OT 사이버보안: IT/OT 융합과 AI가 보안 아키텍처를 어떻게 변화시키고 있나?

 

• 산업 경영진들은 AI와 IT/OT 융합을 가장 유망한 미래 발전으로 자주 꼽지만, 이 기술들은 해커들의 공격 범위가 확대되고 구조가 복잡해집니다.
• IoT Analytics의 OT 사이버보안 인사이트 보고서(2026년)은 IT/OT 융합과 AI 통합이 OT 보안에 영향을 미치는 동향을 확인할 수 있는데 여기에서는 다섯 가지를 살펴보기로 합니다.

 

트렌드 1. 하이브리드(중앙-분산) 보안 아키텍처로의 전환

 

복원력 및 관리 감독을 개선하는 하이브리드 보안 설계

 

산업 분야의 조직들은 단일 구조의(Monolithic) 보안 모델에서 벗어나, 더 높은 회복 탄력성을 갖춘 하이브리드 설계로 전환하고 있습니다. 이러한 접근 방식은 폐쇄망(Air-gapped) 기반의 노후 장비와 최신 연결 시스템이 공존하는 현대 산업 환경에 필수적입니다. 이 모델은 광범위한 위협 탐지를 위한 중앙 집중식 클라우드 가시성의 장점과, 운영 무결성을 위한 분산형 현장 보호의 필요성을 결합한 형태입니다.

 

사례: Fortinet의 OT 보안 플랫폼

미국 소재의 사이버 보안 및 네트워킹 전문 기업인 포티넷(Fortinet)의 OT 보안 플랫폼(2025년 3월 최신 업데이트 기준)은 중앙 집중식 감시와 국소적 보호를 결합한 하이브리드 모델을 채택하고 있습니다. 로컬 방화벽과 마이크로 세그멘테이션(Microsegmentation) 기술은 자산을 격리하여 공격자의 측면 이동(Lateral movement)을 차단하고 보안 사고의 확산을 방지합니다. 또한, 이 플랫폼은 포티게이트(FortiGate) 차세대 방화벽을 핵심 보안 집행 계층(Enforcement layer)으로 통합하고, 이를 포티스위치(FortiSwitch)와 연동합니다. 포티넷 측 설명에 따르면, 이러한 구성을 통해 기업용 IT 네트워크와 산업용 시스템 사이의 트래픽을 분리하고 보호할 수 있으며, 결과적으로 PLC(전력선 통신/프로그래머블 로직 컨트롤러)나 HMI(휴먼 머신 인터페이스)와 같은 핵심 자산을 안전하게 보호할 수 있습니다.

 

트렌드 2. 제로 트러스트 마이크로세분화의 부상

 

제로 트러스트(ZT) 마이크로 세그멘테이션을 통한 레거시 시스템 리스크 감소

 

제로 트러스트 마이크로 세그멘테이션은 현대 OT 보안의 초석으로 빠르게 자리 잡고 있습니다. 이는 기존의 정적인 네트워크 경계 중심 보안을 넘어, 핵심 자산 주변에 논리적으로 정의된 통신 경계를 구축하는 동적인 소프트웨어 정의(Software-defined) 접근 방식입니다.

특히 이 방식은 일반적인 업데이트를 통해 취약점을 해결할 수 없는 레거시 및 패치 불가 장치를 보호하는 데 필수적입니다. 조직들은 단순히 패치에만 의존하는 대신, 통신 주체와 대상을 논리적으로 제어하고 강제함으로써 공격 표면(Attack surface)을 획기적으로 줄이고 있습니다.

 

사례: 지멘스(Siemens) SINEC Secure Connect 플랫폼

독일의 산업 자동화 전문 기업 지멘스가 2025년 10월 출시한 SINEC Secure Connect 플랫폼은 기존의 물리적 인프라 위에 가상 오버레이 네트워크(Virtual Overlay Network)를 구축합니다. 이 방식은 실제 물리적 배선이나 네트워크 토폴로지(구성 형태)를 전혀 변경하지 않고 그대로 유지하는 것이 특징입니다.

이를 통해 보안 팀은 하부 네트워크를 수정할 필요 없이 장치, 애플리케이션 또는 데이터 흐름별로 액세스를 제한하는 등 세밀한(Granular) 정책 제어를 정의하고 강제할 수 있습니다. 지멘스는 이러한 마이크로 세그먼트 생성을 통해, 공장 내 측면 이동을 줄이고 공격자가 해킹 시스템에서 다른 핵심 자산으로 이동하는 것을 사실상 불가능하게 만드는 OT 보안의 최우선 목표를 직접적으로 해결한다고 설명합니다.

 

트렌드 3. IT/OT 융합에서 방화벽의 지속적인 중요성

 

세그멘테이션 및 OT 프로토콜 제어를 수행하는 산업용 방화벽

 

방화벽은 여전히 핵심적인 보안 통제 계층이며, 특히 퍼듀 모델(Purdue Model)의 3.5 계층에 위치한 IT/OT 접점에서 그 역할이 두드러집니다. 오늘날의 산업용 방화벽은 단순한 차단벽 역할을 넘어 네트워크 세그멘테이션, Modbus 및 Profinet과 같은 OT 전용 프로토콜에 대한 심층 패킷 분석(DPI), 그리고 제로 트러스트(ZT) 체계 내에서의 정책 집행을 수행하는 정교한 도구로 진화했습니다.

 

이러한 방화벽은 기업용 네트워크와 산업용 네트워크 간의 트래픽을 엄격히 통제하는 격리 구역(Isolation zones)을 설정하여, 승인되지 않은 측면 이동을 방지하는 다각적인 역할을 수행합니다. 또한 이는 운영 중단을 막기 위한 필수적인 요소이기도 합니다.

 

사례: Cancom의 NIST 및 IEC 표준 준수 방화벽 참조 아키텍처

2025년 IT-SA 전시회에서 독일의 하이브리드 IT 서비스 제공업체인 Cancom은 계층화된 방화벽이 OT 아키텍처 전반에서 어떻게 규정에 맞는 데이터 흐름을 강제하는지 시연했습니다. 기본 방화벽은 4~5계층(클라우드 및 기업 IT)과 3.5계층(OT DMZ) 사이에 위치하여 검증되고 정책을 준수하는 데이터만 OT 시스템으로 진입하도록 보장합니다. 또한 엣지(Edge) 및 필드(Field) 장치를 포함한 하위 계층에는 추가 방화벽을 배치하여 세그멘테이션을 수행하며, 이는 NIST 800-82 및 IEC 62443과 같은 글로벌 표준과 궤를 같이합니다.

 

트렌드 4. OT 보안에서 AI의 역할 확대

 

AI를 통한 OT 이상 징후 탐지 및 대응 효율화

 

AI는 OT 보안 워크플로우의 핵심 요소로 자리 잡고 있습니다. 특히 수많은 알림 속에서 의미 있는 정보를 선별하고, 사고 조사를 가속화하며, IT와 OT 경계를 넘나드는 미세한 이벤트들 간의 연관성을 분석하는 능력이 높게 평가받고 있습니다. AI 기반 도구들은 현장 설비와 기업 네트워크 양쪽에서 발생하는 복잡한 데이터 스트림의 분석을 자동화함으로써, 업무 과중에 시달리는 보안 팀을 지원하고 있습니다.

 

OT 보안 분야에서 AI가 활용되는 주요 영역:

 

l 네트워크 행동 프로파일링: 정상적인 운영 상태를 기준으로 베이스라인(Baseline)을 구축하고, 비정상적이거나 승인되지 않은 장치의 동작을 즉각적으로 식별합니다.

 

l 데이터 통합 분석: 공장 현장의 데이터와 광범위한 IT 보안 신호를 연관 분석하여 감시 사각지대를 줄이고, 두 영역을 교차하여 발생하는 공격을 포착합니다.

 

l 대응 절차 가이드: AI 어시스턴트가 알림 내용을 해석하고 근본 원인을 추정하며, 가동 중단 리스크를 고려한(Production-aware) 안전한 조치 방안을 추천하여 운영자의 의사결정을 돕습니다.

 

사례: 크라우드스트라이크(CrowdStrike)의 '샬럿(Charlotte) AI'

미국 소재의 사이버 보안 기업인 크라우드스트라이크는 퍼듀 모델의 2계층(Purdue Level 2)까지 가벼운 경량 에이전트(Lightweight agents)를 배치하고, 에이전트 설치가 어려운 하위 계층 장치에는 신중한 방식의 네트워크 조사(Network probing) 기술을 결합하여 적용합니다. 이렇게 수집된 원격 측정 데이터(Telemetry)는 '엔터프라이즈 그래프(Enterprise Graph)'로 전송되며, 샬럿 AI가 이를 처리합니다. 샬럿 AI는 알림의 우선순위를 분류하고, 취약점의 악용 가능성을 평가하며, 다음 대응 조치를 권고하는 등의 에이전틱 대응을 제공합니다. 이들의 철학은 엔드포인트 탐지 및 대응(EDR), 취약점 관리, 공격 경로 분석 전반에 걸쳐 데이터를 한 번 수집하여 재사용하고 재활용하는 것입니다.

 

 

트렌드 5. OT에서 AI 워크로드 확보에 대한 새로운 집중

 

모델 수준의 보안 통제가 필요한 AI 기반 운영

 

AI 모델이 물리적 공정과 더 밀접한 곳에 배치됨에 따라, AI 워크로드 그 자체를 보호해야 한다는 새로운 보안 패러다임이 등장하고 있습니다. AI가 운영상의 의사결정에 영향을 미치거나 이를 자동화하기 시작하면, 보안 경계는 AI 모델과 학습 데이터, 그리고 AI에 허용된 자율적 조치 권한까지 관리할 수 있도록 확장되어야 합니다. OT 환경 내에서 보호되지 않은 AI 시스템은 운영 및 안전 측면에서 심각한 리스크를 초래할 수 있습니다.

 

주요 위협으로는 공격자가 입력 데이터를 조작해 모델의 출력 결과를 오염시키는 데이터 포이즈닝(Data poisoning)과, 장악된 AI가 안전하지 않은 동작을 유발하는 모델 오용등이 있습니다. 이러한 변화는 보안 통제에 대한 새로운 사고방식을 요구합니다. 즉, 위협으로부터 시스템을 보호하는 단계를 넘어, AI의 권한과 허용 범위를 통제하고 관리하는 방향으로 나아가야 합니다.

 

 

OT 사이버보안 인사이트 보고서(2026년)은 IT-SA 2025 유럽 최대 사이버보안 컨퍼런스 및 전시회에서 관찰과 인터뷰를 바탕으로 주요 트렌드를 분석한 보고서입니다.