고객지원

뉴스룸

KOPENS의 새로운 소식을 알려드립니다.

산업 사이버 보안 2026 — IEC 62443과 NIS2의 시대

""2025년 조직의 60%가 OT 보안 사고를 겪었다. 그러나 전용 모니터링이 있는 곳은 52%를 넘지 않는다." — Dragos & SANS 2025 보고"

2025년은 산업 사이버 보안의 전환점이었다. Gartner가 2월 첫 'CPS Protection Platforms Magic Quadrant'를 발표하며 Claroty, Dragos, Microsoft, Armis, Nozomi Networks를 리더로 지명했고, EU의 NIS2 Directive가 전면 시행되었으며, 미국 국방부는 11월 'Zero Trust for Operational Technology' 가이드를 공식 발표했다.

이제 산업 현장의 사이버 보안은 '이상이 있으면 가끔 미상이 간다'의 수준이 아니라, 국제 표준(ISA/IEC 62443), 규제(NIS2), 설계 원칙(Zero Trust, Purdue Model)이 동시에 수렴되는 '구조적 이슈'가 되었다.

OT 보안은 더 이상 IT 보안의 복사본이 아니다.


1. ISA/IEC 62443 — 산업 사이버 보안의 국제 표준

Dragos의 공식 해설에 따르면 IEC 62443은 '위험 기반 방법론(risk-based methodology)'로 IACS(Industrial Automation and Control Systems)의 신뢰성·무결성·보안을 보호하는 글로벌 표준 체계다. IEC 62443-1은 용어와 모델, -2는 정책·프로그램, -3은 시스템 보안, -4는 제품 보안 요구를 정의한다.

핵심 개념은 네 가지다. ① Security Level (SL 1–4) — 자산별 보안 설계 수준 정의. ② Zone 과 Conduit — 등급별 보안 영역(zone)과 그 사이의 안전 통로(conduit) 분리. ③ Foundational Requirements (FR) 7개 — 식별·인증, 사용 제한, 시스템 무결성, 데이터 기밀성, 데이터 흐름 제한, 이벤트 대응, 가용성. ④ Certified 제품·수묘가·운영 — IECEE CB 제도로 인증된 공급망만 사용.

  • Zone & Conduit — 자산을 등급별 영역으로 분리, 사이 통로만 흔허
  • Security Level 1–4 — SL2 이상이 대부분 제조 현장의 현실적 목표
  • Foundational Requirements 7 — 서로 다른 보안 도메인의 교차 검증
  • Product·Component 모두 인증 — IEC 62443-4-2 (제품), -3-3 (시스템)
  • 지속적 재인증 — 정기 모니터링·감사 필수

2. NIS2 Directive — EU의 산업 보안 강제 표준

NIS2는 EU가 2023년 발효·2025년 전면 시행한 네트워크·정보시스템 보안 지침의 갱신판이다. 기존 NIS 대비 대상 산업이 대폭 확대되었고, 제조·에너지·물류·식품많이 대상이다. 핵심 요구사항은 이사회 보안 책임, 24시간 이내 사고 보고, 공급망 보안 의무, 미밀군 과태료다.

주목해야 할 점은 NIS2가 '기술 준수'이 아닌 '거버넌스 준수'를 강제한다는 점이다. IEC 62443 같은 기술 표준과 자연스럽게 정렬되며, 대부분의 기업이 'IEC 62443 준수 → NIS2 보고 프레임워크' 구조를 채택한다. 또한 NIS2 감사 요구와 대응 사이버 보험 정책은 최소 12개월의 OT 세션 기록 보관을 권고한다.

IEC 62443은 '어떻게', NIS2는 '무엇을 증명해야 하는가'를 답한다.


3. Purdue Model과 Zero Trust — 대립이 아닌 합성

Purdue Reference Model은 1990년대 말 등장한 산업 네트워크 계층 모델로, 5개 계층(L0–L5)을 통해 데이터 흐름과 보안 경계를 정의한다. 최근 'Purdue은 다를 것'이라는 주장이 많지만 SANS Institute, IEC 62443 작업그룹, 미국 국방부(DoD) 2025/11 Zero Trust for OT 가이드는 'Purdue의 기능적 분리 원칙은 여전히 유효하다'고 공식 입장을 밝혔다.

  • 2025년 OT 보안 사고 경험 기업: 60% (Dragos)
  • OT 전용 보안 모니터링 도입률: 52% (SANS)
  • Gartner CPS MQ 2025 리더: Claroty, Dragos, Microsoft, Armis, Nozomi
  • NIS2 사고 보고 의무: 24시간
  • NIS2 이사회 미밀군 과태료: 연 매출의 최대 2%

4. 사례 — 파나소닉 물 사건 이후의 재설계

유럽의 한 음료 제조사는 2024년 럜섬웨어 공격으로 5일간 생산 중단을 겪었다. 보험 청구를 수용하며 'IEC 62443 준수 + NIS2 버전 증명' 방침으로 OT 환경을 재설계했고, 12개월 후 Claroty CTD 기반 자산 발견 + Dragos Platform 기반 위협 모니터링을 병행 도입했다. 결과: 가시성이 없던 자산 42% 발견, 모든 연결을 Zone 기반으로 재분류, 후속 18개월 동안 재발사고 0건.

Cybelesoft의 2025 가이드("Securing Third-Party Vendor Access to OT Networks: Zero Trust Guide")는 3자 벤더의 OT 접근이 사이버 사고의 46%를 차지한다고 지적한다. Zero Trust 원칙을 Purdue Model 위에 젊는 'ZT + Purdue' 설계가 현실적 해법으로 자리 잡하고 있다.


PlantPulse가 답하는 방식

코펜스 PlantPulse는 IEC 62443-3-3(시스템 보안 요구) + 62443-4-2(컴포넌트 수준) 설계를 기본 아키텍처로 채택한다. 데이터 수집 에이전트는 Zone/Conduit 분리에 맞게 배치되며, 모든 접근이 인증·권한·감사 로그 기반으로 기록된다. NIS2 감사 요구의 12개월 세션 기록 보관도 기본 설정이다.

특히 PlantPulse의 데이터 거버넌스는 IEC 62443의 FR2(사용 제한)·FR3(시스템 무결성)·FR4(데이터 기밀성)을 동시에 만족하도로 설계되었다. Claroty·Dragos 자산 인벤토리 데이터와의 API 연계도 지원하여, 보안 운영 센터(SOC)와의 결합에 마찰이 적다.


마치며

산업 사이버 보안의 2026년 필수 수말은 분명하다. IEC 62443 준수 설계, NIS2·국내 유사 규제에 대응하는 거버넌스 체계, Zero Trust 원칙의 Purdue 위 중첩, 그리고 지속적 모니터링 보안 운영 센터(OT SOC)의 구축이다.

보안은 밐더가 팜다고 되는 것이 아니다. '어떻게 설계했는가'와 '누가 무엇을 증명할 수 있는가'가 결정한다. 이것이 IEC 62443과 NIS2가 말하려는 진짜 메시지다. (관련 자료: Dragos 'ISA/IEC 62443 Concepts' 백서, EU NIS2 Directive 2022/2555, US DoD 'Zero Trust for OT' 2025/11, Gartner CPS Protection MQ 2025, Cybelesoft 'Zero Trust Vendor Access' 2025, SANS 2025 OT Survey)

© KOPENS — Industrial DataOps & PlantPulse Platform

Powered by Froala Editor