산업 현장의 디지털 전환은 이미 되돌릴 수 없는 흐름이 됐다. 발전소의 터빈, 제조 공장의 로봇, 철도 관제 시스템, 수처리 설비의 제어 장치는 더 이상 현장 내부에 고립된 장비가 아니다. 이들은 원격 유지보수 채널과 연결되고 외부 협력사와 접속 경로를 공유하며 공급망과 데이터를 교환한다. 생산성과 효율성은 크게 높아졌지만 통제의 전제는 달라졌다.
과거 산업 설비는 물리적 접근이 곧 권한이었다. 설비가 있는 장소에 접근할 수 있어야 제어가 가능했다. 그러나 지금은 다르다. 네트워크 접속이 곧 권한이다. 그리고 네트워크 접속의 출발점은 인증이다. 그럼에도 운영기술(OT:Operational Technology) 보안 논의는 대개 경계에서 시작한다.
망분리, 방화벽, 콜 화이트리스트, 네트워크 세그먼트 분리, OT-NDR 같은 기술이 먼저 언급된다. 모두 중요한 보안 수단이다. 하지만 산업 제어 시스템 침해 사고를 구조적으로 분석해 보면 피해를 만들어내는 결정적 전환점은 경계가 아니라 인증이라는 사실이 드러난다.
사이버 공격의 흐름은 대체로 일정하다. 침투 또는 자격정보 확보, 인증 통과, 권한 실행, 물리적 결과. 이 네 단계 중 침투는 시작에 불과하며, 인증이 통과되는 순간 공격자는 내부 사용자로 전환돼 시스템은 그를 정상 세션으로 인식한다. 이후의 탐지 기술은 이미 실행된 권한을 뒤쫓게 된다.
최근 유럽에서 발생한 산업 인프라 침해 사건들은 이러한 구조를 분명하게 보여준다. 지난해 노르웨이의 한 댐 제어 시스템에서는 웹에 노출된 HMI 계정이 탈취되면서 공격자가 원격으로 수문 방출 밸브를 조작할 수 있는 권한을 확보하는 사건이 발생했다. 그 결과 유량이 일시적으로 증가했고, 설비가 외부 명령에 의해 실제로 제어될 수 있다는 사실이 드러났다.
문제는 시스템이 해당 세션을 정상 사용자로 인식했다는 점이다. 로그인 이후 별도의 행위 검증 장치가 존재하지 않았기 때문에 공격자의 제어 명령은 그대로 실행됐다. 같은 해 폴란드의 풍력·태양광 발전 설비를 겨냥한 사이버 공격 역시 비슷한 양상을 보였다. 인터넷에 노출된 원격 접속 경로, 다중 인증이 적용되지 않은 계정, 그리고 재사용된 비밀번호가 침투의 단초가 됐다. 이는 복잡한 기술적 취약점이 아니라 기본적인 인증 관리의 부실만으로도 국가 에너지 인프라의 운영 안정성이 얼마나 쉽게 흔들릴 수 있는지를 보여주는 사례였다.
2025년 운영 기술 및 사이버 보안 현황보고서: 침해가 조직에 미치는 영향 (출처=포티넷, 에너지·공익시설, 헬스케어·제약, 운송·물류, 제조, 화학·석유화학, 석유·가스·정유, 수자원·폐수 업종의 직원 수 1000명 초과 기업 응답자 558명 대상)
OT 환경에서 로그인은 단순한 접근 절차가 아니라 로그인은 곧 설비 제어 권한의 부여하는 행위이며, 이 권한은 데이터가 아니라 물리적 결과를 만든다. 터빈이 멈추고 수문이 열리며 공공 서비스가 중단되고 인증이 통과되는 순간 공격자는 시스템의 일부가 된다.
문제는 산업 현장의 운영 관행이 이러한 구조적 위험을 더욱 키운다는 점이다. 많은 OT 환경에서 HMI, PLC, SCADA 장비의 로그인 구조는 여전히 아이디와 비밀번호 기반 인증에 의존한다. 동일 계정을 여러 작업자가 공유하거나 교대 근무 환경에서 공용 계정을 사용하는 경우도 적지 않고, 편의를 이유로 비밀번호가 단순하거나 반복되는 사례도 흔하다.
로그인 한 번으로 설비 제어 권한이 부여되는 구조에서 동일 계정의 다수 사용은 곧 통제 공백을 의미하며, 실제 행위자를 특정할 수 없다면 통제는 형식에 그칠 수밖에 없다. 책임 추적이 어렵다는 것은 결국 억제력이 약하다는 의미이기도 하다.
기본 비밀번호 문제 역시 산업 환경에서 구조적으로 고착돼 있고, 수백·수천대의 장비를 운영하는 환경에서 모든 비밀번호를 변경하는 작업은 단순한 설정 문제가 아니라 운영 리스크로 이어질 수 있다. 일부 레거시 장비는 비밀번호 변경 기능이 제한적이거나 아예 지원되지 않기도 한다.
또 협력사와 외주 인력의 원격 접속 역시 또 다른 취약 지점이다. 유지보수를 위해 발급된 계정이 장기간 활성 상태로 남거나, 초기 승인보다 더 넓은 권한이 유지되는 경우도 많다. 공정은 변하고 설비는 교체되지만 권한은 그대로 남는다. 많은 조직은 이러한 문제를 탐지 체계 강화와 로그 분석으로 해결하려 한다.
물론 기록과 모니터링은 필요하다. 그러나 로그는 실행 이후에 생성되고 기록은 사건을 설명할 수는 있지만 실행 자체를 막지는 못한다. OT 환경에서 사고는 기록 이후가 아니라 권한이 실행되는 순간에 완성이 되기 때문에 산업 현장에서 필요한 것은 사후 추적 능력 이전에 사전 인증 통제가 필요하다.
유럽의 규제 흐름은 이러한 변화를 제도적으로 반영하고 있다. NIS2 지침은 중요 인프라 운영 조직에 대해 접근 통제 정책 수립과 다중 인증 도입을 핵심 위험관리 조치로 명시하고 인증을 선택적 보완책이 아니라 필수적인 관리 체계로 규정한 것이다.
유럽연합(EU) 사이버 복원력법(CRA) 역시 제품 설계 단계에서부터 보안을 내재화하도록 요구한다. 기본 비밀번호 제거와 안전한 기본 설정을 의무화하고, 취약점 관리 책임을 제조사에 부여한다. ISA/IEC 62443 또한 자산 단위 접근 통제와 최소 권한 원칙을 강조하면서 인증은 단순한 로그인 기능이 아니라 권한 설계의 출발점이라는 의미한다.
이러한 흐름에 맞춰 기업 차원의 대응도 구조적으로 재설계될 필요가 있다. OT 보안 고도화의 출발점은 새로운 탐지 기술 도입이 아니라 장비 로그인 구조에 대한 전면적인 재정비다. 먼저 모든 제어 자산의 계정 현황을 파악하고, 누가 어떤 권한을 어떤 경로로 행사할 수 있는지 가시화해야 한다.
공유 계정은 단계적으로 폐지하고 개인 식별이 가능한 계정 체계와 역할 기반 권한 모델을 정착시켜야 한다. 산업 인프라의 안전은 복잡한 기술보다 단순한 질문에서 시작된다. 누가 접속했는가. 그 권한은 최소한인가. 그리고 그 권한은 이 순간에도 유효한가. 이 질문에 명확히 답할 수 없는 환경에서는 통제의 안전은 보장될 수 없다. 인증은 단순한 로그인 절차가 아니다. 그것은 산업 제어 시스템의 통제 기반이며, 디지털 산업 인프라 시대에 반드시 갖춰야 할 새로운 안전장치다.
홍준호 성신여자대학교 융합보안공학과 교수 hjh@sungshin.ac.kr
홍준호 성신여자대학교 융합보안공학과 교수
<필자〉성신여대 융합보안공학과 교수로 재직하고 있으며, 정보보호, 개인정보보호, 산업보안, 지식재산권 법정책 등 융합연구를 진행하고 있다. 현재 한국법이론실무학회 부회장, 한국지급결제학회 부회장, 한국법학회 총무이사, 개인정보보호법학회 상임이사, 한국정보보호학회 이사, 한국산업보안연구학회 상임이사, 한국디지털포렌식학회 이사, 한국데이터법정책학회 기획이사 등으로 활동하고 있다.