산업계의 디지털 전환과 함께 IT와 OT(운영기술) 시스템 간 융합이 가속화되며, 사이버 보안 위협에 대한 노출도 급격히 증가하고 있다. 에너지, 유틸리티, 제조, 운송 등 핵심 산업에서는 스마트 센서, 카메라, 제어 시스템 등 다양한 IoT 기반 장치가 확대되면서 공격 표면도 넓어지고 있다. 이에 따라 단순한 침입 방지 수준을 넘어, 전체 시스템 수명주기에 걸친 보안 전략 수립이 필수가 되고 있다.

글로벌 사이버 보안 기업 카스퍼스키(Kaspersky)가  VDC 리서치와 공동으로 진행한 산업 사이버보안 보고서 ‘OT 환경 보호를 위한 특화 솔루션 전략(Securing OT with Purpose-built Solutions)’를 발표했다. 이번 조사는 에너지, 유틸리티, 제조, 운송 산업에 종사하는 250여 명의 의사결정자를 대상으로 이뤄졌으며, OT 환경의 보안 동향과 위협 대응 실태를 분석했다.

보고서에 따르면 산업 시설의 7.4%는 ‘필요할 때만’ 취약점에 대응하고 있으며, 16.7%는 연 1~2회에 그치는 것으로 조사됐다. 또한, 27.1%만이 월간 단위로 취약점 평가를 수행하고 있었으며, 48.4%는 몇 개월 간격으로만 보안 평가를 진행하고 있는 것으로 나타났다. 이는 기업이 예기치 않은 가동 중단, 생산 손실, 사이버 침해로 인한 평판 손상과 재정적 피해에 노출될 가능성이 크다는 것을 보여준다.

취약점 대응 미흡... 위험 가중

많은 산업 기업들이 정기적인 침투 테스트나 취약점 평가를 하지 않음에 따라, 보안 대응의 불규칙성이 증가하고 있다. 이는 점점 더 복잡해지고 정교해지는 사이버 위협 환경 속에서 기업의 보안 취약성을 키우는 요인이 되고 있다.

효과적인 사이버보안 전략은 자산의 가시성 확보에서 시작된다. 이는 보호해야 할 핵심 자산을 파악하고, 리스크가 높은 영역을 식별하는 기반이 된다. 특히 IT와 OT가 융합된 환경에서는 단순한 자산 목록만으로는 충분하지 않으며, 운영 현실에 맞춘 위험 평가와 관리 전략이 요구된다.

이러한 상황에서 기업은 명확한 자산 정의와 함께, 취약점이 실제로 발생할 수 있는 물리적·사이버 영향을 종합적으로 고려한 실질적인 리스크 평가 체계를 구축해야 한다. 이를 통해 시스템 운영 중단이나 장비 손실 같은 피해를 미연에 방지할 수 있다.

패치 관리 부실, 보안 공백 확대

카스퍼스키 보고서에 따르면, 산업 기업의 패치 관리 실태는 보안 공백을 심화시키는 주요 원인으로 작용하고 있다. 전체 응답자 중 31.4%만이 월간 패치 업데이트를 시행하고 있으며, 46.9%는 몇 개월에 한 번씩만 패치를 적용하고 있다. 심지어 12.4%는 연 1~2회만 보안 업데이트를 진행하는 것으로 나타났다.

패치 적용을 위한 운영 중단 시간 확보의 어려움은 OT 시스템 특성상 더욱 두드러진다. 공급업체별 불규칙한 패치 주기, OT 기기의 제한된 가시성, 높은 기술 전문성 요구, 규제 준수 문제 등이 복합적으로 작용해, 패치 적용이 제때 이뤄지지 않는 경우가 많다.

패치 지연은 공격자가 시스템의 알려진 취약점을 악용할 수 있는 시간을 늘리는 결과를 초래한다. 이는 곧 산업설비의 장애, 데이터 유출, 장비 손상 등 물리적·재정적 손실로 이어질 수 있다. 따라서 OT 환경에 특화된 패치 관리 전략 수립과 솔루션 도입이 필요하다.

OT 보안 전략, ‘설계기반 보안’ 전환 필요

카스퍼스키는 산업 고객을 위해 전문 OT 등급 기술과 전문가 지식, 고도화된 보안 솔루션을 통합한 생태계를 제공하고 있다. 핵심 제품인 KICS(Kaspersky Industrial Cybersecurity)는 중앙 집중식 자산 및 위험 관리, 감사 기능을 지원하는 네이티브 XDR 플랫폼으로, OT 전반의 보안 확장을 가능케 한다.

카스퍼스키는 새로운 OT 시스템 도입 시 ‘설계 기반 보안(Secure by Design)’ 원칙을 적용할 것을 권장하고 있으며, 이는 보안이 사후 대응이 아닌 초기 설계 단계에서부터 통합되어야 함을 의미한다. 특히 카스퍼스키는 ‘사이버 이뮤니티(Cyber Immunity)’ 접근법을 통해, 알려지지 않은 취약점에도 견딜 수 있는 시스템을 구현하고 있다.

카스퍼스키OS 사업부장 드미트리 루키얀은 “사이버 이뮨(Cyber Immune) 제품은 지속적인 패치나 외부 보안 계층에 의존하지 않으며, 유지보수 간소화와 보안 성능을 동시에 제공한다”라고 밝혔다. 이는 고객의 총 소유 비용을 줄이면서도 보안 역량은 강화할 수 있는 방향이다.

카스퍼스키 아시아태평양 총괄 아드리안 히아는 “강력한 보안 시스템은 예기치 않은 운영 중단이나 재고 손실 등 중대한 위협으로부터 기업을 보호한다”며, “사이버보안 복원력을 강화하는 것이 디지털 경제에서의 경쟁력 확보에 필수”라고 밝혔다.

카스퍼스키코리아 이효은 지사장은 “한국 기업은 지능형 운영과 복원력 있는 아키텍처를 통합함으로써 IT/OT 융합 환경의 사이버보안에서 새로운 기준을 만들어가고 있다”고 말했다. 그는 이어 “기존의 수동 대응 모델에서 벗어나 전문 OT 보안 솔루션을 통한 수명주기 전반의 보호 전략이 필요하다”고 강조했다.

카스퍼스키는 카스퍼스키OS 기반의 사이버 이뮨 제품을 통해 기업이 추가적인 보안 비용 없이도 시스템 복원력을 확보하고, 전체 사이버보안 비용을 절감할 수 있도록 지원하고 있다. 이러한 방향은 장기적으로 산업 전반의 보안 체계 성숙도 향상에 기여할 전망이다.