NIS2 지침에 맞춰 산업 인프라 보호하자

September 25, 2025

Aimee Smith

운영 기술 보안 강화를 목표로 하는 EU 규정

이미지 출처: Bashirlrshad/stock.adobe.com; AI로 생성

글: 알리스테어 위닝(Alistair Winning), 마우저 일렉트로닉스

2025년 9월 5일

혁신은 결코 멈추지 않는 법이다. 인더스트리 4.0이 자리를 잡기도 전에 인류는 이미 인더스트리 5.0을 향해 질주하기 시작했다. 그러나 인더스트리 5.0으로의 전환은 공학적 진보라기보다 철학적 진보에 가깝다. 인더스트리 4.0은 연결성, 디지털화, 빅데이터, 자동화 분야의 기술적 진보를 기반으로 하여 프로세스 최적화, 비용 절감, 품질 향상에 활용되었다.

인더스트리 5.0의 철학은 성공적인 산업 운영이 단순한 생산성 및 효율성 향상 이상의 요소를 필요로 한다는 점을 기반에 둔다. 인간 중심 설계, 지속가능성, 회복탄력성이라는 세 가지 핵심 기둥은 기업이 변화에 더욱 민첩하고 적응할 수 있도록 하는 누락된 연결고리이다. 이러한 기둥이 구현되면 직원들의 기술 및 교육 요구 사항 해결, 보다 유능한 인력 유치, 천연 자원의 더욱 효율적인 사용으로 기후 변화에 대처하는 데 이바지할 수 있으며, 공급망과 에너지 소비 관행을 재구성하여 산업을 외부 교란으로부터 더 강건해지는 등 상당한 이점이 따를 가능성이 높다.

이 글에서는 운영 기술(OT)의 관점으로 인더스트리 5.0에서 회복탄력성의 중요성에 대해 살펴본다. 특히 정보 기술(IT)이 아닌 OT 관점에서 사이버 공격에 대한 보호 및 회복탄력성에 대해 중점적으로 탐구한다.

회복탄력성

인더스트리 4.0은 개별 공정에 대한 정보 기반 의사 결정을 내리기 위해 중앙 컴퓨팅 시설에 필요한 모든 데이터를 수집했다. 이는 수십억 개의 장치를 연결해야 함을 의미했으며, 이들 중 상당수는 외부 세계에 대한 접근을 제공하도록 설계되거나 의도되지 않았다. 이러한 장치들은 물리적 공정과 산업 장비를 감독하는 비즈니스의 OT 측면의 중추를 이루었다. 이전에는 OT 시스템이 일반적으로 외부 세계와 격리되어 있었다. 인더스트리 4.0의 도래와 함께, 기업 네트워크와 클라우드 서비스에 실시간 데이터를 공급하기 위해 외부 연결성이 필요해졌다(그림 1). 확장된 연결성은 흥미로운 새로운 가능성을 제공하지만, 동시에 원래 설계자들이 전혀 의도하지 않았던 방식으로 취약성을 증가시키는 문을 열어두는데, 이는 원래 OT 시스템이 사이버보안이 아닌 신뢰성과 안전성을 제공하기 위해 개발되었기 때문이다.

그림 1: 연결된 산업 환경은 효율성 향상으로 이끌지만 사이버 공격의 새로운 경로를 열어준다. (출처: Premreuthai/stock.adobe.com; AI로 생성)

사이버 공격은 인터넷이 존재해 온 거의 모든 기간 동안 기업들에게 위협으로 작용해 왔다. 그동안 IT 업계는 숙련된 해커들조차도 무단 접근을 어렵게 만드는 도구들을 개발해 왔다. 하지만 OT 시스템에서 수십억 개의 기기가 추가되면서 새로운 공격 경로가 열렸고, 해커들은 이를 재빨리 포착했다. 사이버 보안 업체 셈페리스(Semperis)의 최근 연구에 따르면, 2024년 미국과 영국의 상하수도 및 전력 운영사 중 62%가 사이버 공격을 받았으며, 이들 기업 중 80%는 여러 차례 표적이 되었다. 또한 이 연구에서는 공격을 받지 않았다고 밝힌 기업들 역시 실제로는 침해되었을 수 있으나, 해당 조직들이 악성 활동을 탐지할 기술이나 전문성을 갖추지 못했을 가능성도 있음을 지적했다.^[1]

사이버 공격은 다양한 경로에서 발생할 수 있다. 일례로, 해커가 어항 내 스마트 온도계를 해킹하여 카지노의 IT 시스템에 침투해 10GB의 데이터를 탈취한 유명한 사건이 있었다.^[2] OT 시스템과 IT 시스템의 큰 차이점 중 하나는 OT 사이버 공격이 단순한 데이터 손실을 넘어 더 큰 위험을 초래할 수 있다는 점이다. OT 공격은 공중 보건과 안전을 위협하고, 기계와 환경을 파괴하며, 생산을 중단시킬 수 있다. 예를 들어, 한 해커가 미국 플로리다주 올즈마르(Oldsmar)에 위치한 정수장의 SCADA(감시 제어 및 데이터 수집) 시스템을 해킹하여 마을에 공급되는 정수 처리된 물에 상당량의 가성소다를 첨가하려 시도한 사례가 있다.^[3] 다행히 시설 직원들이 이 미숙한 공격을 신속히 저지했지만, 이는 보안이 취약한 OT 시스템의 위험성과 대중에게 가해질 수 있는 잠재적 위협을 부각시켰다.

보다 정교한 공격은 막기 훨씬 어려우면서도 더 큰 위험을 초래할 수 있다. 2022년에는 곤제슈케 다란데(Gonjeshke Darande)라는 단체가 이란의 한 철강 생산 시설을 대상으로 사이버 공격을 감행해 대규모 화재를 일으켰다.^[4] 이처럼 복잡한 공격은 이전에는 적대적인 국가 행위자만이 수행할 수 있다고 여겨졌다. 이러한 사이버 공격은 OT 시스템이 이제 경쟁국들의 산업 역량에 대한 하이브리드 전쟁의 일환으로 표적이 되고 있으며, 국가적 자원을 배경으로 하는 집단들에 의해 수행되고 있음을 보여준다.

이러한 공격으로 인해 국가 및 무역 단체들은 IT 시스템 관리 방식과 유사하게 OT 시스템 보안을 강화하는 방안을 모색하게 되었다. EU 네트워크 및 정보 보안 지침(NIS)(Directive (EU) 2016/1148)은 2016년 7월 유럽 의회에서 처음 채택되었으며 한 달 후 발효되었다. 이 지침은 에너지, 교통, 의료, 금융, 수자원 관리, 디지털 인프라 등 필수 서비스 운영자와 디지털 서비스 제공업체에 적용되었으며, EU 핵심 인프라 전반에 걸쳐 높은 수준의 네트워크 및 정보 시스템 보안을 달성하는 것을 목표로 했다. 해당 지침은 적용 대상 기관들이 IT 시스템을 보호하고 서비스 연속성 또는 가용성에 영향을 미치는 사고를 측정 및 보고할 것을 요구했다. 2020년 유럽 집행위원회는 NIS 지침 개정을 시작하여 NIS2(Directive 2022/2555) 법안을 마련했으며, 이는 2023년 1월에 발효되었다.^[5] 각 회원국은 2024년 10월까지 NIS2 지침을 국내법으로 제정해야 하며, 이로 인해 NIS1은 대체되었다.

NIS2는 공공 전자통신 제공업체, 추가 디지털 서비스, 폐기물 및 폐수 관리, 핵심 제품 제조, 우편 및 택배 서비스, 공공 행정, 우주 분야를 포함하여 산업 범위를 확대한다. 새로운 법안은 중견 및 대기업 모두를 포괄한다. 리스크 관리 및 사고 보고 의무를 모두 포함하며, 기업이 사이버 공격 위험을 줄이는 사전 예방적 조치를 입증하고, 중대한 사고 발생 시 24시간 이내에 보고하며, 상세한 복구 계획을 수립하도록 의무화한다. 또한 고위 경영진이 사이버 보안 규정 준수에 직접 책임을 지도록 하며, 회원국이 미준수 시 벌금 및 제재를 부과할 수 있도록 허용한다. 이 지침에는 조직이 효과적인 조치를 취했는지 확인하고 EU 전역의 사이버 보안 역량을 강화하기 위해 감독, 집행 및 자발적 동료 평가를 위한 조항도 포함되어 있다.

구현 방법

NIS2는 변경을 관리하는 주체를 대상으로 한 포괄적 법률로서, 이를 실행하는 주체에 대한 세부 사항보다는 관리 측면에 중점을 둔다. 그럼에도 불구하고, 현대 IT 사이버 보안 시스템의 모범 사례 다수는 OT 시스템 운영자에게 선제적 대응을 위한 템플릿으로 활용될 수 있다.^[6] 예를 들어, OT 시스템 보안을 위한 첫 번째 단계는 일반적으로 시스템에 무엇이 포함되어 있는지 파악하는 것이다. 수천 개의 연결된 장치가 존재할 수 있으며, 그중 상당수는 정기 유지보수 과정에서 변경 및 교체되기 때문이다. 이러한 감사를 수행하기 위해 조직은 펌웨어 세부 정보, 구성 데이터, 네트워크 식별자를 포함한 포괄적인 자산 목록을 작성해야 한다. 이후 무허가 접근을 방지하려면 제로 트러스트 아키텍처 구현이 필수적이다. OT 시스템은 다중 인증과 같은 엄격한 접근 통제를 적용해야 하며, 유지보수 업체 등 외부 관계자의 운영을 허용하기 위해 안전한 원격 접근 솔루션이 마련되어야 한다. 이러한 솔루션은 모든 상호작용을 기록하고 통제할 수 있어야 한다.

OT 환경에서의 패치 적용은 지속적인 가동 시간이 필요하기 때문에 업무 중단을 초래할 수 있으나, 이를 무시하면 시스템이 노출된다. 조직은 OT에 맞춤화된 체계적인 패치 관리 프로그램을 수립해야 하며, 배포 전 오프라인 환경에서 엄격한 테스트를 수행하고 유지보수 시간을 전략적으로 활용해야 한다. 이후 중요한 OT 자산은 방화벽 및 기타 도구를 통해 다른 시스템과 격리하여 해커가 시스템 내 다른 부분에 가할 수 있는 위협을 줄여야 한다.

OT 네트워크 보안을 강화하는 일은 움직이는 표적을 맞추는 것과 같다. 새로운 해킹 기법이 개발되고, 새로운 장치가 설치되며, 새로운 사용자가 네트워크에 접근할 수 있으므로 네트워크 보안 강화 과정은 지속적으로 이루어져야 한다. 위협에 대비하기 위해 조직 차원에서는 사전적 사이버 리스크 평가와 위협 모델링을 수행하여 취약점을 식별하고, 다양한 공격 시나리오를 시뮬레이션하며, 대응 능력을 스트레스 테스트해야 한다. IEC/ISA 62443 및 NIST SP 800-82와 같은 표준은 이러한 테스트를 체계화하고 NIS2를 문서화하는 절차에 도움을 준다.

마지막으로, 인적 요소는 보안 시스템에서 첫 번째 방어선이자 가장 큰 취약점이 될 수 있다. 모든 직원들은 위협 인식 및 대응 프로토콜을 포함한 사이버 보안 모범 사례에 대한 교육을 받아야 한다. IT 팀은 OT 팀과 NIS2 구현을 담당하는 임원진 모두에게 학습 내용을 전달해야 할 것이다.

맺음말

인더스트리 5.0이 보편화되면서 회복탄력성은 비즈니스의 필수 요소가 되었다. 과거에는 고립되어 있던 OT 시스템이 이제는 IT 네트워크와 더 넓은 디지털 생태계에 깊이 통합되었다. 이러한 통합은 새로운 기회를 창출하지만 동시에 새로운 리스크도 발생시킨다. NIS2 지침은 산업 환경에서 사이버보안을 선택적 또는 부차적인 요소로 취급해서는 안 된다고 강조한다. 엔지니어와 의사 결정권자 모두에게 있어 지금이야말로 방어 체계를 강화하고 취약점을 점검하며, 더 스마트하고 인간 중심적인 보안 전략을 구현할 때이다. 기술은 이미 존재하며 프레임워크도 마련되어 있다. 이제 선제적이고 지속적인 개선에 대한 의지가 필요하다. OT 보안에 있어 무관심의 대가는 단순한 가동 중단이 아니라, 가장 중요한 인프라의 안전성, 신뢰성, 그리고 회복탄력성 그 자체이다.