서론

최근 미국 EPA·FBI·CISA·NSA·DOE·미 사이버사령부 CNMF의 공동 권고문(AA26-097A)에 따르면, 이란 연합 APT가 미국 주요 인프라의 인터넷 노출 OT 장비를 겨냥하고 있다고 경고했다. 공격자는 Rockwell Automation/Allen-Bradley PLC 등 인터넷에 노출된 PLC를 대상으로 프로젝트 파일을 악의적으로 조작하거나 HMI·SCADA 데이터를 수정하여 운영 품질을 야기했다.

드라고스(Dragos)의 2026년 5월 메시코 수도·배수 유틸티티 침투 조사에서는 공격자가 Claude와 OpenAI GPT 계열 모델을 활용해 내부 IT 환경을 분석하고 OT 접근 인프라를 식별한 상황이 공개되었다. AI의 핵심 효과는 새로운 ICS 전용 공격기법 발명이 아니라, 이미 침투한 IT 환경에서 OT 접근 자산을 더 빠르게 찾고 기존 기법을 자동화하는 데 있다.

이러한 APT·AI 자동화 공격 환경에서 스마트팩토리 OT 보안의 초점은 단순 침입 탐지에서 "누가 실제 설비를 제어하는가"를 확인하는 인증 통제로 이동하고 있다. 본 가이드는 국내 기업·기관 보안 담당자가 스마트팩토리 OT 환경의 인증 통제 체계를 점검할 수 있는 실무적 체크리스트를 제공한다.

본론

기술적 분석

APT·AI 자동화 공격 특성

APT 그룹은 AI 도구를 활용해 다음과 같은 공격을 자동화한다:
- IT 환경 침투 후 OT 접근 자산 식별 가속화
- 단일 비밀번호 인증 인터페이스 탐지 및 대규모 패스워드 스프레이
- 산업용 게이트웨이와 SCADA/IIoT 관리 플랫폼 타겟팅
- 프로젝트 파일 악의적 조작 및 HMI·SCADA 데이터 수정

스태티스타 2025년 조사에 따르면, 전 세계 OT 네트워크 보호를 위한 네트워크 접근 제어를 사용하는 응답자는 49%인 반면, 역할기반 접근 제어를 사용하는 OT 전문가는 37%에 불과한다. 이는 인증 통제 기술의 도입이 아직 부족함을 시사한다.

인증 시스템 취약점 현황

CISA 권고문(AA26-097A)에서는 인증 시스템이 공격자의 주요 표적이 되고 있음을 강조한다. OT 환경의 인증 시스템 보호의 중요성을 보여주기 위해 IT 환경의 인증 취약점 사례들이 언급되고 있다.

CISA AA26-097A 권고문 언급 취약점:
- CVE-2021-22681: Rockwell Automation Logix Controller 인증 우회 취약점 (CISA 공동 권고문 공식 언급)

DDaily 기사 언급 IT 환경 취약점:
- CVE-2026-0300: Palo Alto Networks PAN-OS User-ID Authentication Portal 루트 권한 임의 코드 실행 취약점
- CVE-2026-41940: cPanel & WHM 인증 우회 취약점 (CVSS 9.8, 최소 150만개 IP 주소 손상)

중요한 문맥 설명:
CISA AA26-097A 권고문은 CVE-2021-22681만 언급하며, CVE-2026-0300과 CVE-2026-41940은 DDaily 2026년 5월 15일 기사에서 별도로 언급된 IT 환경 취약점(방화벽, 웹호스팅 제어판)입니다. 이 CVE들은 OT 장비와 직접적인 관련이 없지만, 인증 시스템이 공격자의 주요 표적이 되고 있음을 보여주는 예시로 중요성이 있습니다. DDaily 기사에 따르면 "OT 침해와 직접 동일한 사건은 아니지만, 관리 포털·원격 접속 인터페이스·인증 시스템이 공격자의 주요 표적이 되고 있음을 보여준다"고 명시되어 있습니다. 즉, 이러한 IT 취약점들은 OT 침해와 직접적으로 동일한 것이 아니라, 인증 시스템이 공격 표적이 되고 있음을 예시로 보여주는 것입니다.

OT 환경의 인증체계는 물리 환경과 상호작용하며 성능·신뢰성·안전 요구사항을 함께 고려해야 하므로, 무중단 운영, 레거시 장비, 에이전트 설치 권선 때문에 일반 IT 보안 도구를 그대로 적용하기 어렵습니다.

프로토콜별 인증 취약점

Purdue Model에서 Level 1(직접 제어)의 취약점은 Level 3(운영)보다 안전성 위험이 훨씬 높으므로, OT 방어의 마지막 접근은 설비 앞단의 인증과 권한 통제가 된다.

대응 전략

1. 네트워크 접근 제어 및 분리

• PLC를 공용 인터넷에서 완전 분리
• 외부망에서 OT 네트워크 접근 시 다중인증(MFA) 의무 적용
• PLC가 MFA를 직접 지원하지 않더라도 VPN·게이트웨이·프록시를 통해 인증 강제
• Industrial DMZ(IDMZ) 구성 및 데이터 다이오드/프록시 배치
• 네트워크 세그멘테이션 및 마이크로세그멘테이션 실시

2. 다중인증(MFA) 도입

국가 사이버보안 기본지침 개정(2026년 5월 1일 시행)에 따라:
- 정보시스템 관리자 권한 인증에 다중인증 원칙 적용
- 원격근무 시 서로 다른 인증 방식 다중 적용
- 피팅 저항형 MFA(FIDO2/WebAuthn) 우선 사용
- 사용자별 감사 추적 및 최소권한 원칙 준수

3. 동적 인증 체계

고정 패스워드처럼 탈취 후 반복 재사용이 가능한 인증 방식 대신:
- 매번 달라지는 일회성 인증 방식 도입
- OTP(One-Time Password) 기반 인증
- 인증서 기반 인증(PKI)
- 생체 인증(필요시)

통신 인프라 제약과 장비 변경 제한이 큰 OT 환경일수록 별도 네트워크 의존 없이 동작 가능한 인증 기술 중요성이 커진다.

4. 디바이스 인증 및 암호화

• PLC/HMI 기본 인증 정보(기본 패스워드) 변경
• CIP Security 기반 장비 수준 인증
• 전송 계층 보안(TLS/SSH) 구성
• 프로젝트 파일 무결성 검증(체크섬 확인)
• 펌웨어 서명 확인

5. 접근 통제 및 권한 관리

• 역할기반 접근 제어(RBAC) 도입
• 사용자 계정 매트릭스 및 패스워드 정책 수립
• Access Control List(ACL) 검토
• 최소권한 원칙 적용
• 승인된 사용자만 설비 제어 명령 전송 허용

6. 감사 및 모니터링

• 제어 행위별 감사 로그 기록
• 비정상 명령 실시간 차단
• 네트워크 트래픽 패킷 분석(Modbus, S7, EtherNet/IP)
• 펌웨어 베이스라인 구축
• SIEM 통합 및 OT 로그 수집

실무 점검 체크리스트

계획 및 거버넌스

• [ ] OT 보안 정책 수립 및 정기 검토
• [ ] 보안 역할 및 책임 정의
• [ ] IEC 62443, NIST SP 800-82r3 준수 계획 수립
• [ ] 자산 관리 계획 및 레벨별(L0-L3) 자산 목록화
• [ ] 리스크 평가 및 처리 계획

기술적 보안

• [ ] 네트워크 분리(인터넷-IT-OT) 확인
• [ ] Industrial DMZ(IDMZ) 구성 여부
• [ ] 다중인증(MFA) 적용 범위 확인
• [ ] VPN/게이트웨이/프록시를 통한 인증 강제 여부
• [ ] PLC/HMI 기본 패스워드 변경 여부
• [ ] CIP Security, TLS/SSH 구현 여부
• [ ] 프로젝트 파일 무결성 검증 주기
• [ ] 펌웨어 서명 확인 주기

접근 통제

• [ ] 역할기반 접근 제어(RBAC) 도입 여부
• [ ] 사용자 계정 매트릭스 문서화
• [ ] 최소권한 원칙 적용 여부
• [ ] 정기적 권한 검토 및 제거
• [ ] 원격 접근 시 다중 인증 적용
• [ ] 점프 서버(Jump Server) 구성 및 세션 기록

감사 및 모니터링

• [ ] 제어 명령별 감사 로그 기록
• [ ] 비정상 명령차단 메커니즘
• [ ] 네트워크 트래픽 패킷 모니터링
• [ ] SIEM 통합 및 OT 로그 수집
• [ ] 이상 탐지 규칙 설정
• [ ] 이벤트 대응 절차 수립

운영 단계

• [ ] 변경 관리 프로세스 수립
• [ ] 보안 업데이트 계획(유지보수 기간)
• [ ] 백업 및 복구 단계
• [ ] 비상 대응 계획(IRP) 수립 및 훈련
• [ ] 협력사 및 공급망 보안 관리
• [ ] 보안 인증 교육 계획

법적/규제 준수

• [ ] 국가 사이버보안 기본지침 준수 확인
• [ ] 관련 법령 및 규정 검토
• [ ] 정기 감사 및 컴플라이언스 체크
• [ ] 보안 사고 신고 절차 수립
• [ ] 보안감사(전문가 책임감사 포함 OT 활동) 확인

벤치마크 사례

국내 공공분야: 수도시설 감시제어설비 보안 강화

• OT 엔드포인트 영역에 사용자 식별·인증 기반 접근통제 체계 적용
• 실제 국가 중요 인프라 환경에 적용된 사례로 평가
• 사용자별 감사 추적 및 최소권한 원칙 준수

국내 민간분야: 글로벌 배터리 솔루션 대기업

• 장기간 현장 실인을 거쳐 OT 엔드포인트 보안 솔루션 도입
• 통신 인프라 제약과 장비 변경 제한을 고려한 인증 기술 선택
• 별도 네트워크 의존 없이 동작 가능한 인증 기술 활용

국외 사례: 드라고스(Dragos) 조사

• AI 활용 공격에 대한 방어 전략 수립
• IT-OT 경계 보안 강화 및 인증 통제
• 단일 비밀번호 인증 인터페이스 제거

결론

APT·AI 자동화 공격 시대의 스마트팩토리 OT 보안은 단순 탐지에서 인증 통제로 패러다임이 이동하고 있다. 실제 설비 제어 명령이 PLC·HMI·SCADA로 전달되기 전 사용자 신원과 권한을 검증하고, 제어 행위별 감사 로그를 남기며, 비정상 명령을 차단할 수 있으면 물적 피해 가능성을 줄일 수 있다.

영국 NCSC(National Cyber Security Centre)는 OT 경계 보안 원칙에서 외부 서비스의 사람-기기 연결에 피팅 저항형 MFA를 적용하고, 기본 비밀번호 제거·최소권한·사용자별 감사 추적을 강조한다. 국내 제도와 현장도 이러한 방향으로 진신하고 있다.

AI가 공격 속도를 높이는 시대일수록 OT 방어의 마지막 접근은 설비 앞단의 인증과 권한 통제가 될 가능성이 크다. 국내 기업·기관 보안 담당자는 네트워크 분리, 다중인증 도입, 동적 인증 체계 구축, 접근 통제 강화, 감사 및 모니터링 체계 확립을 우선순위로 추진해야 한다.

고정 패스워드처럼 탈취 후 반복 재사용이 가능한 인증 방식에서 벗어나, 매번 달라지는 일회성 인증 방식 등 동적 인증 체계 도입이 필수적이다. 통신 인프라 제약과 장비 변경 제한이 큰 OT 환경일수록 별도 네트워크 의존 없이 동작 가능한 인증 기술 중요성이 커진다.

참고자료

1. DDaily
   https://www.ddaily.co.kr/page/view/2026051514062358501

2. 미국 CISA 공동 권고문 (AA26-097A)
   https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a

3. NIST SP 800-82 Revision 3
   https://csrc.nist.gov/publications/detail/sp/800-82/rev-3/final

4. IEC 62443 시리즈
   https://www.isa.org/isa-iec-62443

5. ICS-Cybersecurity-Audit (GitHub)
   https://github.com/frangelbarrera/ICS-Cybersecurity-Audit

6. 드라고스(Dragos) 위협 인텔리전스 보고서
   https://www.dragos.com/resource-center/

7. 영국 NCSC OT 보안 원칙
   https://www.ncsc.gov.uk/collection/principles-security-industrial-control-systems

8. Palo Alto Networks Security Advisory
   https://security.paloaltonetworks.com/

9. VulnCheck - CVE-2026-41940 Advisory
   https://www.vulncheck.com/advisories/cpanel-and-whm-authentication-bypass-via-login-flow

10. 국가 사이버보안 기본지침
    https://www.kisa.or.kr/

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.