[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

01. CPS 보안은 왜 필요한가요?

여기 한 가족이 있습니다. 해변가 파라솔 아래 여유롭게 누워있죠. 멀리서 거대한 무언가가 조금씩 해변 쪽으로 이동합니다. 대형 유조선이네요. 가족을 비롯한 사람들은 그래도 편안합니다. 유조선이 알아서 비켜가겠지 생각했죠. 이런데 이게 웬일인가요? 유조선은 빠른 속도로 해변을 침범하며 해변 위 모든 것을 쓸어버립니다. 놀란 사람들은 목숨을 걸고 달리기 시작합니다.

영화 ‘리브 더 월드 비하인드(2023)’ 속 장면입니다. 알 수 없는 항법 시스템 오류로 유조선이 제어 불능 상태에 빠진 것이었죠. 그리고 이것은 시작에 불과했습니다. 통신망이 끊기고, 드론은 알 수 없는 의미가 담긴 전단지를 배포합니다. 멈춰있던 수많은 자율주행차가 갑자기 맹렬한 속도로 폭주합니다. 국가 기반 시설이 하나씩 붕괴되면서, 사람들은 고립되고 도시는 혼란에 빠져듭니다.

사이버와 물리 세계가 융합된 시스템(Cyber-Physical System, CPS)은 우리 삶의 일부가 되었습니다. 생산성과 효율성이 높아졌지만, 기존 보안 체계로는 대응하기 어려운 위협도 발생하고 있습니다. 그리고 공격 성공 시에는 정보 유출과 서비스 중단을 넘어 생명 안전까지 위협받을 수 있는 복합적인 사고가 발생할 수 있습니다. CPS 보안은 비즈니스 연속성은 물론 생존을 위한 필수 전략입니다.

사이버 물리 시스템(CPS)의 주요 예시

• OT(운영 기술): 발전소, 제조업 등 물리 장비 제어 (스마트팩토리)
• ICS(산업 제어 시스템): PLC, SCADA 등 산업 프로세스 제어
• IIoT(산업용 IoT): 센서와 네트워크 기반 자동화 (스마트의료기기)
• 스마트 빌딩/그리드/교통/의료/제조: CPS가 적용된 다양한 분야 (자율주행차)

02. CPS 보안이란: 디지털과 물리 세계를 아우르는 새로운 보안 패러다임

CPS 보안(Cyber-Physical System Security)은 사이버와 물리 시스템이 연결된 환경에서 발생할 수 있는 복합적인 위협으로부터 시스템을 보호하기 위한 기술과 정책을 아우르는 통합 보안 전략입니다. IT(정보기술) 보안과 OT(운영기술) 보안을 아우르며 실시간성, 안전성, 무결성, 가용성을 동시에 확보하는 것을 목표로 합니다.

구분	CPS 보안
보호 대상	IT + OT + 사물인터넷(IoT) + 인공지능(AI) 등 융합 시스템 전체
중점 요소	가용성 + 무결성 + 안전성 + 실시간성
위협 유형	사이버 공격 + 물리 피해 + AI 조작 등 복합 위협
보안 전략	통합 가시성, 자동화 대응, AI 기반 탐지

그렇지만 CPS를 안전하게 지키는 일은 생각보다 복잡합니다. 3가지 CPS 보안 과제를 통해 그 이유를 살펴보겠습니다.

보안 설계가 배제된 설계, 호환되지 않는 시스템들

폐쇄망 내 운영되었던 상당수의 CPS는 보안 고려 없이 설계되어 있습니다. 오래된 제어 장비나 센서는 암호화, 인증 기능 없이 운영되고 있습니다. 보안 기능이 설계단부터 배제된 만큼, 이후 보안 기능을 추가하는 것도 어렵습니다. CPS 대부분은 제 각각의 프로토콜과 운영체제로 운영되어 통합이 어렵습니다. 최신 보안 솔루션 도입 시에는 상당한 기술적 조율이 필요합니다.

속도와 정확성, 안정성의 균형 맞추기

기존의 IT 보안 솔루션은 실시간 제어, 낮은 지연 시간, 고가용성을 요구하는 CPS 시스템에 부담을 줄 수 있습니다. 특히, CPS는 센서와 제어기에서 초당 수천 건 발생하는 데이터를 실시간으로 분석하는 고성능 분석 시스템을 필요로 합니다. 보안 솔루션이 분석에 영향을 미칠 시 운영에 지장을 초래할 수 있는 바, 속도와 정확성의 균형을 잡을 수 있는 보안 기술이 요구됩니다.

변화하는 규제와 컴플라이언스

CPS 산업에는 다양한 보안 규정이 존재합니다. 한국인터넷진흥원(KISA), 미국 국립표준기술연구소(NIST), IEC 62443 등은 물론 산업에 대한 깊은 이해가 요구되는 세부 규제도 충족해야 하죠. 국제선급협회(IACS)가 제정한 선박 사이버 보안 관련 규정인 UR E27이 대표적입니다. 때문에 규제 변화에 따라 지속적인 대응 체계를 갖출 수 있는 전문 역량과 자원 투입이 필요합니다.

이렇듯 CPS 보안은 기술을 넘어, 운영과 설계, 조직 문화, 규제 대응까지 포괄하는 복합적인 요소가 얽혀 있습니다. 이 복잡함을 이해하고, 각 과제에 맞는 전략을 세우는 것이 CPS 보안의 시작이라고 할 수 있겠습니다.

03. CPS 보안 플랫폼의 핵심 요소와 고려 사항

이러한 과제들을 해결하기 위해서는 어떤 CPS 보안 플랫폼이 필요할까요? CPS 보안 플랫폼의 핵심 요소와 고려 사항에 대해 짚어보도록 하겠습니다.

통합 가시성과 대응 체계, 확장성

CPS를 겨냥한 위협에 대응하려면 통합된 가시성과 일원화된 대응 프로세스가 필수입니다. 따라서 도입을 고려하는 플랫폼이 내부망과 외부망, 사내 시스템과 외부 서비스형 솔루션(SaaS), 사용자·계정·자산을 아우르는 전방위적 가시성을 제공하는지, 자산 관리부터 위협 탐지, 대응까지의 연계된 프로세스를 구현하는지를 확인해야 합니다.

또한 CPS 보안은 단일 솔루션으로 해결할 수 없기 때문에, 확장된 공격 표면을 고려한 유기적 통합 가능성도 따져보아야 합니다. IT·OT 보안 도구뿐 아니라 협력사 공급망, 클라우드, IoT 장비 간의 연계성을 고려하는 것이지요. 즉, 보안 사각지대를 줄이고 운영 효율성을 높이기 위한 보안 요소 간의 연결성과 확장성도 중요한 평가 기준이 됩니다.

위협 인텔리전스 확보, 취약점 관리

‘적과 나를 알자’는 말은 CPS에도 어김없이 적용됩니다. CPS 대부분이 수명이 길고 취약점 패치가 어려운 만큼, 자산 중요도와 공격 가능성을 토대로 고위험군 취약점을 식별하고 이를 자동 패치하는 기능이 필요합니다. 또한, 조직 산업 군에 해당하는 침해 지표(IoC)와 전술·기술·절차(TTPs)등의 위협 인텔리전스를 통합적으로 확인할 수 있는 기능 마련 여부도 확인해야 하겠습니다.

산업별 위협에 대응하는 CPS 보안 전략

앞서 강조했듯, CPS 보안은 기술을 넘어, 운영과 설계, 조직 문화, 규제 대응까지 포괄하는 복합적인 분야입니다. 때문에, 각 산업의 운영 방식과 장비 특성, 문화를 이해하는 산업 전문성이 필요합니다. CPS 보안 플랫폼을 도입하고자 하는 조직은 해당 솔루션이 조직이 속한 산업 환경에서 발생하는 위협을 식별하고 이에 부합하는 방어 전략을 제시할 수 있는지 확인해야 합니다.

이와 같이, CPS 보안 플랫폼은 기술과 프로세스, 산업 전문성을 반영한 전략적 선택이어야 합니다. 위의 기준들을 바탕으로 강력한 보안성, 운영 안정성, 비즈니스 연속성 확보 목표 달성에 한 걸음 다가가시기 바랍니다.

04. 디지털과 물리 세계가 연결된 오늘날, CPS 보안은 기업 생존과 직결된 핵심 전략

CPS를 노린 보안 위협은 지금 이 순간에도 발생하고 있습니다. 이미 제조, 헬스케어, 자동차, 선박 등 다양한 분야에서 CPS를 활용하면서, 이를 목표로 삼은 보안 위협도 늘어나고 있습니다. 정보 유출과 서비스 중단은 물론 생명까지 영향을 받을 수 있는 이러한 위협에 맞서, 우리는 CPS 보안을 중심에 두어야 합니다. CPS 보안은 기업의 지속가능성과 경쟁력을 좌우하는 핵심 철학입니다.

📝 CPS 보안 전문가와 상담하고, 우리 조직에 맞는 CPS 보안 전략을 설계하세요 📊

💌 후속 콘텐츠, 계속 받아보세요 ▶