OT 보안, C레벨 핵심 과제로 급부상…수익 손실 10% 줄였다

운영 기술(OT) 보안이 기업 최고경영진의 주요 의제로 부상하고 있다. 사이버 보안 기업 포티넷(Fortinet)이 발표한 ‘2025 OT 및 사이버보안 현황 보고서’에 따르면, 전 세계 기업의 52%가 OT 보안 책임자를 최고 정보 보안책임자(CISO)나 최고 보안책임자(CSO)에게 위임하고 있는 것으로 나타났다. 이는 2022년의 16%에서 큰 폭으로 증가한 수치로, 오늘날 OT 보안이 단순한 기술 부서의 이슈를 넘어 C레벨 의사결정권자에게 직접적으로 영향을 미치는 전략적 과제가 되었음을 보여준다.

특히 전체 조사 대상 기업의 95%는 OT 리스크를 경영진 차원에서 관리하고 있다고 답변했다. 이는 불과 2년 전 41%에서 급상승한 수치로, OT 보안이 전사적 리스크 관리의 핵심 요소로 자리 잡고 있음을 시사한다. 이러한 변화는 OT 보안 프레임워크의 공식화와 위험 관리 전략에의 통합을 촉진하며, 그 결과 OT 사고의 심각도 역시 점차 감소하고 있다. 실제로 수익에 영향을 주는 운영 중단 사례는 전년 대비 10%p 줄어든 42%로 집계되며, 보안 성숙도가 기업의 업무 연속성과 직결된다는 분석에 힘을 보탰다.

포티넷은 세분화된 네트워크 구성, 위협 인텔리전스 통합, 보안 벤더 통합 등 고도화된 보안 수단을 도입한 기업들이 실질적인 성과를 거두고 있다고 강조했다. 특히 자사 OT 보안 플랫폼을 도입한 조직은 위협 사고가 93% 감소했고, 중앙화된 제어 및 방어체계로 최대 7배에 달하는 성능 향상을 경험했다고 밝혔다.

이외에도 보고서는 효과적인 OT 보안을 위한 모범 사례도 함께 제시했다. ISA/IEC 62443 표준에 기반한 네트워크 세분화, OT 시스템의 보안운영센터(SecOps) 및 사고 대응 계획 내 통합, AI 기반 위협 인텔리전스 활용 등이 구체적으로 언급됐다. 이와 같은 권고는 OT 환경의 공격 표면을 최소화하고, 기존 보안 체계를 강화하는 데 초점을 맞추고 있다.

다만 긍정적 흐름 속에서도 우려점은 존재한다. 구형 OT 시스템의 보안 취약성이 대표적이다. 상당수 기업들이 여전히 업데이트나 패치가 어려운 기반 인프라에 의존하고 있어, 현대 보안 위협에 쉽게 노출되고 있다는 것이다. 블랙덕소프트웨어(Black Duck Software)의 팀 매키(Tim Mackey) 전략총괄은 SiliconANGLE과의 인터뷰에서 “오래된 인프라는 수명이 긴만큼 최신 보안 기준에 부합하지 않고, 공격자가 면밀히 준비한 정밀 공격에 쉽게 노출될 수 있다”고 경고했다.

포티넷의 최고운영책임자(COO) 존 휘틀(John Whittle)도 더큐브(theCUBE) 인터뷰에서 자체 보안 플레이북을 소개하며, 엔지니어링 중심 접근법이 OT 보안 혁신에 주효했다고 설명했다. 휘틀은 “공격이 점점 정교해지는 과정에서, 보안 체계의 간결성과 통합성은 앞으로의 경쟁력을 가를 핵심 요소”라고 강조했다.

이번 보고서를 통해 드러난 OT 보안 트렌드는 단순한 기술 혁신을 넘어, 기업 전략과 거버넌스 패러다임의 전환을 반영한다. OT 시스템을 둘러싼 위협이 복잡하고 조직화됨에 따라, 경영진은 이제 OT 보안을 전사 리스크의 일환으로 바라보고 실질적 통제권을 행사하고 있다. 이는 보안 주도 성장이라는 새로운 국면의 서막일지도 모른다.