OT 보안 가시성 위기는 단순한 모니터링 기능 부족이 아니라, 산업 운영 중단과 물리적 피해 위험을 키우는 구조적 문제다. 2026년 2월 공개된 Dragos 연례 리뷰와 이를 다룬 OT.Today 보도는 공격 고도화 속도보다 현장의 가시성·탐지 체계가 더 느리게 개선되고 있음을 공통으로 지적한다. 이 글은 2026-02-23 14:00 KST 기준 공개된 사실만 정리한다.
OT 보안 가시성 위기 TL;DR
- 가시성 공백이 핵심 리스크: Dragos By The Numbers에 따르면 OT 네트워크 가시성을 보유한 조직은 30%, IT/OT 경계 아래를 보지 못하는 조직은 56%, 탐지·대응에 어려움을 겪는 조직은 88%다.
- 공격 규모 확대: OT.Today 기사는 Dragos가 2025년에 산업 조직을 겨냥한 랜섬웨어 그룹 119개를 추적했고, 전년 80(원문 표기 기준) 대비 49% 증가라고 전했다.
- 운영 영향은 이미 현실: Dragos 페이지에는 랜섬웨어 영향을 받은 산업 조직 3,300개, OT.Today 보도에는 산업 조직 대상 공격 3,318건이 제시된다. 지표 정의는 다르지만 공통 메시지는 운영 타격이 광범위하다는 점이다.
- OT 전용 익스플로잇이 없어도 중단 가능: 보도에서 인용된 Dragos 분석에 따르면 공격자는 헬프데스크 절차, 비밀번호 재설정, MFA 등록 흐름을 악용해 OT 연계 시스템 권한을 얻었고, 그 결과 SCADA/HMI/엔지니어링 워크로드 환경에서 denial of view·denial of control·수일 단위 손실이 발생했다.
배경
OT.Today 기사(2026-02-19)는 Dragos CEO Rob Lee 발언을 인용해, 많은 OT 랜섬웨어 사건이 여전히 IT 사건으로 분류된다고 전한다. 이유는 사고 이전에 OT 네트워크 데이터를 충분히 수집·보존하지 않아 침해 원인과 범위를 사후에 입증하지 못하는 경우가 많기 때문이다.
Dragos 연례 리뷰 페이지도 같은 축을 강조한다. 공격자는 단순 접근 확보를 넘어 제어 루프를 이해·매핑하는 단계로 이동했고, 방어 측은 정찰·횡적 이동·데이터 유출 징후를 OT 영역에서 조기 포착하지 못하는 경우가 많다고 설명한다.
핵심 포인트: 왜 중요한가
1) IT 사고로 오인되면 OT 리스크가 의사결정에서 사라진다
OT.Today 기사에는 운영 중단이나 물리적 피해가 있었음에도 데이터 부족으로 사이버 연관성을 명확히 못 한 사례가 제시된다. 이 경우 경영진 보고, 보험 처리, 규제 보고가 IT 장애 프레임으로 흘러가 OT 보안 투자 우선순위가 뒤로 밀릴 수 있다.
2) 공격 난이도보다 연결 구조가 더 큰 위험 요인이다
기사에서 인용된 Dragos 분석은 특수한 ICS 익스플로잇 없이도 운영 충격이 가능하다고 본다. 엔지니어링 워크스테이션, OT 연결 서버·가상화 호스트, ERP·백업·클라우드 SaaS 같은 운영 연계 자산이 마비되면 산업 프로세스 가시성과 제어 연속성이 함께 흔들린다.
3) 과장된 OT 침해 주장도 실제 피해를 키운다
보고서는 일부 랜섬웨어/하이브리드 해크티비스트가 OT 침해 역량을 과장했다고 지적한다. 예시로 Devman의 ICS-aware ransomware 주장은 Dragos 분석에서 기술적 증거가 확인되지 않았지만, 피해 조직의 의사결정 지연과 언론 증폭으로 협박 압력이 커졌다고 설명된다.
4) 고도 공격은 사전 배치를 넘어 제어 루프 내부 준비로 이동 중이다
Dragos 설명에 따르면 일부 위협 행위자는 초기 접근 단계를 넘어 ICS Cyber Kill Chain Stage 2까지 진입해 정찰·개발·테스트를 진행한다. 이는 단순 데이터 탈취보다 공정 교란 가능성에 초점을 맞춘 준비 신호로 해석되며, 특히 중요 인프라 운영자에게는 탐지 지연 자체가 리스크다.
확인된 사실과 미확인 범위
- 확인된 사실: 26개 OT 위협 그룹 추적, 3개 신규 위협 그룹 등장, 30/56/88% 가시성·탐지 관련 지표, 랜섬웨어 운영 영향 확대.
- 출처 간 정의 차이 가능: 3,300(영향받은 산업 조직)과 3,318(산업 조직 대상 공격)은 동일 지표가 아니다.
- 미확인 범위: 특정 벤더·버전별 취약 구성, 국가별 세부 피해 통계는 제공 소스에서 확인되지 않는다.
영향/리스크
영향받는 시스템(소스에서 확인 가능한 범위)
- OT와 직접 또는 간접 연결된 Windows 서버/엔드포인트
- 엔지니어링 워크스테이션 및 OT 운영 콘솔
- SCADA/HMI/엔지니어링 워크로드를 호스팅하는 가상화 인프라(하이퍼바이저)
- OT 연속성 기반 자산인 ERP, 백업 인프라, 클라우드 SaaS
공격이 가능해지는 조건(개념 수준)
- OT 경계 트래픽을 저장하지 않아 사고 전후 비교가 불가능한 환경
- 헬프데스크 인증·비밀번호 재설정·MFA 재등록 통제가 약한 환경
- IT 계정 권한 상승이 OT 운영 자산 접근으로 이어지는 신뢰 경로
- 가상화·백업 장애가 곧 운영 중단으로 이어지는 단일 장애 구조
탐지 포인트(로그/IOC 관점)
- Identity/Helpdesk 로그: 단시간 다계정 비밀번호 재설정, MFA 재등록 급증, 헬프데스크 티켓 기반 권한 변경.
- 권한 상승 이벤트: 운영 관련 AD/IdP 그룹 비정상 추가, 야간·휴일 고권한 세션 발생.
- 가상화·서버 로그: SCADA/HMI VM 동시 암호화 징후, 관리 콘솔 비정상 로그인, 스냅샷·백업 삭제 시도.
- OT 경계 텔레메트리: 평소 대비 급격한 구성 파일 접근·유출 패턴, 원격관리 채널의 비정상 세션 길이·빈도.
- 운영 징후 연계: denial of view(모니터링 상실), denial of control(제어 불가), 수일 생산성 저하를 보안 이벤트와 즉시 상관분석.
대응 체크리스트
0~24시간: 즉시 통제
- OT 연계 계정의 비밀번호 재설정·MFA 재등록 정책을 긴급 점검하고, 헬프데스크 고위험 요청에 2인 승인 적용.
- SCADA/HMI/엔지니어링 VM, OT 점프서버, 백업 서버의 최근 인증 로그를 우선 수집·보존.
- 랜섬웨어 영향 의심 시 IT 장애로 단정하지 말고 OT 운영팀과 합동으로 물리 공정 영향 여부를 동시 판정.
- 경영진 브리핑에서 확인 사실·미확인 사실·가정을 분리해 보고해 의사결정 지연을 최소화.
24~72시간: 가시성 보강
- IT/OT 경계 구간의 패킷 메타데이터 또는 프로토콜 텔레메트리 수집 범위를 확대하고 보존기간 기준을 수립.
- IdP, AD, VPN, 원격접속, 하이퍼바이저, 백업 솔루션 로그를 SIEM 단일 타임라인으로 상관분석.
- 운영 연계 핵심 자산(ERP·백업·가상화)의 복구 우선순위를 OT 연속성 기준으로 재정의.
1~4주: 구조 개선
- OT 운영 연속성에 직결되는 IT 자산 목록을 공식화하고 침해 시 공정 영향 기준으로 자산 등급 재분류.
- 공격자 과장 주장 대응을 위해 외부 커뮤니케이션 템플릿(기술 검증 전 발표 금지, 증거 기반 업데이트) 마련.
- 규제 대응(CIRCIA 등)과 별개로 탐지 성숙도 KPI(탐지 시간, OT 연계 로그 커버리지, 오분류율)를 월 단위 추적.
FAQ
Q1. 이 이슈는 특정 OT 제로데이 취약점 사건인가?
아니다. 제공 소스의 핵심은 특정 CVE보다 가시성 부족과 신원(Identity) 경로 악용이다. 즉, 취약점 하나의 문제가 아니라 운영·인증·모니터링 구조 문제에 가깝다.
Q2. 왜 IT 사건으로 분류되는 것이 위험한가?
OT 영향이 누락되면 복구 우선순위, 보험·규제 보고, 재발방지 투자 방향이 왜곡된다. 결과적으로 다음 사고에서도 동일한 OT 맹점이 반복될 가능성이 커진다.
Q3. 당장 무엇부터 해야 하나?
첫째, 헬프데스크·비밀번호 재설정·MFA 재등록 통제를 강화한다. 둘째, OT 경계 텔레메트리와 가상화·백업 로그를 보존한다. 셋째, 사고 분류 단계에서 OT 운영팀을 즉시 포함해 물리 공정 영향을 병행 판단한다.
Q4. 5~10%와 30% 수치가 다른데 어떤 값을 봐야 하나?
두 수치는 출처와 측정 정의가 다를 가능성이 높다. OT.Today 기사의 5~10%는 인터뷰 발언 맥락, Dragos 페이지의 30%는 리포트 요약 지표다. 실무에서는 절대값 논쟁보다 내부 가시성 측정 지표를 명확히 두고 개선 속도를 관리하는 것이 중요하다.