사이버 보안이 디지털 산업 운영의 핵심 과제로 부상하면서, 산업 제어 시스템(ICS) 보안의 중요성도 크게 부각되고 있다. 정보기술(IT) 영역의 보안 체계는 성숙 단계에 도달했지만, 운영기술(OT) 기반의 산업 환경은 여전히 보안 통합이 미흡한 상태다. ICS 보안이 뒤처져 있는 배경에는 고비용과 장기적 장비 수명 주기, 복잡한 환경 특성이 있으며, 최근에는 하드웨어 기반 보안 내재화 요구가 확대되면서 '보안 설계(Secure-by-Design)' 방식이 새로운 기준으로 떠오르고 있다.

산업 보안, IT보다 10~15년 뒤처져

글로벌 기술 정보 기업 ABI 리서치(ABI Research)가 산업 제어 시스템 내 사이버 보안 통합의 필요성을 강조하며, 현재 ICS 보안 성숙도가 IT 대비 10~15년 뒤처져 있다고 분석했다. 보안 하드웨어 내장은 많은 산업 조직의 우선순위에서 밀려 있으며, 네트워크 수준에서 규정 준수를 맞추는 방식이 현재까지는 현실적인 대안으로 여겨지고 있다.

미켈라 멘팅(Michela Menting) ABI 리서치 수석 연구 책임자는 “보안 ICS 구축은 시간과 비용이 많이 소요되며, 즉각적인 하드웨어 교체가 필요하지 않은 네트워크 수준 접근 방식이 단기적으로 더 실용적이다”라고 설명했다. 그는 산업 조직이 점차적인 규제 대응을 위해 통합 보안을 고려해야 한다고 덧붙였다.

보안 설계와 임베디드 보안 도입 확산

규제 강화와 함께 ICS 보안은 '보안 설계(Secure-by-Design)' 방식으로의 전환을 요구받고 있다. 이는 신뢰할 수 있는 하드웨어 및 소프트웨어 구성요소 기반의 보안 구현을 의미하며, 소프트웨어 구성 명세서(SBOM) 요건과 공급망 책임성 확보가 중심에 있다. 장기적으로는 임베디드 보안이 시장의 주요한 동력으로 작용할 것으로 전망된다.

ICS의 장기 수명 특성상 기존 장비가 교체되는 시점에 보안 기능을 탑재한 장비에 대한 수요가 자연스럽게 확대될 것으로 보인다. 이에 따라 하드웨어 신뢰 루트(Root of Trust), 보안 부팅, 신뢰 실행 환경(TEE), 보안 통신 기능을 포함한 보안 마이크로컨트롤러 시장이 성장할 것으로 예상된다.

지멘스(Siemens), 바흐만(Bachmann), HMS 등 주요 ICS 제조업체는 이미 하드웨어 기반 보안 설계 방법론을 도입하고 있으며, 물리적 장비의 소프트웨어 계층까지 포함하는 통합 보안 기능을 제공하고 있다. 이러한 전략은 보안 내재화 추세에 대응하는 대표적인 사례다.

한편, 베리디파이 시큐리티(Veridify Security)는 포스트퀀텀 보안 프로토콜을 지원하는 산업용 소프트웨어 툴을 개발 중이며, RDDL은 블록체인 기술을 마이크로그리드 등 물리적 자산에 적용하는 방식을 통해 신뢰 구조를 확장하고 있다. 보안 요소 공급업체인 트로픽 스퀘어(Tropic Square)도 이와 협력해 하드웨어 기반 신뢰 구축을 지원하고 있다.

이러한 움직임은 ICS 보안의 내재화에 대한 산업계의 장기적인 전환을 반영한다. 통합 보안에 대한 수요가 증가함에 따라, ICS 및 OT 환경 전반에 걸쳐 신뢰 기반의 연결 구조가 강조되고 있다. 이러한 환경은 궁극적으로 제로 트러스트 아키텍처 구현을 위한 기반이 될 것으로 보이며, 산업계는 이를 통해 더욱 견고한 보안 체계를 구축할 수 있을 것으로 전망된다.