Securing the Convergence
of IT and OT Environments
Comprehensive MDR platform protecting operational technology and enterprise networks with 24/7 expert monitoring
산업 사이버보안의 새로운 현실
과거 폐쇄망으로 운영되던 산업 제어 시스템은 이제 기업 IT 인프라, 클라우드 플랫폼, 그리고 인터넷과 연결되어 있습니다. 이러한 융합은 운영 효율성을 높이고 디지털 전환을 가속화하지만, 동시에 핵심 인프라를 물리적 공정 교란, 안전 시스템 침해, 운영 중단을 통한 금전적 압박과 같은 정교한 사이버 위협에 노출시키고 있습니다.
Cl0p 랜섬웨어 그룹만 해도 690개 이상의 산업 시설을 침해한 것으로 알려져 있습니다. 일부 국가 차원의 위협 행위자는 산업 프로토콜을 조작하기 위한 전용 악성코드를 개발하고 있으며, 최근 사례에서는 안전 시스템을 악용해 물리적 위험을 유발하고 이를 통해 몸값 지불을 강요하는 공격도 확인되고 있습니다.
기존 IT 중심 보안 접근 방식은 OT 환경에서 충분한 대응력을 제공하지 못합니다. OT 시스템은 안전성과 가용성을 최우선으로 고려하는 전문 역량, 전용 모니터링 체계, 그리고 특화된 대응 절차를 요구합니다.
PAGO Networks는 검증된 단계별 구축 방법론과 통합 IT/OT MDR 플랫폼, 그리고 글로벌 핵심 인프라 보호 경험을 바탕으로 종합적인 OT 보안 서비스를 제공합니다.
융합의 위기: IT와 OT가 만나는 지점
랜섬웨어의 진화: 데이터에서 물리 시스템으로
2025년 1분기 기준, OT 환경을 겨냥한 랜섬웨어 공격은 46% 증가했습니다. 기존 랜섬웨어가 단순히 파일을 암호화하는 데 그쳤다면, 최근 공격은 제어 시스템을 직접 조작해 물리적 공정을 교란하고 안전 문제를 유발하는 방식으로 진화하고 있습니다. 이는 조직이 더 빠르게 몸값을 지불하도록 압박하는 수단으로 작용합니다.
Cl0p 랜섬웨어 그룹은 산업 시스템을 집중적으로 노린 가장 활발한 위협 행위자로, 제조업 및 핵심 인프라 조직을 포함해 690건 이상의 사고에 연루된 것으로 분석됩니다. 이러한 공격은 전통적인 IT 침투 경로에서 시작해, 기업 시스템과 산업 제어망이 연결되는 융합 지점을 통해 OT 네트워크로 확산되는 양상을 보입니다.
최근 산업 랜섬웨어 분석에서는 안전 시스템의 무기화라는 우려스러운 흐름도 확인되고 있습니다. 2024년 유럽의 한 화학 공장 공격 사례에서는 안전 계장 시스템이 조작될 가능성이 제기되며, 물리적 위험을 초래할 수 있는 상황이 발생했습니다. 이는 단순한 금전적 갈취를 넘어, 물리적 위협을 수단으로 삼는 강압적 공격으로의 진화를 보여줍니다.
46%
OT 랜섬웨어 공격 증가 (2025년 1분기)
690+
Cl0p 그룹에 의해 단독 유발된 산업 분야 사고 사례
47%
OT 공격의 47%가 IT 네트워크에서 기인합니다
OT 관리 성숙도
사고 대응 협업의 한계
대부분의 조직은 IT 환경과 OT 환경을 각각 별도의 사고 대응 체계로 운영합니다. 서로 다른 도구를 사용하고, ��절차도 다르며, 우선순위 또한 상이합니다. 그러나 IT와 OT가 연결된 환경에서 사고가 발생하면 두 영역을 동시에 아우르는 대응이 필요합니다. 이때 체계적인 협업이 준비되어 있지 않으면 대응 과정에서 공백이 발생할 수 있습니다.
귀사의 조직은 IT와 OT 전반에 걸쳐 사고 대응을 효과적으로 조율할 준비가 되어 있습니까?
왜 기존 사이버보안은 OT 환경에서 한계를 보이는가
전통적인 사이버보안 도구와 운영 방식은 OT 환경에 그대로 적용할 경우 충분하지 않거나, 오히려 위험 요소가 될 수 있습니다. 예를 들어, 정수 처리 시설을 제어하는 PLC에 EDR 에이전트를 설치할 수 있을까요?
이 질문 자체가 IT 보안 접근 방식과 OT 운영 요구사항 사이의 근본적인 차이를 드러냅니다. 기존 보안 체계는 시스템을 패치하기 위해 일시적으로 중단할 수 있고, 업데이트를 위해 재부팅이 가능하며, 리소스를 사용하는 에이전트 기반 모니터링을 적용할 수 있다는 전제를 기반으로 설계되었습니다.
그러나 OT 환경에서는 이러한 전제가 성립하지 않는 경우가 많습니다. 운영 연속성과 안전성이 최우선이며, 시스템 중단은 곧 생산 차질이나 물리적 위험으로 이어질 수 있습니다.
IT Security Priorities (CIA)
-
기밀성 (Confidentiality) - 민감한 정보 보호
-
무결성 (Integrity) - 데이터 정확성 보장
-
가용성 (Availability) - 시스템의 지속적인 가동 유지
OT Security Priorities (ARS)
-
가용성 (Availability) - 중단 없는 연속 운용이 최우선
-
신뢰성 (Reliability) - 일관되고 예측 가능한 성능 유지
-
안전성 (Safety) - 인명 및 물리적 자산 보호
OT 보안 환경에서 에어갭 전략의 재정의
제조기업이 많이 겪는 보안 위협들
PAGO MDR 서비스의 주요 제조업 고객은 한국뿐 아니라, 아세안·중국·북미·유럽 등에 걸쳐 다양하게 분포하고 있다. 이들 제조업 고객들은 지리적으로 떨어져 있고, 문화가 서로 다르지만 주요 위협 사례 측면에서 공통점을 보인다.
-
주요 계정 공유: 주요 시스템 관리를 목적으로, 내/외부적으로 공용 계정 공유 및 유출
-
IT와 OT 연결성에 따른 위협: IT 망을 통한 OT 환경으로 위협 침투
-
폐쇄망이 아닌 OT 환경: 이미 여러 경로를 통해서 접근 가능한 OT 환경의 위험성
-
랜섬웨어 공격: 제조 설비망이 다운되고, 제조 과정에 필요한 IT 데이터의 암호화 및 파괴
페인 포인트
글로벌 법인을 운영 중인 전자부품 제조기업 B사는 베트남 공장에서 IT 시스템 관리자 계정이 탈취됐다. 이후 OT 설비 네트워크로 침투, 추가적인 측면이동(lateral movement) 정황 및 설비 시스템 장애가 발생했다. 기존 보안환경은 일부 시스템 경고만 발생시켰을 뿐 위협 전반의 실제 흐름을 설명해주지 못했고 공격에 대비하지 못했다.
PAGO의 해결책
PAGO는 통합 분��석 허브(Stellar Cyber Open XDR)를 IT 및 OT 환경에 즉시 배포하고, 내·외부·OT 혼합 분석에 특화된 IT/OT 트래픽을 통합 분석했다. 계정 탈취 후 발생한 무단 접근, 악성코드 다운로드, 내부 스캐닝, 비인가 포트 접근, 명령 제어 통신 등의 행위를 시나리오 단위로 자동 조합해 위협을 식별하고, PAGO DeepACT로 전달해 탐지·격리·포렌식의 전 과정을 연계했다. OT 단말 레거시 OS 대응 보안 에이전트(Aurora Protect EPP)와 최신 OS 대상 SentinelOne EDR을 배치해 설비 가용성을 저해하지 않고 위협 확산을 차단했다.
구축 효과
공격자는 탈취된 관리자 권한을 이용해 탐지를 우회하는 방식으로 내부망을 장악하려 했으나, Stellar Cyber 기반 NDR 및 Open XDR 상관탐지에 의해 공격 흐름이 실시간 파악됐고 공격단위 격리를 통해 확산이 차단됐다. 더불어 OT 생산망에 AI EPP/EDR 배포 및 이미 침투한 위협과 엔드포인트 이상 행위를 모두 조치했으며, 이후 전사 탐지 정책은 PAGO DeepACT를 통해 일괄 배포됐다. 전 세계 법인에서 동일한 탐지·대응 기준을 갖춘 MDR 환경이 구현됐다.
핵심 인프라를 보호하세요
운영의 연속성을 유지하면서도 생산성 저해 없이 IT/OT 통합 보안을 구현하십시오.
OT 보안 진단 상담
효과적인 OT 보안은 전문 역량과 체계적인 진단 접근을 필요로 합니다.
IT와 OT 융합 환경의 리스크를 점검하고, 잠재된 취약점을 식별하여 핵심 인프라에 최적화된 보호 전략을 수립하십시오. 지금 PAGO 팀과 상담을 예약해 보시기 바랍니다.