캐드앤그래픽스 지식방송CNG TV 지상 중계   제조 현장이 빠르게 디지털화되면서 보안의 무게중심이 '장비'에서 '프로세스'로 이동하고 있다. CNG TV는 '제조 산업에서의 사이버 보안과 위기 대응'을 주제로 9월 29일 웨비나를 열고, 코어시큐리티 한근희 부사장(연구소장)을 초청해 산업제어(OT/ICS) 보안의 실제 쟁점과 글로벌 규제 흐름, 그리고 기업이 당장 취해야 할 실행 전략을 짚었다. 자세한 내용은 다시보기를 통해 확인할 수 있다. ■ 박경수 기자    ▲ 디지털지식연구소 조형식 대표, 코어시큐리티 한근희 부사장 겸 연구소장   보안의 중심, 장비에서 ‘프로세스’로 제조 산업의 디지털 전환이 가속화되면서 보안의 개념이 바뀌고 있다. 이제는 방화벽이나 장비를 추가하는 수준이 아니라, 설계부터 폐기까지 전 수명주기(SDLC/TPLC) 속에 보안을 내재화하는 것이 핵심이다. 이날 웨비나에 발표자로 참여한 코어시큐리티 한근희 부사장 겸 연구소장은 "보안은 제품이 아니라 프로세스"라고 강조하며, 기업이 단계별로 구축해야 할 보안 전략에 대해 설명했다. 코어시큐리티는 사이버 레인지(공격·방어 실전훈련), 산업제어(OT/ICS) 보안 컨설팅, 가상자산 추적 솔루션, 공공기관 실태조사 대응 등 4개 사업을 주축으로 운영 중이다. 특히 KISA(한국인터넷진흥원)와 해군 사이버훈련장 구축 사례를 통해, 단순한 장비 투자가 아니라 실전형 보안훈련과 프로세스 체계화가 중요함을 보여줬다. 한근희 부사장은 "이제 모든 제어 기기가 네트워크에 연결되어 있다. 연결은 곧 위험이다. 제어시스템의 보안은 선택이 아니라 생존이다"라고 설명했다. 최근 국가정보자원관리원의 화재 사고를 비롯해 조선소 도면 유출 등 연쇄적인 보안사고는 경고 신호다. 과거에는 사고가 터지면 보안팀장을 문책했지만, 지금은 CEO의 의사결정과 예산 배분이 핵심 변수로 떠오르고 있다. '보안은 이제 보안팀의 일이 아니라 CEO의 일'이라는 인식 전환이 절실하다.   보안은 제품이 아닌 프로세스다 한근희 부사장은 보안을 '연결된 공정'으로 설명했다. 첫째, 교육과 인식 강화를 프로젝트 발족 초기 단계의 최우선 예산으로 설정해야 한다. 둘째, 법·규격 요구를 기반으로 한 보안 요구사항(SRS)을 문서화한다. 셋째, Security by Design 원칙 아래 설계 단계에서 보안을 내재화해야 한다. 패스워드리스 구조, 3요소 이상 MFA(다중 인증) 설계 등이 대표적인 예다. 넷째, 설계 요구를 충실히 코드에 반영해 보안 코딩을 수행하고, 다섯째, 퍼징 테스트·모의침투(V&V)로 검증한다. 여섯째, 악성 주입 방지와 안전한 릴리즈 프로세스를 마련하고, 마지막으로 사고 대응(IR) 절차를 통해 회복력을 확보해야 한다. 한근희 부사장은 "해킹은 막을 수 없다는 전제를 인정해야 한다. 하지만 신속히 복구되는 프로세스를 갖추면 피해를 통제할 수 있다"고 강조했다. 국제 표준 준수는 더 이상 선택이 아니다. 경영회의에 보안 KPI를 상정하고, 자사 제품을 NIS2·CRA·SSDF·IEC 62443 등과 교차 매핑하며, SRS–설계 가이드–테스트 플랜–사고 대응 매뉴얼을 주기적으로 갱신해야 한다. 벤더 계약에는 SBOM(소프트웨어 자재 명세서) 제출 및 취약점 24시간 통보 의무를 삽입하고, 연 1회 이상 레드팀/블루팀 실전훈련으로 회복탄력성을 점검해야 한다. 이번 웨비나를 통해 '보안의 답은 거창한 장비가 아니라, 잘 설계된 프로세스다'라는 점이 좀 더 명확해졌다.     ■ 기사 내용은 PDF로도 제공됩니다.

파수가 OT 보안 전문기업 파로스네트웍스를 인수하고 OT(운영기술) 보안 시장에 본격 진출한다고 밝혔다. 파수는 차별화된 역량과 노하우를 갖춘 파로스를 기반으로 중요도가 높아지고 있는 OT 보안 시장을 개척해 나갈 계획이다. OT 보안은 제조, 에너지, 운송 산업 등의 장비, 시설 등 물리적 인프라를 관리하는 OT 시스템을 안전하게 보호하는 것을 목표로 한다. ICS(산업제어시스템) 등을 포함한 OT 시스템이 공격받으면 공장이나 발전소가 멈추거나 오작동할 수 있어 막대한 경제적, 인적, 환경적 피해를 초래할 수 있다. 과거 폐쇄적으로 운영되던 OT 시스템은 디지털 전환의 확산으로 IT 시스템과 연결되면서 사이버 공격에 노출될 위험성이 높아졌다. 실제 최근 대형 제조기업 및 국가기반시설을 대상으로 사이버 공격이 급증함에 따라, EU는 강력한 징벌적 과징금을 부여하는 ‘네트워크 및 정보 시스템 지침2(NIS2)’을 제정했으며 국내에도 관련 법제화의 목소리가 높아지고 있다. 파수가 인수한 파로스는 OT 보안 솔루션 컨설팅 전문업체로 15년 이상의 노하우를 기반으로 국내 초대형 공장 등을 포함한 다수의 대기업 고객과 구축 사례를 보유하고 있다. 특히 단순한 OT 보안 솔루션 공급을 넘어 구축부터 운영, 안정화까지 OT 보안을 도입하고 적용하기 위한 전 과정을 지원하는 역량과 레퍼런스를 갖췄다.     파수는 최근 기업용 LLM ‘엘름(Ellm)’을 출시하며 기업용 생성형 AI 시장에 뛰어든 데 이어, 이번에 파로스 인수를 통해 OT 보안까지 사업을 확장하게 됐다. 특히 국내도 OT 보안 의무화의 가능성이 점차 높아짐에 따라 관련 수요도 급증할 것으로 예상돼, OT 보안이 AI 사업과 함께 파수의 새로운 성장동력이 될 수 있을 것이라 기대된다. 파수는 파로스의 역량과 노하우를 기반으로 개화하는 OT 시장을 선점할 수 있도록 다양한 서비스를 개발할 예정이다. 파수의 조규곤 대표는 “IoT와 IIoT(산업용 사물 인터넷), 스마트 공장과 산업 자동화 등 운영 시스템이 급속도로 고도화되면서 OT 보안의 필요성도 커지고 있다”면서, “하지만 IT 시스템과는 전혀 다른 독립적인 프로토콜과 운영 환경 등으로 보안 적용이 늦어지고 있으며, 특히 국내는 전문성과 노하우의 부족으로 OT 보안 도입에 어려움을 겪고 있다”고 설명했다. 또한, “파수의 일원이 된 파로스는 구축부터 운영, 안정화에 이르는 독보적인 OT 보안 역량과 레퍼런스를 갖췄다”며, “파수와 파로스의 시너지를 기반으로 급성장이 기대되는 OT 보안 시장을 이끌어 나갈 수 있도록 노력하겠다”고 덧붙였다.