04. IT와 OT를 결합한 크로스 도메인의 융합 보안 강화
산업 현장의 디지털 전환은 OT(제어·설비·공정 데이터)를 IT(클라우드·AI/분석·기업망)로 끌어올려 가치를 만드는 구조다. 그러나 이 상향 데이터 흐름이 일상화되는 순간, IT와 OT 사이에는 상시 개방된 크로스 도메인 경계가 형성된다. 이 경계는 더 이상 단순한 "중간 지대"가 아니다. 한쪽은 데이터 신뢰성과 서비스 가용성을 최우선하는 IT 운영 철학을 따르고, 다른 한쪽은 공정 연속성과 물리적 안전을 절대 기준으로 삼는 OT 운영 철학을 대표한다. 서로 다른 시스템이 만나는 접점이자 서로 다른 우선순위가 충돌하는 지점이기에, 이곳은 공격자와 방어자가 가장 먼저 맞붙는 핵심 전장으로 변모했다.
이 전장의 성격은 2024년 하반기부터 2025년 현재까지 발생한 ICS/OT 사고에서 명확히 드러난다. 주목할 점은 공격자들이 SCADA 프로토콜이나 PLC 펌웨어 같은 OT 고유 영역에서 비약적인 전문성을 새로 획득한 것이 아니라는 사실이다. 오히려 IT–OT 연결 경로 그 자체가 공격의 출발점이자 증폭기 역할을 하는 패턴이 지배적이다. OT의 '깊은 곳'을 정교하게 파고들기보다, 우리가 디지털 전환과 운영 효율화를 위해 스스로 구축해 둔 연결면을 타격해 가장 낮은 비용으로 가장 큰 운영·물리적 효과를 내는 방식이 주류가 되었다. 대표적 사례만 살펴봐도 이 변화가 분명하다.
[표 4-1] 2025년 IT–OT 연결 경로 악용 기반 주요 ICS/산업 침해사례
사례 | 초기 침투/악용된 IT–OT 연결 경로 | 영향(OT/운영 측면) | 연결 경로 악용 포인트 |
Asahi Group 사이버 공격
(2025-09-29~10월) | • 주문·출하·공장 운영을 잇는 IT 시스템 침해로 생산/물류 체계 마비 | • 일본 내 다수 공장의 생산·주문·배송 정지/제한, 공급 차질 | • 생산 라인 자체 손상 없이도 IT–OT/물류 연계 경로가 끊기면서 공정이 멈춘 사례 |
Jaguar Land Rover(JLR) 사이버 incident
(2025-08-31~09월) | • IT/글로벌 운영 시스템 침해·차단 → 생산 시스템 까지 연쇄 셧다운 | • 영국 공장 포함 생산 라인 약 6주 중단, 공급망 피해 | • IT–생산 결합 구조가 IT 침해가 OT 가동중단으로 전이 |
Data I/O 랜섬웨어
(2025.08.16) | • IT 시스템 침해 후 배송·제조 지원 등 운영시스템까지 장애 | • 제조/생산 지원, 출하·물류 등 핵심 운영 기능 마비 | • IT에서 시작한 랜섬웨어가 연결된 제조 운영 영역(OT 영향권)으로 확산 |
노르웨이 라이세바트넷 댐 제어시스템 침해
(2025.04.07) | • 인터넷에 노출된 원격 제어/관리 경로와 약한 인증을 통해 SCADA/댐 제어 인터페이스에 원격 접근 | • 수문이 약 4시간 임의 개방되어 물리적 수위·유량 변화 발생 | • OT 제로데이보다 연결 노출·인증 약점이 곧 물리 조작으로 직결된 전형적 크로스도메인 사례 |
Sensata Technologies 랜섬웨어
(2025.04.06) | • 기업 IT망 랜섬웨어 침해 → IT-운영(생산/물류) 연계 시스템으로 확산 | • 제조 생산, 출하/입고, 일부 운영 기능 중단·지연 | • OT 장비 직접 해킹 없이도 IT–OT/운영 통합 경로가 있으면 IT 사고가 생산 중단으로 증폭 |
이들 사례는 공통된 공격 메커니즘을 보여준다. 우선 산업 랜섬웨어가 IT 영역에서 시작해 히스토리안·엔지니어링 워크스테이션 같은 경계 자산을 거쳐 OT로 파급되는 경로가 급증했다.
[그림 4-1] OT 시스템 중단 사건 현황 (출처 : Waterfall, Security 2025 OT Cyber Threat Report)
이와 동시에, 본래 OT에서 IT로 분석용 데이터를 보내기 위해 설계된 단방향 통로가 원격운영·유지보수 요구와 결합되면서 사실상 양방향 제어 채널로 변질되고 있다. 이는 OT 침투 난이도를 급격히 낮추는 결과로 이어졌다. 결국 문제의 본질은 OT 시스템 자체의 약화가 아니라 연결 구조가 만들어낸 공격면 확대이며, 방어 전략도 이 경계를 중심으로 전면 재설계되어야 한다.
먼저 명확히 해야 할 것은, 위협환경의 변화가 방어의 목표를 바꾸지는 않는다는 점이다. 목표는 단순히 "연결을 막는 것"이 아니다. 산업 현장에서 OT에서 IT로의 상향 데이터 흐름은 디지털 전환의 핵심 가치이므로 안전하게 허용되어야 한다. 진짜 목표는 그 반대 방향, 즉 IT 영역의 침해가 OT로 확산되는 경로를 구조적으로 차단하는 것이다. 이 목표를 달성하기 위한 방어 전략은 다음 세 가지 원칙으로 수렴된다.
첫째, 경계 중심 방어(Convergence-centric Defense)다. IT와 OT가 융합되는 지점, 즉 크로스 도메인 경계에 모든 보안 통제의 무게중심을 배치한다. 양쪽 영역의 개별 강화도 중요하지만, 공격이 실제로 증폭되고 전이되는 곳은 경계이므로, 탐지·차단·로깅·검증의 핵심 역량을 이 접점에 집중 배치해야 한다. 이는 히스토리안, iDMZ, 게이트웨이, 데이터 다이오드 등 경계 자산이 단순한 통로가 아니라 방어 거점으로 재정의됨을 의미한다.
둘째, 단방향 우선 원칙이다. 기술적으로 가능하다면 OT에서 IT 방향의 데이터 흐름을 물리적 단방향 장치(데이터 다이오드)로 구현해 역류 가능성 자체를 원천 차단한다. 원격 유지보수나 긴급 제어처럼 양방향 통신이 불가피한 경우에도, 해당 세션은 시간·대상·프로토콜 단위로 엄격히 제한하고, 세션 종료 후에는 즉시 경로를 닫아 상시 개방 상태를 만들지 않는다.
셋째, 통로 최소 허용(Least Privilege Connectivity) 원칙이다. IT-OT 간 모든 통신 경로는 기본적으로 차단(Deny-all)하고, 반드시 필요한 통로만 목적·프로토콜·출발지·목적지 단위로 명시적 화이트리스트에 등록해 허용한다. 필요할 수도 있으니 열어두자는 접근을 배제하고, 모든 통로는 사전 승인·주기적 재검토·사후 감사 대상이 되어야 한다. 이는 제로트러스트 아키텍처의 핵심 개념을 크로스 도메인 경계에 적용한 것이다.
이 세 가지 원칙을 산업 현장에 실제 적용하려면, IT-OT 융합 환경의 전체 구조를 계층별로 이해하고 각 경계에 적합한 통제를 배치해야 한다. 이를 위한 업계 표준 참조 모델이 확장 퍼듀 아키텍처(Extended Purdue Model)다. 전통적 퍼듀 모델은 Level 0부터 4까지 공장 자동화 계층을 정의했으나, 디지털 전환으로 클라우드 분석·원격 협업·공급망 연동이 필수가 되면서 Level 5(클라우드/비즈니스 플래닝)까지 확장되었다. 동시에 Level 3과 4 사이에는 Level 3.5 산업 DMZ(iDMZ) 가 추가되어 IT-OT 간 완충지대이자 핵심 방어 거점 역할을 수행한다. 이 계층 구조는 단순한 네트워크 분리 이상의 의미를 갖는다. 각 계층은 고유한 운영 목적과 보안 요구사항을 가지며, 계층 간 경계는 신뢰 수준이 전환되는 지점이다.
[그림 4-3] 확장 퍼듀 아키텍처(Extended Purdue Model)
이 퍼듀 7계층 구조가 알려주는 가장 중요한 사실은 7개 층을 모두 똑같이 강화하려는 순간, 모든 곳이 중간 수준으로 약해진다는 사실이다. 제한된 예산과 인력으로 7개 계층과 6개 경계를 동일한 수준으로 보호하려는 시도는 필연적으로 모든 곳이 중간 수준의 방어력을 갖추는 결과를 낳는다. 그러나 공격자는 평균적 방어력이 아니라 가장 약한 연결고리를 찾아 침투하며, 실제 공격 경로는 예측 가능한 패턴을 따른다.
앞선 사례에서도 알 수 있듯이 대부분의 IT에서 OT로의 침해는 다음 세 가지 경로 중 하나를 따른다. ① Level 5(클라우드/경영)에서 침투해 Level 4를 거쳐 Level 3.5로 진입하는 하향 침투 경로, ② Level 4의 기업 IT 망에서 시작해 직접 Level 3.5를 타격하는 측면 이동 경로, ③ Level 3의 엔지니어링 워크스테이션이나 유지보수 노트북을 통한 직접 침투 경로다. 이 세 경로 모두 Level 3.5 iDMZ를 필수 경유지로 삼는다는 공통점이 있다. iDMZ는 IT와 OT 사이의 유일한 데이터 교환 지점이자, 양방향 통신이 구조적으로 허용되는 유일한 구간이기 때문이다.
따라서 효율적 방어 전략은 공격 경로의 필수 통과 지점인 Level 3.5에 방어 역량을 집중 배치하는 것이다. 이 접근법의 핵심은 단순히 한 지점을 강화하는 데 그치지 않는다. iDMZ에서 IT 침해의 OT 확산을 효과적으로 차단하면, 하위 계층(Level 2, 1)의 방어 부담이 대폭 감소하며, 예산은 iDMZ 강화와 Level 5 진입점 통제에 재배치할 수 있다. 핵심 경계 20%에 자원을 집중해 위협 80%를 차단하는 효율적 구조다. 다만 이는 경계 중심 방어가 계층별 방어를 완전히 대체한다는 의미가 아니다. iDMZ를 1차 방어선으로, 나머지 계층을 2차 심층 방어로 배치하는 우선순위 재조정이다.
앞서 제시한 세 가지 원칙은 이제 구체적인 기술로 구현된다. 이를 위한 핵심 아키텍처는 다음 네가지 필수 구성요소로 이뤄진다.
첫째, 데이터 다이오드는 원칙 2(단방향 우선)의 가장 강력한 구현이다. 광섬유 송신부와 수신부를 물리적으로 분리한 하드웨어 구조로, IT 영역에서 OT로의 역방향 명령 전송을 물리 법칙 수준에서 차단한다. 주요 적용 대상은 SCADA 히스토리안 데이터, 센서 측정값, 생산 로그처럼 OT에서 IT로의 단방향 데이터 전송만 필요한 모니터링 구간이다. IT 영역이 랜섬웨어에 침해당하더라도 OT 제어 시스템으로의 확산이 원천 차단되는 효과가 있으나, 펌웨어 업데이트나 긴급 원격 제어처럼 양방향 통신이 불가피한 경우에는 별도 통로를 구성해야 하는 제약이 있다.
둘째, 점프서버(Bastion Host) 기반 원격 접속은 원칙 1(경계 중심)과 원칙 3(통로 최소)을 동시에 구현한다. 외부 협력사나 엔지니어가 OT 영역에 직접 VPN으로 접속하는 것을 차단하고, 모든 원격 접속은 iDMZ에 위치한 점프서버를 반드시 경유하도록 강제한다. 점프서버는 다중 인증(MFA), 접속 시간대 제한, 접근 가능 자산 화이트리스트를 통해 모든 원격 접속을 통제한다. 비정상 시간대 접속이나 권한 외 자산 접근 시도는 즉시 차단되며, 협력사 계정이 탈취되더라도 사전 승인된 자산에만 제한적으로 접근 가능하도록 피해 범위를 최소화한다. 경계는 단순한 통로가 아닌 방어 거점으로 작동한다. 기존 VPN이 "인증 후 자유로운 측면 이동"을 허용했다면, 점프서버는 "경유 지점마다 재검증"하는 제로트러스트 원칙을 실제 아키텍처로 구현한 것이다.
셋째, OT 인식 방화벽과 프로토콜 화이트리스트는 원칙 3(통로 최소)을 프로토콜 수준에서 실현한다. 단순 포트 기반 허용을 넘어 산업 프로토콜의 제어 명령 수준에서 필터링을 수행한다. 전통적 방화벽은 "Modbus TCP 포트 502 허용"으로 설정하면 해당 포트의 모든 트래픽을 통과시킨다. 반면 OT 인식 방화벽은 Modbus 패킷 내부의 기능 코드까지 검사해 Read 명령만 허용하고 Write 명령은 차단하는 세밀한 통제를 수행한다. 예를 들어 히스토리안이 PLC 데이터를 읽는 것은 허용하되, 외부에서 PLC 설정을 변경하거나 제어 명령을 주입하는 시도는 프로토콜 수준에서 차단된다. 이러한 명령 수준 필터링은 Modbus뿐만 아니라 DNP3, IEC 61850, OPC UA 같은 주요 산업 프로토콜에 대해서도 허용 명령 화이트리스트를 사전 정의해 적용되며, 정상 운영 패턴을 벗어난 명령 시퀀스나 파라미터 범위 이탈을 실시간 탐지한다.
넷째, 프로토콜 변환 및 정규화 게이트웨이는 원칙 1 (경계 중심 방어)과 원칙 3 (통로 최소 허용)을 동시에 구현한다. OT의 Modbus, DNP3와 IT의 HTTP/REST, MQTT 같은 서로 다른 프로토콜을 중계하며 동시에 보안 검증을 수행한다. 클라우드 AI 분석, MES/ERP 연동, 원격 모니터링 같은 디지털 전환 요구사항을 충족하면서도 프로토콜 변환 과정에서 악성 페이로드를 필터링하고, 데이터를 정규화하며, OT 실시간성 보호를 위한 비동기 처리를 제공한다.
[그림 4-4] IT/OT 크로스 도메인 융합 보안 아키텍처 개념도
이 네 가지 기술은 상호 보완적으로 작동한다. 순수 모니터링 구간에는 데이터 다이오드를 배치해 OT에서 IT로 향하는 상향 데이터 흐름을 물리적으로 단방향으로 고정하고, 원격 접속이 필요한 구간에는 점프서버를 두어 인증·권한·세션을 중앙에서 통제한다. 또한 양방향 통신이 불가피한 구간에는 OT 인식 방화벽과 프로토콜 게이트웨이를 적용해, 포트 수준이 아니라 산업 프로토콜과 명령 단위에서 허용 범위를 최소화한다. 이처럼 단일 기술에 의존하지 않고 데이터 흐름의 성격(단방향 관측, 통제된 원격운영, 제한적 양방향 연계)에 맞춰 최적화된 통제를 층위별로 배치함으로써, 공격자가 어느 한 방어 기법을 우회하더라도 다음 계층에서 탐지·차단되는 심층 방어효과를 확보할 수 있다.
다만 이러한 경계 보안 기술들의 효과가 지속되기 위해서는, IT와 OT에 걸친 전체 위협을 통합된 시야에서 상시 관측하고 신속히 대응할 수 있는 운영 체계가 함께 갖춰져야 한다. 실제 침해는 IT에서 시작해 경계를 관통하는 형태로 전개되는 경우가 많기 때문에, 경계 자산에서 발생하는 이상 징후를 경계 사건으로 묶어 최우선으로 분석·대응하는 통합 관제 체계가 필수적이다. 즉, 기술적 통제는 경계에서 공격의 방향과 폭을 구조적으로 제한하고, 통합된 SOC 운영은 그 경계에서 일어나는 미세한 신호를 조기에 포착해 확산 이전에 끊어내는 역할을 수행해야 한다. 아무리 정교한 경계 기술을 배치하더라도 24시간 실시간으로 이를 모니터링하고 이상 징후를 해석하며 신속히 대응하는 운영 체계가 없다면, 기술 스택은 단순한 장애물에 그친다.
2024~2025년 산업 랜섬웨어 사고에서 공통적으로 발견되는 패턴은 초기 IT 침해 후 경계 자산을 장악하기까지 평균 72시간에서 수 주의 잠복 기간이 존재했다는 점이다. 이 시간대에 경계 자산의 비정상 접근, 권한 상승, 프로토콜 이상을 탐지했다면 OT 확산을 사전 차단할 수 있었으나, IT와 OT가 분리된 관제 체계에서는 경계 이벤트가 양쪽 조직 사이 사각지대에 놓여 대응이 지연되거나 누락되었다. 따라서 2026년 경계 중심 방어는 기술과 운영의 통합으로 완성된다. 이를 위한 핵심 모델이 통합 SOC(Converged SOC)다. 통합 SOC는 IT와 OT를 한 조직, 한 플랫폼에서 관제하되, 두 도메인의 위험 우선순위와 운영 제약을 동일 프레임에 억지로 맞추지 않는다. IT는 데이터 유출과 서비스 가용성을 최우선하고 즉시 차단 원칙을 따르는 반면, OT는 공정 안전과 연속성을 절대 기준으로 삼아 영향 평가 후 단계적 완화를 수행한다. 이 서로 다른 대응 철학을 한 의사결정 라인 안에서 조율하는 것이 통합 SOC의 본질이다.
통합 SOC는 이원화된 대응 원칙을 조직·역할·데이터·룰·플레이북 전반에 체계화함으로써, IT 즉시 차단과 OT 단계적 완화라는 상이한 철학이 운영 혼선이 아닌 통합 체계로 작동하도록 구조화한다. [대응기술 그림 4-5]는 러한 통합 SOC의 전체 구조와 핵심 기능 계층을 보여준다.
[그림 4-5] IT/OT 통합 SOC 운영 체계 구조
[그림 4-5]에서 볼 수 있듯이, 통합 SOC는 IT와 OT 네트워크 보안 모니터링을 단일 플랫폼에서 통합하며, 그 위에 AI 기반 SIEM을 통한 알려진/알려지지 않은 위협 탐지, SOAR를 통한 신속한 사고 대응, 위협 인텔리전스를 통한 선제적 방어라는 세 가지 핵심 기능이 계층적으로 배치된다. 통합 SOC 운영 모델은 네 개 영역으로 구성되며, 각 영역의 구성과 역할은 [표 4-2]와 같이 정리할 수 있다.
[표 4-2] 통합 SOC 운영 모델 구성
영역 | 핵심 구성 | 주요 역할 예시 | 핵심 포인트 |
조직·역할 | • SOC 총괄
• IT 보안팀, OT 보안팀
• 경계 전담팀
• 현장 협업 라인 | • 단일 의사결정 라인 유지
• IT 차단 vs OT 안전 균형
• iDMZ/점프서버/경계 방화벽 상시 모니터링
• 공정 책임자와 현장 연계 | • 경계 전담팀이 통합 SOC의 성패를 결정 |
데이터·가시성 | • IT 관제 데이터
• OT 관제 데이터
• 경계 관제 데이터 | • EDR, 계정인증, 이메일/서버 로그 등
• ICS 프로토콜 탐지, SCADA 측정값 ·알람 등
• iDMZ, 점프서버 세션, 방화벽/VPN 로그 | • 경계 이벤트는 Convergence Event 태그로 우선 처리 |
탐지·분석 | • 도메인별 룰
• 경계 상관분석 룰
• AI기반 이상 탐지
• 위협 인텔리전스 연계 | • IT/OT 각자 특화 탐지 유지
• IT에서 OT 확산 징후를 최우선 경보
• MITRE ATT&CK for ICS 표준화
• 알려진 위협과 알려지지 않은 위협 동시 탐지 | • 침해 3단계 구분
• 1단계: IT만
• 2단계: IT+경계 접근
• 3단계: OT 명령/공정 이상 |
대응·복구 플레이북 | • 경계 관통형 사건 대응 5단계
• 자동화·오케스트레이션 | ① IT 초기 침해 차단
② 경계 봉합 (안전 모드)
③ OT 영향 평가·완화
④ 정밀 헌팅 (IT·OT 공동)
⑤ 안전한 공정 복구 | • IT는 즉시 차단OT는 영향 평가 후 최소 완화 이원화 기준 동시 작동 |
2026년은 IT-OT 융합 보안이 선택이 아닌 필수가 되는 시점이다. 디지털 전환은 멈추지 않으며, 생성형 AI는 공격 자동화를 가속화하고, EU NIS2와 CISA 지침 같은 규제는 OT 보안 책임을 명확히 요구한다. 기술적 통제가 방어의 뼈대를 세운다면, 운영은 그것을 살아 움직이게 만든다. 경계 중심 기술과 통합 SOC 운영의 결합 없이는 크로스 도메인 융합 보안이 완성될 수 없다. 지금 구축하지 않는다면, 다음 침해에서 IT와 OT 사이의 사각지대는 여전히 열려 있을 것이다. 경계를 중심으로 방어를 재배치하고, IT와 OT의 상이한 철학을 한 체계 안에서 조율하며, 침해 확산 경로를 최단 시간에 차단하는 것. 이것이 2026년 산업 보안의 생존 조건이다.
IGLOO Corp. 2025. All rights reserved.