제조업 OT 사이버보안 구축 완벽 가이드 — 무방비 OT 망에서 IEC 62443 준수까지 5단계 로드맵

1. 왜 지금 OT 사이버보안이 필요한가

회사 IT 망은 방화벽·EDR·SIEM으로 견고하지만, 공장 OT 망은 20년 된 윈도우 XP가 PLC 옆에서 돌고, 외부 정비사가 USB 메모리로 펌웨어를 업데이트하고, MES 서버는 인터넷에 직접 연결되어 있는 — 이런 OT 환경은 한국 중소·중견 제조업에 아직도 흔합니다. 2017년 워너크라이로 한국 자동차 공장이 멈췄고, 2024년에는 글로벌 제조업체들의 OT 랜섬웨어 피해가 평균 가동 중단 21일, 손실 870억 원에 이릅니다.

OT(Operational Technology, 운영기술) 사이버보안을 도입한 중견 제조업체의 정량 효과는 일관됩니다.

OT 보안 사고 사전 차단율 90% 이상 — 침입 탐지·이상 행위 감지·자동 차단
가동 중단 위험 80% 감소 — 랜섬웨어·정보 유출·운영 방해 사고 예방
인증·고객 요구 대응 — IATF·고객 OT 보안 감사·중대재해법 안전 시스템 보호
사이버 보험료 절감 — 보안 등급에 따라 보험료 30~50% 인하 가능
글로벌 OEM 공급 자격 유지 — 자동차·반도체·방산은 OT 보안 미달 시 공급 자격 박탈

이 글은 무방비 OT 망에서 IEC 62443 준수 사이버보안 체계까지의 5단계 로드맵을 정리합니다. 각 단계의 산출물·KPI·솔루션·비용을 한국 제조 현장 기준으로 다룹니다.

2. OT 보안 성숙도 5단계

본격 도입 전에 현재 위치를 객관적으로 진단해야 합니다. OT 보안은 정답이 하나가 아니라 공정 위험·자본 집약도·고객 요구에 따라 시작점이 다릅니다.

단계	명칭	특징	일반 비중
Level 1	Exposed	OT-IT 망 분리 없음. 무방비 노출. 보안 정책 부재	중소 35%
Level 2	Basic Segmentation	방화벽으로 OT-IT 분리. 일부 접근 제어	중소·중견 30%
Level 3	Managed Security	OT 자산 인벤토리·접근 통제·이상 감지 일부 운영	중견 20%
Level 4	IEC 62443 Aligned	IEC 62443 준수. SOC·SIEM·EDR 통합. 사고 대응 체계	중견·대기업 12%
Level 5	Zero Trust OT	Zero Trust·자율 대응·디지털 트윈 보안·생성형 AI 위협 인텔리전스	대기업·외자 3%

자가 진단을 빠르게 하시려면 다음 4가지 질문에 답해 보세요.

OT 망과 IT 망이 방화벽·게이트웨이로 분리되어 있는가
OT 자산(PLC·HMI·SCADA·MES)을 인벤토리로 관리하고 있는가
OT 망 이상 행위를 실시간 모니터링·알람받는가
OT 사고 발생 시 **사고 대응 절차(IR Playbook)**가 정의되어 있는가

4개 모두 “아니오”면 Level 1, 1~2개 “예”면 Level 2, 3개 “예”면 Level 3, 4개 모두 “예”면 Level 4 진입 단계입니다.

Risk Matrix 5×5 · Bow-Tie 분석 · FTA로 베이스라인을 측정하면 진단의 기초 데이터가 됩니다.

3. 단계 1: 진단·위험 평가 (1~3개월)

본 구축 전 반드시 거쳐야 할 단계. 진단 없이 솔루션부터 발주하면 “비싼 보안 장비는 있는데 진짜 위험은 못 막는” OT 보안이 됩니다.

핵심 산출물

OT 자산 인벤토리 — PLC·DCS·HMI·SCADA 서버·엔지니어링 워크스테이션·이력관리(Historian)·MES·LIMS의 모델·OS·펌웨어·통신·취약점
네트워크 토폴로지 — OT 망의 현재 구조, IT 망과의 연결점, 외부(인터넷·VPN·USB·정비사) 접근점
위험 평가 — IEC 62443·NIST CSF 기반 위험 평가. 자산 중요도·위협·취약점·영향
법규·표준 매핑 — 적용 받는 법규(정보보호법·중대재해법·산안법)·고객 요구(IATF·OEM 보안)·표준(IEC 62443·NIST CSF·ISO 27001)
요구사항 명세서(RFI) — 우선순위 5~7개 (단순 기술 X, 가동·안전·고객 임팩트 중심)
변화관리 위험 평가 — OT 운영자·정비사·외부 공급사의 보안 친숙도

활용 도구

Risk Matrix 5×5 — OT 보안 위험 평가
Bow-Tie 분석 — 사고 시나리오 시각화
HAZOP 시트 — 공정 위험 분석
FTA(Fault Tree Analysis) — 사고 근본 원인 분석
PFMEA / RPN — 잠재 보안 위협 평가

이 단계의 목적은 “어떤 솔루션을 살까”가 아니라 **“우리 OT의 핵심 자산·위협·영향을 정량 평가”**하는 것입니다. 모든 자산을 같은 강도로 보호하면 과투자, 일률적 무방비면 위험.

4. 단계 2: 데이터·프로세스 표준화 (2~5개월)

OT 보안은 표준이 있어야 작동합니다. 비표준화 OT 환경을 그대로 보호하면 “디지털화된 혼란”이 됩니다.

6가지 표준화 작업

1. 네트워크 분리(Segmentation) — IT-OT 게이트웨이, OT 내부 구역(Zone)·연결(Conduit) 분리. IEC 62443-3-2 표준 준수. 핵심 라인은 별도 VLAN.

2. 접근 통제 — OT 운영자·정비사·외부 공급사의 권한 매트릭스. 다요소 인증(MFA), Just-in-Time 접근, 모든 접근 감사 로그.

3. 자산 관리 표준 — PLC·HMI·SCADA의 펌웨어·OS·소프트웨어 버전 표준. 패치 정책(긴급·정기·연기 룰).

4. 사고 대응 절차(IR Playbook) — 랜섬웨어·정보 유출·운영 방해 등 시나리오별 대응 절차. 격리·복구·통신·법적 의무 신고.

5. 백업·복구 표준 — PLC 프로그램·HMI 설정·SCADA 데이터의 정기 백업. 오프라인 백업·복구 테스트 분기 1회.

6. 외부 공급사·정비사 관리 — 외부 인력의 OT 망 접근 룰. 사전 승인·접속 기록·접속 제한·USB 사용 통제.

활용 도구

Risk Matrix 5×5 — 위험 표준화
Bow-Tie 분석 — 시나리오 표준
HAZOP 시트 — 공정 위험 분석
Supplier Risk Matrix — 공급사 보안 평가
Stage-Gate 체크리스트 — 단계별 게이트

표준화 부실이 OT 보안 실패의 60% 원인입니다. OT 보안 구축 비용의 25~35%를 이 단계에 배정하는 것이 안전합니다.

5. 단계 3: 솔루션 선정 (1~3개월)

표준화가 완료되면 솔루션 선정이 의미를 가집니다. 한국 OT 보안 시장은 크게 네 갈래입니다.

옵션 비교

옵션	적합 규모	초기 비용	운영 비용	장점	단점
글로벌 Tier 1 (Claroty·Nozomi Networks·Dragos·Tenable.ot·Forescout·Cisco Cyber Vision·Microsoft Defender for IoT)	매출 1,000억 이상·다국가	5~50억	연 2~20억	검증된 위협 인텔리전스, 산업 패키지, 글로벌 표준	한국어·로컬화 일부 미흡
국내 OT 보안 (안랩·이글루·시큐아이·시큐어소프트·소프트와이드·SK쉴더스 ICS)	중소·중견	3천만~5억	연 1천만~3억	한국어, KISA·과기정통부 연계, 빠른 응대	글로벌 OT 위협 인텔리전스 일부 제한
방화벽·게이트웨이 (Fortinet·Palo Alto·Check Point·Cisco·국내 시큐아이·아이서티)	OT-IT 분리 우선	1천만~5억	연 5백만~2억	검증된 네트워크 분리, 친숙한 운영	깊은 OT 가시화 한계
MSSP·SOC 위탁 (안랩·이글루·SK쉴더스·KT·LG U+·Verizon·IBM)	중소·내부 인력 부족	5천만~5억	연 3천만~3억	24/7 SOC 운영, 즉시 시작 가능	외부 의존 위험

선정 체크리스트 9가지

OT 프로토콜 가시화 — Modbus·Profinet·EtherNet/IP·OPC UA·CC-Link 등 industrial protocol 깊이 분석
자산 자동 발견 — Passive scanning으로 운영 방해 없이 자산 인벤토리
이상 행위 감지 — 베이스라인 학습 + 이상 행위 자동 감지
취약점 관리 — CVE·ICS-CERT·KISA 취약점 자동 매칭
사고 대응 통합 — SIEM·SOC·IR Playbook 통합
MES·SCADA 비방해 — 보안 솔루션이 운영에 지연·간섭 없음
현지 지원 — 한국어 응대·24/7 사고 대응
인증 보유 — IEC 62443·NIST CSF·ISO 27001 솔루션 인증
확장성 — 자산·사이트·이벤트 2~3배 증가 시 라이선스·성능

활용 도구

Pugh Matrix — 솔루션 후보 1차 평가
AHP — 다기준 가중 평가
TCO 계산기 — 5년 총 소유 비용
Make vs Buy — 자체 SOC vs MSSP 위탁

6. 단계 4: 구축·전환 (4~12개월)

솔루션이 정해지면 본 구축. 이 단계의 성패는 운영 무중단 도입 + 사고 대응 훈련 + 외부 공급사 협업의 삼위일체입니다.

주요 작업

네트워크 분리 구축 — OT-IT 게이트웨이, OT 내부 Zone·Conduit 분리. 평균 2~4개월
자산 인벤토리 자동화 — Passive scanning 도구로 모든 OT 자산 자동 등록
모니터링·SOC 운영 — 24/7 모니터링(자체 또는 MSSP), SIEM·EDR 통합
접근 통제 강화 — MFA·Just-in-Time·외부 접속 VPN 구축
취약점 관리 — 핵심 자산 우선 패치, 패치 불가 시 보상 통제(컴펜세이팅 컨트롤) 적용
사고 대응 훈련 — Tabletop 훈련 분기 1회, 실전 시뮬레이션 연 1회
백업·복구 체계 — PLC·HMI·SCADA 정기 백업, 분기 복구 테스트
외부 공급사 협업 — 정비사·SI·OEM 등 외부 접근의 보안 룰 합의
파일럿 → 확대 — 1개 사이트·1개 라인에서 1~2개월 안정화 후 확대

흔한 함정 8가지

운영 방해 — 보안 도구가 OT 운영에 지연·간섭 → 사용 거부, 보안 회피
IT 보안 그대로 적용 — IT용 EDR·패치 정책 OT에 적용 → 운영 마비
자산 인벤토리 부실 — 일부 자산 누락 → 사각지대 발생
외부 접근 통제 누락 — 정비사 USB·VPN으로 침입 → 가장 빈번한 침입 경로
백업·복구 미검증 — 실전에서 복구 실패 → 가동 중단 장기화
사고 대응 훈련 부재 — 실전에서 대응 혼란 → 피해 확산
임원 무관심 — IT 부서만 짊어짐 → 예산·실행 동력 부족
KPI 미정의 — 보안 효과 측정 기준 사전 합의 없으면 ROI 평가 불가

활용 도구

Stage-Gate 체크리스트 — 단계별 게이트 통과
Skill Matrix — OT 보안 운영팀 역량 진단
PFMEA / RPN — 신규 워크플로우 잠재 고장
Risk Matrix 5×5 — 전환 위험 평가
Training ROI — 보안 교육 투자 회수

7. 단계 5: 운영·고도화 (12개월 이후 지속)

구축 후 3~6개월 안에 안정화, 1년 후부터 고도화 단계.

운영 KPI 7가지

자산 가시화율 — 등록·모니터링 중인 OT 자산 비율 (목표 95% 이상)
이상 행위 감지율 — 침입·이상 행위 사전 감지 비율 (Red Team 테스트 기준)
평균 사고 감지 시간(MTTD) — 침입 발생 → 감지 평균 시간 (목표 24시간 이내)
평균 사고 대응 시간(MTTR) — 감지 → 격리·복구 평균 시간 (목표 1주 이내)
패치 적용율 — 핵심 자산의 보안 패치 적용 비율 (목표 80% 이상)
외부 공급사 보안 준수율 — 정비사·SI 등 외부 인력의 보안 룰 준수 비율
사고 발생 건수 — 분기·연간 OT 보안 사고 건수 (목표 0)

고도화 4단계 (방어 → 모니터링 → 자동화 → Zero Trust)

SOC 운영 고도화 — 24/7 자체 SOC 또는 MSSP, SIEM·SOAR 통합
자율 대응(SOAR) — 자동 격리·자동 차단·자동 알람 워크플로우
위협 인텔리전스 — ICS-CERT·CISA·KISA·민간 인텔리전스 결합
Zero Trust OT — “Never trust, always verify”. 모든 접근의 사전 검증·세그먼테이션

활용 도구

Pareto Chart — 사고·이상 우선순위
Risk Matrix 5×5 — 위험 추세 모니터링
Bow-Tie 분석 — 시나리오 분석
FTA(Fault Tree) — 사고 근본원인
MTBF·MTTR — 보안 가용성

8. 비용·일정 가이드라인

규모별 표준 예산 (한국 시장 기준).

규모	매출·자산	솔루션	초기 비용	운영 비용	일정
소형	매출 50~~200억 / OT 자산 30~~100	방화벽·국내 OT 보안·MSSP 위탁	1천만~5천만	연 5백만~3천만	3~6개월
중형	매출 200~~1,000억 / OT 자산 100~~500	Claroty·Nozomi·국내 OT 보안·자체 SOC	5천만~3억	연 2천만~1.5억	6~12개월
중견	매출 1,000~~5,000억 / OT 자산 500~~3,000	Claroty·Dragos·Forescout·Cisco·24/7 SOC	3~30억	연 1~5억	12~24개월
대기업	매출 5,000억 이상 / 다공장	글로벌 OT 보안 + 자체 SOC + Zero Trust	30~300억	연 5~50억	18~36개월

비용 구성 — 라이선스 25%, 컨설팅·구축 30%, 인프라(방화벽·게이트웨이·서버) 20%, SOC 운영(자체 또는 MSSP) 20%, 교육·훈련 5%.

ROI 회수 기간 — 일반적으로 12~24개월. 사고 예방·가동 보호·인증 유지·보험료 절감이 주 동력. OT 보안은 ROI 이전에 법적·고객 요구로 인한 필수.

9. IEC 62443 5대 핵심 영역

IEC 62443은 OT 사이버보안의 글로벌 표준입니다. 5대 핵심 영역을 이해해야 합니다.

시리즈	영역	핵심 내용
IEC 62443-1	일반	용어·개념·원칙. 보안 등급(SL 1~4) 정의
IEC 62443-2	정책·절차	보안 관리 체계, 패치 관리, 사고 대응
IEC 62443-3	시스템	시스템 보안 요구사항, Zone·Conduit 설계
IEC 62443-4	제품	OT 제품(PLC·HMI 등)의 개발 보안 요구사항
IEC 62443-2-4	통합사·공급사	시스템 통합사·외부 공급사 보안 요구사항

선택 가이드: 운영사(제조업체)는 -2 시리즈와 -3 시리즈 중심, 시스템 통합사는 -2-4·-4 시리즈 중심, OT 제품 공급사는 -4 시리즈 중심.

자세한 산업·국가 표준은 EHS 구축 로드맵에서 다룹니다.

10. 흔한 실패 함정 8가지

운영 방해 — 보안 도구가 OT 운영 지연 → 사용 거부
IT 보안 그대로 적용 — 운영 마비
자산 인벤토리 부실 — 사각지대 발생
외부 접근 통제 누락 — 정비사 USB·VPN 침입
백업·복구 미검증 — 실전 복구 실패
사고 대응 훈련 부재 — 실전 대응 혼란
임원 무관심 — IT 부서만 짊어짐
KPI 미정의 — ROI 평가 불가

11. 도입 전 자가진단 10문항

본격 검토 전 다음 10개 질문에 답해 보세요. **6개 이상 “예”**면 즉시 도입, 3~5개면 진단·표준화부터, 2개 이하면 방화벽·기본 분리부터.

OT 망이 IT 망 또는 인터넷과 직접 연결되어 있는가
외부 정비사·SI가 USB·노트북으로 OT에 접속하는가
PLC·HMI·SCADA의 OS·펌웨어 버전을 모르는가
OT 자산 인벤토리가 종이·엑셀에 있고 갱신이 안 되는가
OT 망 이상 행위를 실시간 알 수 없는가
사이버 보안 사고 대응 절차가 정의되어 있지 않은가
글로벌 OEM(자동차·반도체·방산)의 OT 보안 감사를 받는가
IATF·중대재해법·정보보호법 등 보안 요구를 받고 있는가
매출 100~10,000억대이고 OT 자산 30개 이상 운영 중인가
디지털 트윈·MES·AI 도입 계획이 있고 보안 강화가 필요한가

마치며

OT 사이버보안 구축은 3개월~3년의 중·장기 프로젝트입니다. 솔루션 도입이 아닌 자산 가시화 + 운영 무중단 적용 + 사고 대응 체계 + 외부 공급사 협업의 결합이 본질입니다. 가장 자주 실패하는 사례는 IT 보안 도구를 그대로 OT에 적용해 운영을 방해하거나, 외부 공급사·정비사의 접근 통제를 가볍게 보는 경우입니다.

본문의 5단계 로드맵에서 단계 1·2(진단·표준화)가 전체 비용의 25~35%를 차지하는 이유입니다. OT 보안의 가치는 솔루션에 있지 않고 모든 OT 자산이 가시화되고, 사고 발생 시 즉시 격리·복구 가능한 체계에 있습니다.

SCADA·MES·자동화·AI와의 관계는 SCADA·HMI 구축 가이드 · MES 구축 로드맵 · 공장 자동화·로봇 가이드 · AI 제조 도입 가이드에서 다룹니다.

NEXTON GLOBAL은 OT 보안·SCADA·MES·자동화의 통합 컨설팅을 제공합니다. 위험 평가·IEC 62443 갭 분석부터 솔루션 선정·SOC 운영·사고 대응 훈련까지 전 단계 동행이 필요하시면 솔루션 페이지에서 상담을 요청해 주세요.