"제조업은 2025년 산업 랜섬웨어 피해의 3분의 2 이상을 차지했다. OT 보안은 더 이상 IT 부서의 부속물이 아니다." — Dragos, 2026 OT Year in Review

2025년 산업 사이버 위협은 한 단계 더 깊어졌다. Dragos가 2026 Year in Review에서 추적한 랜섬웨어 그룹은 119개로 전년 80개 대비 49% 증가했고, 이들이 노린 산업 조직 수는 3,300곳에 달했다. 이 가운데 제조업 비중이 3분의 2를 넘었다. 같은 기간 SANS의 State of ICS/OT Security 2025 설문은 OT 보안 예산이 최근 2년간 증가했다고 응답한 비율이 55%에 이른다고 보고했지만, OT 네트워크 가시성이 부족하다고 답한 조직 비율도 여전히 45%에 머물렀다. 투자는 늘었지만 기본기는 아직이라는 뜻이다.

이런 배경에서 두 개의 프레임워크가 제조 현장의 사실상 표준으로 자리잡고 있다. 하나는 ISA/IEC 62443 — 산업 자동화 제어 시스템(IACS) 보안의 국제 표준이고, 다른 하나는 유럽연합의 NIS2 지침 — 제조를 포함한 18개 핵심 분야에 사이버 회복력을 강제하는 법적 의무다. 이 글은 두 표준이 어떻게 맞물려 한국 제조업의 OT 운영을 바꾸고 있는지, 그리고 현장이 무엇부터 시작해야 하는지를 다룬다.

▲ 산업 제어 시스템(ICS) 보안은 더 이상 IT 보안의 부속물이 아니다.

---

1. 왜 지금 IEC 62443인가

IEC 62443은 단일 규격이 아니라 14개 표준이 모인 시리즈다. 정책(Part 2-1)부터 시스템 설계(Part 3-3), 컴포넌트 요구사항(Part 4-2), 보안 개발 수명주기(Part 4-1)까지 전 계층을 포괄한다. 핵심은 Zone과 Conduit 모델 — 공장을 물리적·논리적 구역으로 나누고 그 사이의 통신 채널을 식별·통제함으로써, 단일 센서 침해가 라인 전체로 전파되지 않도록 설계하는 사고방식이다.

각 Zone에는 위협 수준에 따라 SL-1부터 SL-4까지 보안 수준(Security Level)을 부여한다. 단순 사고 방지가 목적이면 SL-2, 의도적 공격자 차단이 필요하면 SL-3, 국가 행위자(nation-state) 수준의 공격에 대비해야 하면 SL-4가 기준이 된다. 이 방식은 "모든 자산을 같은 수준으로 보호한다"는 비현실적 접근을 버리고 위험 기반(risk-based) 투자를 가능하게 만든다는 점에서, 한정된 OT 보안 예산을 가진 한국 제조 현장에 특히 잘 맞는다.

• Part 2-1 — 보안 관리 시스템(CSMS): 정책·역할·교육·감사
• Part 3-2 — 위험 평가 및 시스템 설계 방법론
• Part 3-3 — 시스템 요구사항(FR 1~7)과 SL 매핑
• Part 4-1 — Secure-by-Design 개발 수명주기(공급사 측)
• Part 4-2 — PLC/HMI/네트워크 컴포넌트 기술 요구사항

2. NIS2가 제조 책임자에게 의미하는 것

NIS2(Directive (EU) 2022/2555)는 2024년 10월부터 회원국 국내법화가 시작됐고, 2026년에는 본격 집행 단계에 들어선다. 적용 대상이 7개에서 18개 분야로 확장되며 제조업 일부(기계·자동차·전기전자·의료기기)가 'Important entities'로 편입된 것이 가장 큰 변화다. 한국 기업에게도 무관한 이야기가 아니다 — EU에 자회사·합작사·주요 고객을 둔 제조사는 공급망 보안 의무를 통해 사실상 간접 적용을 받기 때문이다.

NIS2의 핵심 의무는 네 가지로 요약된다. 첫째, 24시간 내 초기 사고 보고와 72시간 내 상세 보고. 둘째, 공급망 보안 — 협력사가 IEC 62443-4-1/4-2 인증 컴포넌트를 공급해야 한다는 요구로 자연스럽게 이어진다. 셋째, 경영진의 직접 책임 — 사이버 사고가 발생하면 이사회 구성원이 개인적 제재 대상이 될 수 있다. 넷째, 정기 위험 평가와 비즈니스 연속성 계획. ST2 등 EU 컨설팅 펌이 2026년 NIS2 가이드에서 "한 번에 모든 것을 하려 하지 말고 IEC 62443-2-1로 System under Consideration(SuC)을 먼저 정의하라"고 권고하는 이유다.

▲ NIS2는 제조 OT 네트워크의 가시성·세그멘테이션·사고 보고 체계를 법적 의무로 끌어올렸다.

3. 2025년 산업 위협의 실제 모습

Dragos 2026 Year in Review와 SANS State of ICS/OT Security 2025를 교차해 보면 위협의 윤곽이 분명해진다. 랜섬웨어 사고에서 OT 환경 평균 잠복 시간(dwell time)은 42일이었으나, OT 가시성이 잘 갖춰진 조직은 평균 5일 만에 봉쇄에 성공했다. 가시성 격차 하나로 사고 비용이 한 자릿수 일수 vs 한 달 반의 차이로 벌어지는 셈이다.

위협 행위자도 진화했다. Dragos는 현재 26개 OT 특화 위협 그룹을 추적 중이며 2025년 한 해에만 AZURITE, SYLVANITE, PYROXENE 세 그룹이 새로 식별됐다. 특히 우려되는 것은 'control loop mapping' — 제어 루프 자체를 매핑해 안전 인터록을 우회하려는 시도로, 단순 데이터 절도를 넘어 물리적 피해를 노린다는 점에서 차원이 다르다. 유럽 산업 분석에 따르면 OT 취약점의 60%는 단순 소프트웨어 패치로 해결되지 않는다 — 노후 하드웨어 아키텍처 자체에 내재하기 때문이다.

• 119개 — 2025년 산업 조직 표적 랜섬웨어 그룹 수 (전년 80개)
• 3,300곳 — 같은 기간 피해 산업 조직 수
• 3분의 2 이상 — 피해 중 제조업 비중
• 45% — OT 가시성 부족 응답 비율 (SANS 2025)
• 약 3,295억 달러 — 글로벌 OT 사이버 사고 잠재 손실 (Dragos 2025 Financial Risk Report)

4. 한국 제조의 출발점 — 가시성과 세그멘테이션

SANS 2025 설문에서 응답자가 꼽은 2025년 최우선 투자 분야 1위는 자산 인벤토리 및 가시성(50%)이었고, 2026~2027년 전망에서도 54%로 1위 자리를 지켰다. 한국 제조 현장도 같은 출발점에 서야 한다. 수십 년에 걸쳐 누적된 PLC·HMI·DCS·SCADA 자산 중 정확히 무엇이, 어디서, 어떤 펌웨어 버전으로 동작하는지 즉시 답할 수 있는 공장은 많지 않다. 가시성 없이는 IEC 62443 Zone을 그릴 수 없고, NIS2 24시간 사고 보고 시계도 시작되지 않는다.

두 번째는 세그멘테이션이다. Purdue 모델(레벨 0~5)에 따른 계층 분리, OT-IT 경계의 단방향 게이트웨이(데이터 다이오드), 원격 접속의 Just-In-Time 권한 관리가 기본 골격이다. HMS Networks가 2025년 5월 발표한 NIS2 원격 접속 가이드는 "제3자 유지보수 접속을 NIS2에 맞추는 가장 빠른 길은 세션 단위 승인과 풀-세션 녹화"라고 권고한다. 협력사 엔지니어가 노트북을 PLC에 직결하던 관행을 정리해야 할 시점이라는 뜻이다.

5. 사례 — 유럽 자동차 부품사의 NIS2 준비 순서

Cisco가 발간한 NIS2 산업 적용 백서에 따르면, Tier-1 자동차 부품 공급사들은 2025년부터 다음 순서를 사실상 표준화하고 있다. ① 사이트별 IEC 62443-2-1 기반 CSMS 수립 → ② Zone/Conduit 매핑 및 SL 부여 → ③ Cisco Cyber Vision·Claroty·Nozomi 등 산업 가시성 플랫폼 도입 → ④ Identity Services Engine 기반 마이크로세그멘테이션 → ⑤ 사고 대응 플레이북 검증(Tabletop). 이 과정에서 가장 큰 병목은 기술이 아니라 OT 운영자–IT 보안–품질 부서 간 R&R 합의였다고 보고된다. NIS2가 요구하는 24시간 보고 시계를 맞추려면 사이트장이 사고 판단 권한을 갖되 본사 CISO에게 즉시 통보되는 거버넌스 라인이 필수적이다.

PlantPulse가 답하는 방식

KOPENS PlantPulse는 산업 데이터옵스(Industrial DataOps) 플랫폼이지만, IEC 62443/NIS2 관점의 보안 기반을 첫날부터 내장한다. 200여 개 산업 프로토콜 커넥터는 모두 읽기 전용 패시브 수집을 기본으로 하며, ISA-95 자산 모델 위에 Zone·Conduit 메타데이터를 직접 부착할 수 있다. 자산 인벤토리·통신 토폴로지·접근 로그가 한 곳에 모이기 때문에, IEC 62443 Part 3-2 위험 평가와 NIS2 사고 보고에 필요한 1차 데이터를 별도 구축 없이 추출할 수 있다.

엣지-클라우드 하이브리드 아키텍처도 보안 관점에서 의도된 선택이다. 민감한 제어 데이터는 엣지에 머무르고, 통계·시계열·이벤트만 정책에 따라 상위 레벨로 흐른다. AI/ML 모델 추론도 엣지에서 수행되므로 외부 노출 표면이 최소화된다. PlantPulse의 거버넌스 계층은 누가·언제·어느 자산의 어떤 태그를 조회·변경했는지를 변조 불가 로그로 보관해, NIS2가 요구하는 감사 가능성(auditability)을 자연스럽게 충족시킨다.

마치며

IEC 62443과 NIS2는 별개의 트랙이 아니다. 전자가 'How' — 어떻게 OT를 안전하게 설계·운영할 것인가 — 를 답한다면, 후자는 'Must' — 무엇을 반드시 증명해야 하는가 — 를 묻는다. 두 표준을 동시에 만족시키는 가장 현실적인 출발점은 한 가지로 수렴한다. "우리 공장 OT 자산을 우리는 정말로 알고 있는가." 이 질문에 답할 수 없다면, 다른 모든 통제는 결국 종이 위 정책으로 남는다.

2026년은 NIS2 집행이 본격화되고 KISA도 OT 보안 정책 정비에 속도를 내는 해다(KISA Insight 2025 Vol.05). 한국 제조 경영진이 이번 분기 우선순위를 다시 짠다면, 첫 번째 항목은 OT 자산 인벤토리와 네트워크 세그멘테이션이어야 한다. 표준은 그 다음 단계의 언어를 제공할 뿐이다. (관련 자료: Dragos 2026 OT Year in Review / 2025 Financial Risk Report; SANS State of ICS/OT Security 2025; ISA IEC 62443 시리즈; EU NIS2 Directive 2022/2555; Cisco NIS2 Industrial White Paper; HMS Networks NIS2 Remote Access Guide 2025-05; KISA Insight 2025 Vol.05.)

© KOPENS — Industrial DataOps & PlantPulse Platform

Powered by Froala Editor