 제조업은 5년 연속 전 세계에서 가장 많이 공격받은 산업으로, 추적된 전체 침해사고의 27.7%를 차지했습니다. 즉 OT 보안은 더 이상 “남의 공장 이야기”가 아니라 통계가 가리키는 1순위 표적의 현실입니다. 이 글은 OT 보안 컨설팅 현장에서 반복적으로 마주하는 열 가지 난제를, 공개된 글로벌 데이터와 실제 프로젝트 경험에 비춰 실행 가능한 네 갈래의 해법으로 풀어낸 기록입니다.

01에어갭 신화부터 ROI까지 — 왜 OT 보안은 늘 후순위인가

첫 번째 벽은 에어갭 신화입니다. “OT 시스템은 인터넷과 분리돼 있으니 안전하다”는 믿음은 현장에 깊게 뿌리내려 있지만, 실제로는 원격 유지보수 회선, 납품업체 VPN, USB 반입 등으로 이미 외부에 노출돼 있는 경우가 대부분입니다. 해법은 추상적 경고가 아니라 실제 연결 경로를 시각화한 네트워크 맵을 경영진 앞에 펼쳐 보이는 것입니다. 외부 접점 하나하나를 데이터로 입증하고, 동종업계의 랜섬웨어 생산 중단 사례를 비용으로 환산해 보여줄 때 인식은 비로소 움직입니다. 레드팀(침투 테스트) 결과를 정기 보고서로 갱신하면 이 인식은 일회성에 그치지 않습니다.

두 번째 벽은 ROI 입증의 어려움입니다. 보안 투자는 “사고가 나야 가치가 증명되는 투자”라는 인식 탓에, 생산성과 납기를 최우선으로 두는 중소기업 경영진을 설득하기가 쉽지 않습니다. 효과적인 OT 보안 제안은 ROI를 연간예상손실(ALE)로 환산합니다. 생산 1시간 중단 손실에 침해 확률을 곱해 정량화하면 막연한 위협이 숫자로 바뀝니다. 여기에 사이버보험료 절감, 대기업 협력사 보안 평가 통과로 인한 수주 유지를 더하면, 보안은 비용이 아니라 매출을 지키는 방어선으로 재정의됩니다. 정부 지원금과 세액공제로 초기 부담을 낮추는 것도 설득의 한 축입니다.

세 번째 벽은 스마트팩토리 지원금의 역설입니다. 정부 구축 지원사업으로 OT 네트워크의 연결성은 급격히 확대됐지만, 보안 내재화 요건은 형식적이거나 부재한 경우가 많습니다. “연결은 했는데 보안은 없는” 구조가 보조금으로 양산된 셈입니다. 해법은 사후 대응이 아니라 설계 단계부터의 보안(Security by Design)입니다. 신규 사업은 지원사업 신청서에 보안 항목을 함께 설계하고, 이미 구축된 현장은 별도의 사후 진단·보강 사업으로 분리해 제안하는 것이 현실적인 접근입니다.

02패치 불가능한 설비와 보이지 않는 자산 — 기술적 통제의 해법

현장에서 가장 자주 듣는 말은 “이 장비는 패치가 안 된다”입니다. PLC, HMI, SCADA의 상당수가 구형 임베디드 OS 기반이고, 벤더가 패치를 지원하지 않거나 패치 시 장비 인증이 무효화되는 계약 구조 탓에 취약점을 알면서도 방치합니다. 이때 OT 보안의 정석은 무리한 패치가 아니라 보상통제(compensating control)입니다. 구형 장비를 별도 VLAN/존으로 망분리하고, 단방향 게이트웨이(데이터 다이오드)와 산업용 방화벽으로 격리한 뒤, IPS 시그니처 기반의 가상 패치로 알려진 공격을 차단합니다. 동시에 신규 설비 계약서에 “보안 패치 지원 의무 및 인증 유지” 조항을 명문화하면 근본 원인을 끊을 수 있습니다.

그러나 이 모든 통제에 앞서야 할 것이 있습니다. 자산 가시성입니다. 현장에 PLC가 몇 대인지, 어떤 펌웨어 버전인지, 무엇과 연결돼 있는지조차 파악하지 못한 기업이 많습니다. PwC 2026 Global Digital Trust Insights 조사에서 응답 기업의 35%가 OT/IIoT 자산 가시성 부족을 호소했습니다. 자산 목록이 없으면 취약점 관리도, 이상 탐지도, 사고 대응도 모두 불가능합니다. 그래서 OT 보안 프로젝트의 첫 단계는 언제나 패시브 자산 탐지 솔루션으로 PLC·펌웨어·통신 흐름을 자동 인벤토리화하고, 수기 실사와 병행해 베이스라인을 세우는 일이어야 합니다.

세 번째 기술적 난제는 가용성 우선 문화입니다. 제조 현장에서 가동률(Uptime)은 곧 돈이며, 점검·패치·망분리를 위해 라인을 세우는 것은 납기 지연과 페널티로 이어지기에 현장은 보안 조치 자체를 거부합니다. 이 벽을 넘는 방법은 무중단·비침투(passive) 방식을 먼저 적용하는 것입니다. 미러링 포트 기반의 패시브 모니터링은 라인을 멈추지 않고도 자산과 이상 징후를 탐지합니다. 패치와 점검은 정기 정비(PM) 일정에 맞추고, 이중화 구간부터 단계적으로 적용해 가용성을 해치지 않는 통제부터 시작할 때 현장의 신뢰를 얻습니다. SANS 조사에서 무단 외부 접근이 전체 사고의 절반을 차지했지만 세션 녹화 같은 고급 접근통제를 완비한 조직은 13%에 불과했다는 점은, 비침투적 통제가 곧 가장 시급한 공백임을 보여줍니다.

03IT와 OT 사이의 책임 공백 — 조직과 거버넌스 재설계

OT 보안에서 가장 구조적인 난제는 책임 공백(Responsibility Gap)입니다. IT 보안팀은 “공장 설비는 우리 관할이 아니다”라 하고, 생산팀은 “보안은 IT 담당”이라 합니다. 그 사이에서 OT 보안을 전담하는 인력 자체가 존재하지 않는 경우가 많습니다. 해법은 CISO 직속의 통합 거버넌스를 세우는 것입니다. 실제로 Fortinet 2025 조사에서 OT 보안을 CISO 산하에 둔 조직 비중은 2022년 16%에서 2025년 52%로 급증해, 산업 사이버 리스크가 이사회 차원의 의제로 올라서고 있음을 보여줍니다. OT 보안 책임을 RACI 매트릭스로 명문화하고, IT·생산·설비 부서가 함께 참여하는 융합보안 협의체를 운영하며, 전담 인력이 없다면 IT 보안팀에 OT 교육을 시켜 겸직시키거나 외부 MSSP에 위탁하는 것이 현실적인 경로입니다.

또 하나의 조직적 난제는 벤더 종속입니다. 장비 공급 벤더가 유지보수 명목으로 원격접속 계정을 단독 보유하면서, 중소기업은 벤더 없이는 장비를 건드릴 수 없는 구조에 갇힙니다. 보안 통제권이 사실상 외부에 있는 셈이고, “계정 관리 강화”를 요구하면 도리어 유지보수 계약 파기로 위협받기도 합니다. 해법은 원격접속을 벤더 전용 점프서버와 PAM(특권접근관리)으로 통제하는 것입니다. 모든 세션을 녹화하고, 승인 기반으로만 접속을 허용하며, 접속 시간을 제한합니다. 더 근본적으로는 신규 발주 시 보안 요건을 입찰 평가 항목에 포함시켜 협상력을 확보하고, 멀티벤더 전략으로 단일 종속을 완화하는 것이 OT 보안 통제권을 다시 안으로 가져오는 길입니다.

04규제 사각지대와 인력 절벽 — 제도·구조의 해결

대기업·방산·금융과 달리 중소 제조기업 대부분은 OT 보안 관련 법적 의무 대상에서 벗어나 있습니다. “법으로 강제하지 않으면 안 한다”는 것이 현실이고, 자발적 보안을 기대하기 어려운 구조입니다. 이 규제 사각지대를 넘는 방법은 자율 유인을 외부에서 끌어오는 것입니다. 원청 대기업의 공급망 보안 요구가 가장 강력한 지렛대입니다. 원청이 협력사를 평가하기 시작하면 법적 의무가 없어도 보안은 사실상 의무가 됩니다. 여기에 ISA/IEC 62443 인증이나 정보보호 관리체계를 수주 경쟁력으로 포지셔닝하고, 향후 규제 강화 흐름을 선제 대응의 명분으로 제시하면 자발적 투자의 동기가 생깁니다.

마지막 난제는 전문인력의 절대 부족입니다. OT 보안은 IT 보안과 제어시스템(ICS), 그리고 제조 공정에 대한 이해가 동시에 필요한 고난도 영역입니다. 실질적 전문가가 극소수인 데다, 중소기업이 채용할 수 있는 처우로는 확보 자체가 어렵습니다. 컨설팅을 맡겨도 IT 관점의 형식적 산출물만 나오는 경우가 적지 않습니다. 해법은 내부 육성과 외부 위탁의 병행입니다. 기존 IT 보안 인력에게 62443 자격이나 SANS ICS 과정 같은 OT 교육을 투자해 융합 인재로 키우고, 부족분은 제어시스템·공정 이해도를 검증한 OT 전문 MSSP에 위탁하되 형식적 산출물을 걸러내는 선별 기준을 둡니다. SANS 조사에서 현장 기술자와 운영자를 사고 대응 훈련에 참여시킨 조직이 대비태세를 강하게 평가한 비율이 그렇지 않은 조직의 1.7배였다는 점은, 인력 전략의 핵심이 “현장을 아는 사람”을 보안에 끌어들이는 데 있음을 시사합니다.

05결론 — 비침투적 기반부터, 비용이 아닌 경쟁력으로

열 가지 난제를 관통하는 해법의 핵심은 두 가지로 요약됩니다. 첫째, 무리한 패치나 라인 정지 같은 침투적 조치보다 망분리·패시브 모니터링·자산 가시성 확보처럼 가용성을 해치지 않는 기반 작업부터 시작하는 것입니다. 보이게 만들고, 격리하고, 지켜보는 순서가 현장의 신뢰를 얻고 사고 대응 역량을 빠르게 끌어올립니다. 둘째, OT 보안을 “비용”이 아닌 “수주 경쟁력과 손실 방어”로 재프레이밍하는 것입니다. 제조업이 5년 연속 1순위 표적이라는 통계, 시간당 수억 원의 다운타임 비용, 원청의 공급망 보안 요구는 모두 OT 보안이 더 이상 선택이 아님을 가리킵니다. 인식·예산·조직·제도라는 네 갈래의 벽은 결국 사람의 문제이며, 데이터로 설득하고 현장과 함께 단계적으로 풀어갈 때 비로소 무너집니다. OT 보안의 성패는 가장 화려한 솔루션이 아니라 가장 기초적인 가시성에서 갈린다는 것이, 현장이 반복해서 가르쳐 준 교훈입니다.