유럽연합(EU)을 중심으로 운영기술(OT) 보안을 강화하는 가운데 일본이 반도체 공장을 대상으로 OT 보안 지침을 발표해 주목받고 있다. 공장 등 산업시설의 디지털전환(DX)으로 사이버 공격의 사정권 안에 들어옴에 따라 전 세계적으로 OT 보안 태세를 높이는 데 분주한 모습이다.
10일 외신 등에 따르면, 일본 경제산업성은 반도체 소재 공장을 대상으로 한 OT 가이드라인을 발표했다.
OT 보안은 산업 현장에서 물리적 설비나 공정 제어 시스템을 안전하게 운영하기 위한 사이버보안 체계를 일컫는다. 과거엔 OT 시스템을 폐쇄망으로 운용했으나 최근 사물인터넷(IoT)·클라우드·원격 유지보수 등 외부와 연결이 늘어나면서 OT 보안은 필수가 됐다.
이번 가이드라인 역시 사이버 공격 고도화로 OT 시스템이 직접 공격받는 사례가 늘어나며 생산 중단, 기밀 유출, 품질 저하 등 심각한 피해가 발생하고 있다고 제작 배경을 설명했다. 특히 반도체 산업이 경제적·국가안보적으로 중요한 핵심 산업인 데다 윈도·리눅스 등 범용 운용체계(OS)를 사용하는 장비가 많고 공정이 자동화돼 있어 전용 보안 가이드라인을 마련했다고 밝혔다.
일본은 이번 가이드라인에서 국제반도체장비재료협회(SEMI) 표준과 미국 굴립표준기술연구소(NIST)의 사이버보안 프레임워크(CSF) 2.0 등 글로벌 표준과 정합성을 유지하면서 일본형 공장에 맞는 보안 지침을 수립하는 데 방점을 찍었다.
구체적으로 자산 관리 및 취약성 평가, 마이크로세그멘테이션(초세분화)·네트워크탐지·대응(NDR) 등 추가 방어 대책 수립, 사이버보안사고 대응 전담조직 운영, 물리적 접근 제한 등을 제시했다.
나아가 반도체 생산은 소재·설계·제조로 이어지는 복잡한 공급망으로 구성돼 있어, 단일 공장 OT에 초점을 맞춘 이번 가이드라인을 첫걸음으로 산업 생태계 전반의 보안 체계를 구축하겠다는 청사진도 내비쳤다.
한국도 OT 보안 중요성을 인지하고 있다. 국가정보원이 지난 5월 발표한 '제어시스템 보안 모니터링 구축 가이드라인'이 대표적이다. 이 가이드라인은 반도체·발전소·석유화학·교통·수자원 등 OT 기반 산업시설이 사이버보안 위협을 탐지·대응하기 위한 모니터링 체계 방안을 담았다.
정보보호업계는 원자력발전소·석유화학시설 등 OT 보안이 뚫릴 시 치명적인 결과로 이어질 수 있어 법제화를 통한 보안 강화가 필요하다고 강조한다. EU의 NIS2를 보면 OT 등 핵심 기반시설에 엄격한 수준의 사이버 보안을 요구하며, 보안 규정 미준수 시 1000만유로(약 168억원) 또는 글로벌 매출의 2%에 달하는 벌금을 부과할 수 있다.
한 정보보호기업 대표는 “개인정보 유출 등 일반적인 사이버 보안 사고는 2차 피해가 서서히 나타나지만 OT 보안을 등한시하면 시한폭탄을 안고 있는 것과 같다”며 “개별 기업·기관에 OT 보안을 자율로 맡기다가 돌이킬 수 없는 사고가 날 수 있는 만큼 강제 수준의 제도화가 필요하다”고 말했다.
조재학 기자 2jh@etnews.com
![[고정밀지도 반출 심의 보류]구글 세 번째 지도 반출 시도…AI·자율주행 산업의 '핵심 인프라'된 고정밀지도](https://img.etnews.com/news/article/2025/11/11/news-p.v1.20251111.24e46707b1e841f18cc12477773a330a_P1.png)
