Loading
Blog

운영 복원력을 확보하기 위한 5가지 원칙

CISO를 위한 효과적인 OT 보안 거버넌스 가이드
Two men collaborating on a laptop in an industrial setting

운영기술(OT)은 더 이상 IT만의 문제가 아닙니다. 이는 OT는 비즈니스 연속성을 위한 핵심 과제입니다. OT의 취약점과 사이버 공격이 계속 증가함에 따라, 보안 통제의 실패는 다음과 같은 결과로 직결될 수 있습니다.

  • 물리적 안전 위험
  • 환경 사고  
  • 재무적 손실 및 평판 훼손

효과적인 OT 보안 거버넌스는 전략적 보안 우선순위를 신뢰할 수 있는 운영 현실로 전환하는 유일한 방법입니다. 이 글에서는 OT 보안 거버넌스의 핵심 주제와 함께, 조직에 적합한 거버넌스 모델을 설계할 때 고려해야 할 다섯 가지 원칙을 소개합니다.

변화하는 환경에 대한 대응

보안 침해는 가속화되고 있으며, 산업 기업의 80%가 그 영향을 체감하고 있습니다. 안타깝게도 보안 위협 환경은 이미 근본적으로 변화했습니다. AI 기반 공격은 이제 OT 취약점을 자동으로 식별해 표적으로 삼으며, 제로데이 위협은 기존 대응 속도를 뛰어넘습니다. AI와 머신러닝이 주도하는 환경에서는 피해로 이어지기까지의 시간이 최대 100배까지 빨라질 수 있습니다.

제조 산업은 여전히 국가 차원의 공격자와 사이버 범죄자 모두에게 최우선 표적입니다. 여기에 위협의 고도화와 OT 보안 전문 인력 부족이 겹치면서, 필요한 역량과 가용 자원 간의 격차는 점점 더 벌어지고 있습니다.

이러한 현실은 산업 조직이 현대적인 위협에 대응하고, 보안 프로그램을 신속하게 성숙시킬 수 있는 OT 거버넌스 모델을 채택해야 하는 이유를 분명히 보여줍니다.

OT 보안 거버넌스란?

OT 보안 거버넌스는 산업 자산을 관리하고 보호하기 위한 ▲정책 ▲프로세스 ▲관행의 집합입니다.  핵심은 누가 리스크를 소유하고, 누가 조치를 취할 권한을 갖는지를 명확히 정의하는 데 있습니다. 이를 통해 보안 우선순위가 실제 운영 현장에서 구현될 수 있습니다.

CISO가 권한과 책임의 균형을 맞추는 방법

정보보호최고책임자(CISO)가 권한과 책임을 균형 있게 운영하는 방법은 두 가지가 있습니다.

  • 전략적 거버넌스 ('Big G'): OT 전반의 사이버 보안 방향 설정, 성과 지표 수립, 리스크 관리의 최종 결정권자 및 보안 사고 시 책임 주체 결정을 포함합니다.
  • 운영적 거버넌스 ('Small g'): 장비 패치, 사이버 보안 도구 선택, 설비 업데이트 관리 등 즉각적 실행 의사결정에 초점을 둡니다.

보안 리더십에서 IT/OT 통합을 다루는 방법

이제 논쟁의 핵심은 IT와 OT를 통합해야 하는가가 아니라, 그 통합을 어떻게 효과적으로 구현할 것인가입니다.

기존 IT 보안 도구와 접근 방식은 가동 중단 없이 가용성과 보호를 동시에 요구하는 OT 환경에서는 한계가 있습니다. 그럼에도 IT와 OT 간의 연결성이 높아지면서 통합된 감독 체계는 필수가 되었습니다.

오늘날의 핵심 질문은 단순한 소유권을 넘어 다음과 같은 이슈로 확장되고 있습니다.

  • CISO는 자신이 완전히 이해하지 못하는 운영 시스템에 대해 어떻게 효과적인 거버넌스 체계를 구축할 수 있을까?
  • 보안 인력이 부족한 상황에서 운영 조직은 사이버 보안 전문성을 어떻게 확보할 수 있을까?
  • 조직은 CISO의 기업 차원의 리스크 관점과 공장 관리자의 운영 필수 과제 사이의 균형을 어떻게 맞출 수 있을까?
  • 보안 모범 사례가 생산 요구와 충돌할 때, 최종 결정은 누가 내리는가?

성공적인 IT/OT 통합의 모습

가장 성공적인 조직들은 주도권 다툼을 넘어, IT의 보안 전문성을 활용하되 OT의 운영 우선순위를 존중하는 협업 모델에 집중하고 있습니다.

 일반적으로 CISO가 전략 방향과 리스크 프레임워크를 제공하고, 운영 조직은 실행 시점과 방법에 대한 전술적 통제권을 유지하는 모델을 의미합니다. 핵심은 권한이 어디에 있든, 그에 상응하는 책임과 자원, 그리고 사이버 리스크 및 운영에 미치는 영향에 대한 맥락적 이해가 반드시 함께 따라야 한다는 것입니다.

산업용 OT 사이버보안 – 로크웰 오토메이션 SecureOT
산업용 OT 사이버보안 – 로크웰 오토메이션 SecureOT
산업용 OT 사이버보안 – 로크웰 오토메이션 SecureOT
SecureOT는 OT 네이티브 설계 소프트웨어, 전문가 서비스, 글로벌 규모를 결합하여 산업 운영의 위험을 줄이고 가동시간을 늘리며 규정 준수를 간소화합니다.
자세한 정보
무료 사이버 보안 준비도 평가(Cybersecurity Preparedness Assessment)를 통해 귀사의 OT 보안 상태와 리스크 노출 수준을 명확히 파악해 보세요.
더 알아보기

OT 보안 거버넌스의 세 가지 핵심 테마

견고한 OT 보안 거버넌스 프레임워크를 구축하기 위해서는 조직이 직면한 핵심 사이버 보안 과제를 이해해야 합니다. 이러한 과제는 OT 환경에서 사이버보안을 관리하는 현실을 반영하며, 몇 가지 핵심 테마에 의해 형성됩니다. 이 테마들을 이해하면 효과적인 거버넌스를 위한 5가지 원칙을 보다 깊이 있게 이해할 수 있습니다.

테마 1: 모든 조직에 적용되는 단일 해답은 없다

각 조직의 문화, 운영 모델, 리스크 프로파일에 따라 사이버보안을 향한 여정은 달라집니다. 따라서 거버넌스 구축을 위해선 획일적 방식이 아니라, 각 조직의 필요와 맥락에 맞춘 접근이 요구됩니다.

테마 2: 권한과 책임의 단일 주체는 존재하지 않는다

 많은 조직에서 사이버보안 책임은 여러 부서와 역할에 분산돼 있습니다. 이 같은 권한과 책임의 분산은 조직의 전체가 공통의 보안 목표를 위해 협력하기 위한, 조율·협력형 거버넌스가 필요함을 보여줍니다.

테마 3: 대부분의 기업은 리더십 정렬에 어려움을 겪고 있다

사이버보안 위협이 증가하고 자원이 제한적인 상황에서, 보안 전략에 대한 리더십 정렬은 더욱 중요해집니다. 여기서의 정렬이란 전략에 대한 합의, 실행 의지, 그리고 필요한 자원과 변화에 대한 지원을 의미합니다.

올바른 OT 보안 거버넌스 모델을 설계하기 위한 5가지 원칙

1. 최고경영진 차원의 정렬에서 시작하라

적절한 거버넌스 모델을 구축하기 위해서는 다음 사항에 대해 C-레벨의 명확한 공감대가 필요합니다.

  • 운영에 대한 실제 리스크
  • 경영진과 이사회의 리스크 허용 수준
  • 경영진과 이사회가 설정한 리스크 허용 수준을 달성하기 위한 비용 추정치
  • 보안 성숙도 수준별 달성 비용에 대한 추정치
  • 이러한 요소 간에  발생하는 핵심 트레이드오프를 경영진이 어떤 방식으로 의사결정할 것인지

이 과정을 주도하기에 가장 자연스러운 리더는 CISO입니다. 다만 CISO가 모든 결정을 내릴 권한을 가진다는 뜻은 아닙니다. 우리가 본 대부분의 성공 사례에서 CISO는 최종 결정자라기보다, 비즈니스 전반의 다양한 트레이드오프를 고려해 경영진이 최적의 방향으로 합의하도록 이끄는 ‘영향력자’ 역할을 수행했습니다.

많은 거버넌스 모델이 권한과 책임의 정의에 초점을 맞추지만, 최고 수준에서 목표와 우선순위에 대한 진정한 공감대가 없다면RACI(Responsible/Accountable/Consulted/Informed) 차트는 형식적인 문서에 그치기 쉽습니다. 합의된 목표를 기준으로 예산, 지표, 자원을 설정해야 정렬이 유지됩니다.

C-레벨 정렬을 돕는 리소스

일부 산업 조직은 외부 OT 보안 전문가의 참여를 통해 이러한 정렬 과정을 가속화합니다. 이 전문 서비스 팀은 단순히 보안 수준을 개선하는 데 그치지 않고, 기술적 취약점을 이사회와 경영진이 이해할 수 있는 '비즈니스 리스크 언어'로 해석·전달하는 중재자 역할도 수행합니다. 외부 관점은 데이터 기반 인사이트를 제공해 이해관계자들이 공감하고 결집할 수 있는 근거를 만들며 내부 장애물을 장벽을 허무는 데 도움을 줍니다.

많은 조직이 OT 보안 여정이 상당히 진척되었음에도, 최고경영진 차원의  정렬이 아직 이뤄지지 않았다는 사실을 인지하지 못한 채 진행하는 경우가 있습니다. 대부분의 경우 가장 현명한 선택은 ‘리셋’하고, 공통된 이해의 기반을 재정립하는 것입니다. 전문 관리 서비스는 이러한 리셋에 필요한 객관적 기준선을 제공해, 이해관계자들이 현재 상태와 향후 요구사항에 대해 공통된 인식에서 출발할 수 있도록 합니다.

2. 현재 조직의 운영 스타일을 거스르지 말고 흐름을 타라

우리 팀이 목격한 가장 성공적인 OT 보안 실행 사례 중 하나는, 사업부 독립성과 성과 책임 문화가 강한 유틸리티 지주회사에서 나왔습니다. 이 회사의 기존 거버넌스 모델은 오랜 기간 많은 산업 기업에서 활용해온, 사업부별 손익(P&L) 책임 기반의 전통적 분산 모델이었습니다.

핵심 전략

중앙집중식 보안을 강요하는 대신, 경영진은 ‘무엇(목표와 목적)’에 대한 책임을 명확히 했고, 이 사례에서는 CSC 상위 18개 통제를 기준으로 삼았습니다. 핵심은 사업부가 ‘어떻게(how)’ 달성할지를 스스로 결정하게한 것입니다.

운영 방식

  • 경영진은 목표와 리뷰 프로세스를 설정했습니다.
  • CISO는 목표 설정을 주도했지만 방법을 지시하지는 않았습니다.
  • 각 사업부는 도구, 통제, 접근 방식을 자율적으로 선택했습니다.
  • 모든 조직이 분기마다 모여 공통 지표 대비 진행 상황을 점검했습니다.

성공 요인

이 조직에는 중앙집중형 전문가 조직이나 공유 인프라 문화가 없었습니다. 그런 모델을 만드는 것은 조직의 핵심 운영 방식 자체를 거스르는 셈이었습니다.

만약 CISO가 그 방향을 밀어붙였다면, 조직의 ‘DNA’와 맞지 않았기 때문에 실패했을 가능성이 큽니다. CISO는 완벽한 거버넌스 모델은 없다는 점을 이해하고, 모두에게 작동하는 방식으로 현실에 맞게 조정해 가능한 해법을 활용했습니다.

교훈

먼저 조직의 DNA를 이해해야 합니다. 분산형 조직이라면 자율성을 존중하되 책임을 보장하는 프레임워크를, 중앙집중형 조직이라면 그 구조를 강점으로 활용하십시오. 조직 문화의 결을 거스르지 말고 그 결을 따라가야 합니다. 그 다음, 해당 접근 방식에서 발생하는 고유한 격차를 보완하면 됩니다.

3. 자금의 흐름을 따르라

사이버 보안 거버넌스에서 가장 어려운 과제 중 하나는 예산과 책임의 정렬입니다. 많은 조직에서 사이버 보안 관련 지출은 여러 부서에 분산되어 있습니다.

  • 현장은 업데이트, 패치, 운영 관리 등을 포함한 자체 시스템 예산을 책임질 수 있습니다.
  • 본사 IT는 네트워크 장비, 경우에 따라 망 분리 예산을 관리할 수 있습니다.
  • CISO 조직은 안티멀웨어나 위협 탐지를 위한 로그 모니터링 등 보안 특화 이니셔티브 예산을 집행할 수 있습니다.
  • HR은 교육 및 인식 제고 프로그램 예산을 보유할 수 있습니다.
  • 시설 관리는 창고, 냉각기, 냉동고 등 운영에 중요한 건물 설비 시스템을 담당할 수 있습니다.

이처럼 분산된 환경에서는 현재 사이버 보안 관련 총지출을 파악하고, 새로운 예방 및 탐지 조치에 대한 우선순위를 정하기가 어렵습니다.

우리는 고객들이 이 상황에 다양한 방식으로 대응하는 것을 보아 왔습니다. 일부는 여러 사업부의 지출을 모아 전체 사이버보안 예산으로 보는 ‘그림자(Shadow) 회계’ 시스템을 만들었습니다. 또 다른 일부는 명확한 목표를 정하고, 사업부가 통상적인 연간 예산 증가 범위 내에서 전체 예산을 관리하면서 목표를 달성하도록 해 결국 사이버보안과 다른 항목 사이의 지출 트레이드오프를 스스로 하도록 했습니다. 또 다른 일부는 플랜트 단위로 보안 컴플라이언스를 관리하며, 플랜트 예산이 사이버보안을 핵심 KPI 요소로 반영하도록 했습니다.

위 모델 중 하나를 쓰든 다른 방식을 쓰든, 조직은 먼저 전체 사이버보안 지출에 대한 가시성을 확보하고, 다음으로 예산 권한과 보안 책임을 정렬해 리스크를 효과적으로 관리해야 합니다.

4. 운영 조직의 ‘균형성과표와 KPI 방식을 채택하라

성과가 좋은 운영 조직은 지표, 목표, 상세 절차, 그리고 시간/일/주 단위로 모니터링되는 전술적 결과를 기반으로 움직입니다. 반면 사이버보안 목표는 종종 추상적이거나 포괄적인 형태로 제시됩니다.

  • 취약점 감소
  • 잠재적 악성코드 식별
  • 공격자 식별
  • 사고 대응 능력을 X% 개선

성공적인 OT 보안 접근은 운영 관리의 흐름에 맞춰, 이러한 추상적 목표를 빨강, 노랑, 초록의 단순한 차트로 표시할 수 있을 만큼 전술적인 목표와 지표로 전환합니다.

실제 사례

한 고객사는 NIST CSF를 사이버보안 프레임워크로 채택한 뒤, 주간, 월간, 분기 단위로 추적 가능한 측정 지표 세트를 구현하는 단계까지 나아갔습니다.

각 통제 영역마다 목표와 지표가 설정되었으며, 여기에는 미적용된 핵심 패치 수, 최근 일주일간 백업이 없는 장비 수, 오탐 경보 수, 오탐 대응에 소요된 운영 인력 시간 등이 포함되었습니다. 이들은 위협 데이터를 분석하는 본사 SOC를, 마치 ‘상위 공급자’처럼 대했고, SOC는 위협 탐지의 품질과 적시성에 대한 목표를 기준으로 성과 책임을 부여받았습니다.

이 데이터는 운영 조직과 SOC 간에 정기적으로 공유되어, 서로에게 책임을 지도록 했습니다. 지표가 ‘초록’이 아닐 경우, 제품 품질이나 처리량 지표를 다루듯 개선 계획이 수립되었습니다.

운영 조직은 이미 생산량과 비용뿐 아니라, 산업 안전, 환경 품질, 제품 품질 등 다양한 KPI를 균형 있게 관리하고 있습니다. 따라서 사이버 보안을 이 균형성과표의 또 하나의 요소로 통합하면, 자원 배분과 실행 권한에 대한 책임을 효과적으로 정렬할 수 있습니다.

SecureOT 플랫폼이 KPI 달성과 OT 보안 거버넌스를 어떻게 지원하는지 확인해 보세요.
자세히 보기

5. 전술 수준까지 구체화하라

NIST 사이버보안 프레임워크는 5개 핵심 영역과 98개 세부 하위 범주로 구성되며, CSC 20에는 140개가 넘는 하위 통제가 존재합니다. 이 모든 세부 요소에 대해 상위 수준 거버넌스 모델이 효과적으로 작동하기는 현실적으로 어렵습니다. 운영 조직과 마찬가지로, 팀은 구체적 산출물별로 책임 주체와 권한 수준을 명시한 상세 절차를 구축해야 합니다.

거버넌스는 미시적 수준에서 무너지는 경우가 많습니다. 예를 들어 NIST CSF의 ‘식별’ 영역에서, 요구되는 정보를 포함한 자산 데이터베이스를 누가 유지·관리해야 할까요? IT 팀은 자신들이 해야 한다고 생각할 수 있지만, OT 측은 OT 네트워크에서 IT 도구를 실행하는 것이 안전하지 않거나 적절치 않다고 반박할 수 있습니다.

어떤 조직에서는 플랜트 수준에서 요구되는 자산 정보가, 사이버보안 관리 관점에서 본사에 필요한 수준을 훨씬 초과할 수도 있습니다. 또 다른 예로, 핵심 장비를 즉시 패치할지, 정기 셧다운까지 미룰지, 혹은 업그레이드 시점까지 반영구적으로 두는지에 대한 논쟁은 거의 매일 벌어집니다.

잘못된 결정 혹은 옳지만 늦은 결정이 생산 손실, 부상, 심지어 사망으로 이어질 수 있는 중요 운영 환경에서는, 이러한 세부 의사결정 권한을 사전에 명확히 정의하는 것이 매우 중요합니다. 성공적인 운영 조직은 의사결정 권한뿐 아니라 유지보수나 품질 등 영역에서 누가 어떤 실행을 담당할지까지 상세히 문서화하는 데 시간을 투자합니다.

SecureOT™ 솔루션 스위트: OT 보안 거버넌스를 지원하도록 설계

효과적인 거버넌스에는 보호 대상에 대한 명확한 가시성, 객관적 리스크 측정, 그리고 컴플라이언스 달성 진행을 입증할 근거가 필요합니다. SecureOT는 원시 데이터를 보안 우선순위로 전환해 보안 태세 개선을 돕는 목적형 기술로 이러한 간극을 해소합니다.

SecureOT는 다음을 지원합니다.

  • 생산 중단 없이 탄력적인 운영 유지
  • OT 환경 전반의 숨은 리스크 제거

     

  • Meet NIS2, IEC 62443, NIST CSF 등 다양한 컴플라이언스 요구사항 충족
  • 전담 지원을 통한 인력 보완 및 비용 절감 효과 가시화

Published 2025년 12월 9일

추천 콘텐츠

Loading
Loading
Loading
Loading