[데이터넷] IT 보안에 대한 기술과 투자가 그동안 많이 이뤄졌기 때문에 IT 보안에 대한 인식은 상당히 높은 편이다. 그래서 사이버 공격자들은 대비가 잘 되어 있는 IT 대신 공격이 쉽고 높은 수익을 얻을 수 있는 OT로 공격을 전환하고 있다. 그러나 OT 보안은 아직 전 사회적으로 심각성을 체감하지 못하고 있기 때문에 OT 보안에 대한 관심과 투자가 매우 더디게 진행되고 있는 상황이다.

우리나라 정부와 기관은 인더스트리4.0 시대를 위한 스마트 팩토리와 스마트시티 등 디지털 혁신 사업을 드라이브하고 있지만, 북미나 유럽의 선진국가들에 비해 OT 보안 인식 수준은 미흡한 것이 사실이다. 국내 대기업을 중심으로 OT 보안의 중요성을 이해하고 대책을 마련하고 있지만, 극히 일부에 지나지 않는 상황이다.

OT 보안 인식·준비 부족

최근 사이버 공격이 IT 영역에서 OT 영역으로 전환되고 있으며, 그 피해사례도 늘어나고 있다. 그러나 아직도 많은 기업과 기관의 보안담당자들이 IT 보안과 OT 보안의 차이에 대해 알지 못하며, OT라는 용어조차 생소하게 느끼고 있다. 특히 OT 보안 사고가 발생한다 해도 기업·기관이 극도로 언론을 통제해 외부에 공개되지 않기 때문에 심각성에 대한 사회적 공감이 떨어진다.

제조업이 강한 우리나라에서 디지털 혁신이 미래 성장의 중요한 기반이며, 지속적으로 투자해야 한다. 그러나 그 속도만 강조하다보니 반드시 갖춰야 할 OT 보안에 대비를 못하고 있다. 일부 대기업들이 OT 보안에 대해 인식하고 준비하고 있으나, 대부분의 중견·중소기업은 심각성을 이해하기 어렵고, 이해했다고 해도 투자 여력이 없는 상황이다.

미국의 경우, OT 분야에 대한 사이버공격의 위험성을 정부가 먼저 인식하고 강력한 보안 정책을 드라이브하고 있다. 한 기업이나 기관에 대한 OT 공격에 의한 피해는 그 기관이나 기업에 국한된 것이 아니라, 그 지역 민간인들에 대한 직간접적인 인적·물적 피해로 이어질 수 있다는 것을 인식하고, 정부가 나서서 기업 및 기관들에 대해 OT 보안을 위한 행정명령을 내렸다.

만일 한 기업이 OT 보안을 갖추지 않은 상황에서 사이버공격의 피해를 당한 경우, 그 기업은 해커가 요구하는 비용을 지불해야 하는 리스크외에도, 정부로부터 막대한 벌금을 부과받기 때문에 이중의 금전적인 손실을 각오해야한다. 그래서 많은 기업들이 OT 보안 환경을 갖추고 있다.

특히 향후 글로벌 기업이 한국 기업에 발주를 줄 때, 하청 기업의 생산 설비에 OT 보안 솔루션을 갖추고 있는지를 요구할 것으로 예상되는데, 미리 대비하고 있지 않으면 국내 기업의 경쟁력이 급강하할 수밖에 없다.

우리나라는 OT 보안에 대한 인식이 부족한 상황이라 사이버공격의 피해가 고스란히 민간에 전가될 위험이 있다. 따라서 정부는 각 기업과 기관이 OT 보안에 대한 중요성을 인식하고 있는지에 대한 점검을 시급히 진행해야 하며, OT 보안 투자 여력이 없는 중견· 중소기업에 대한 지원 방안을 고민해야 한다.

OT 보안 조직 미비와 인력 부족

우리나라에는 OT 보안에 대응할 수 있는 기술인력이 매우 적다. OT 보안은 기존의 IT보안과는 여러모로 다른 영역이기 때문에 기존의 IT 인력이 이해하기 어렵다. 국내 SI·보안 회사들도 OT 보안 분야의 사업성과 미래 시장성을 인지하고 조직과 인력 보강에 나서고 있으나, 대부분 IT 보안 분야 인력으로서 OT 보안 전문 인력은 극히 희소한 상황이다.

OT 보안 솔루션의 특성상 OT 보안 전문 인력은 기본적인 IT 보안 지식에 더불어 네트워크보안 지식과 ICS/DCS 프로토콜을 이해해야 하며 공장이나 설비의 운영 지식까지도 갖춰야 하므로 이런 인력을 찾기 쉽지 않다.

OT 보안 전문인력 양성을 위해 대학에서 관련 학과를 만드는 것이 중요하지만, OT 보안을 지도할 교수진조차 충분하지 않은 상황이다. 기관·기업에서 OT 보안 전문가 고용을 늘리면 인력양성에도 속도가 붙을 것으로 보이지만, 대부분의 기업· 기관은 IT와 OT 조직이 철저히 분리돼 있으며, IT 보안과 OT 관리조직의 친밀도도 낮은 편이어서 OT 보안 전문가 혹은 전문 조직을 만들기 위한 합의를 이끌어내기도 쉽지 않다.

OT 보안 전문조직을 만들기 위해서는 IT보안 조직과 공장설비 운영관리 조직의 통합이 필요하지만, 국내에서 이러한 조직을 운영하고 있는 곳은 거의 없는 실정이다. 그래서 OT 보안 사고 발생 시 전담조직이 없으며, 체계적으로 대응하기 어렵다. OT 보안을 위해 전문솔루션을 도입한다 해도 운영할 주체를 정하기가 어렵다는 문제도 있다.

기업·기관에서 OT 보안 사고가 터질 경우 그 책임 소재가 불분명하면, 신속하고 명확한 대응이 어려울 수 있다. IT 조직에서 그 책임을 떠안을 가능성이 크지만, OT에 대한 전문적인 이해가 없는 IT 조직에서 OT 보안 사고에 대처하는데 한계가 있다.

따라서 기업·기관은 경영진을 주축으로 OT 보안 전담인력· 조직을 만들거나 IT 보안 혹은 OT운영조직이 OT 보안 전문성을 갖도록 지원해야 한다. OT 보안 전담조직의 필요성을 설명하고 인력 양성을 위해 나서야 한다.

데이터넷 다른기사 보기