[온에어] 제조 산업에서의 사이버 보안과 위기 상황 대응 방안
캐드앤그래픽스 지식방송CNG TV 지상 중계
제조 현장이 빠르게 디지털화되면서 보안의 무게중심이 '장비'에서 '프로세스'로 이동하고 있다. CNG TV는 '제조 산업에서의 사이버 보안과 위기 대응'을 주제로 9월 29일 웨비나를 열고, 코어시큐리티 한근희 부사장(연구소장)을 초청해 산업제어(OT/ICS) 보안의 실제 쟁점과 글로벌 규제 흐름, 그리고 기업이 당장 취해야 할 실행 전략을 짚었다. 자세한 내용은 다시보기를 통해 확인할 수 있다. ■ 박경수 기자
▲ 디지털지식연구소 조형식 대표, 코어시큐리티 한근희 부사장 겸 연구소장
보안의 중심, 장비에서 ‘프로세스’로
제조 산업의 디지털 전환이 가속화되면서 보안의 개념이 바뀌고 있다. 이제는 방화벽이나 장비를 추가하는 수준이 아니라, 설계부터 폐기까지 전 수명주기(SDLC/TPLC) 속에 보안을 내재화하는 것이 핵심이다. 이날 웨비나에 발표자로 참여한 코어시큐리티 한근희 부사장 겸 연구소장은 "보안은 제품이 아니라 프로세스"라고 강조하며, 기업이 단계별로 구축해야 할 보안 전략에 대해 설명했다.
코어시큐리티는 사이버 레인지(공격·방어 실전훈련), 산업제어(OT/ICS) 보안 컨설팅, 가상자산 추적 솔루션, 공공기관 실태조사 대응 등 4개 사업을 주축으로 운영 중이다. 특히 KISA(한국인터넷진흥원)와 해군 사이버훈련장 구축 사례를 통해, 단순한 장비 투자가 아니라 실전형 보안훈련과 프로세스 체계화가 중요함을 보여줬다. 한근희 부사장은 "이제 모든 제어 기기가 네트워크에 연결되어 있다. 연결은 곧 위험이다. 제어시스템의 보안은 선택이 아니라 생존이다"라고 설명했다.
최근 국가정보자원관리원의 화재 사고를 비롯해 조선소 도면 유출 등 연쇄적인 보안사고는 경고 신호다. 과거에는 사고가 터지면 보안팀장을 문책했지만, 지금은 CEO의 의사결정과 예산 배분이 핵심 변수로 떠오르고 있다. '보안은 이제 보안팀의 일이 아니라 CEO의 일'이라는 인식 전환이 절실하다.
보안은 제품이 아닌 프로세스다
한근희 부사장은 보안을 '연결된 공정'으로 설명했다. 첫째, 교육과 인식 강화를 프로젝트 발족 초기 단계의 최우선 예산으로 설정해야 한다. 둘째, 법·규격 요구를 기반으로 한 보안 요구사항(SRS)을 문서화한다. 셋째, Security by Design 원칙 아래 설계 단계에서 보안을 내재화해야 한다. 패스워드리스 구조, 3요소 이상 MFA(다중 인증) 설계 등이 대표적인 예다. 넷째, 설계 요구를 충실히 코드에 반영해 보안 코딩을 수행하고, 다섯째, 퍼징 테스트·모의침투(V&V)로 검증한다. 여섯째, 악성 주입 방지와 안전한 릴리즈 프로세스를 마련하고, 마지막으로 사고 대응(IR) 절차를 통해 회복력을 확보해야 한다. 한근희 부사장은 "해킹은 막을 수 없다는 전제를 인정해야 한다. 하지만 신속히 복구되는 프로세스를 갖추면 피해를 통제할 수 있다"고 강조했다.
국제 표준 준수는 더 이상 선택이 아니다. 경영회의에 보안 KPI를 상정하고, 자사 제품을 NIS2·CRA·SSDF·IEC 62443 등과 교차 매핑하며, SRS–설계 가이드–테스트 플랜–사고 대응 매뉴얼을 주기적으로 갱신해야 한다. 벤더 계약에는 SBOM(소프트웨어 자재 명세서) 제출 및 취약점 24시간 통보 의무를 삽입하고, 연 1회 이상 레드팀/블루팀 실전훈련으로 회복탄력성을 점검해야 한다.
이번 웨비나를 통해 '보안의 답은 거창한 장비가 아니라, 잘 설계된 프로세스다'라는 점이 좀 더 명확해졌다.
■ 기사 내용은 PDF로도 제공됩니다.
작성일 : 2025-11-04
