▶️OT 환경 구성도
산업제어시스템(ICS)은 공장 설비가 안전하고 효율적으로 운영될 수 있도록 계층적으로 나누어진 구조를 가진다. 이 구조는 일반적으로 퍼듀 모델(Purdue Model)을 기반으로 하며, 각 레벨은 역할과 책임이 명확하게 구분된다.
이미지 출처:한국인터넷진흥원(KISA) - 스마트공장 계층구조 아키텍처
Level 0: Field Device(현장 장치) - 가장 아래 단계인 Level 0은 현장에서 직접 동작하는 장비들로 구성된다. 이 단계에는 온도, 압력, 속도 등을 측정하는 센서와, 명령에 따라 밸브를 열거나 모터를 돌리는 액추에이터가 포함된다. 공장의 “팔과 다리”처럼 실제 움직임과 감지 기능을 수행하는 영역이다.
Level 1: Basic Control(공정 제어) - 다음 단계인 Level 1은 Level 0을 제어하는 장비가 존재한다. 대표적으로 PLC(Programmable Logic Controller), RTU(Remote Terminal Unit), DCS(Distributed Control System)가 포함된다. 이 장비들은 센서로부터 데이터를 받아 분석하고, 필요한 동작을 액추에이터에 전달해 자동화 공정이 실행되도록 한다. 이를 사람의 신경 체계나 반사작용에 비유할 수 있다.
Level 2: 공정 전체를 관리하고 모니터링하는 단계이며 SCADA 시스템과 HMI가 포함된다. SCADA는 여러 PLC나 RTU에서 데이터를 수집하고 원격 제어할 수 있도록 지원하며, HMI는 작업자가 설비 상태를 눈으로 확인하고 직접 조작할 수 있는 인터페이스를 제공한다.
-> Level 2는 생산 공정을 사람이 이해할 수 있는 형태로 보여주고 통제하는 역할을 수행한다.
Level 3: Operations Management(생산 관리) - 3계층은 전체적인 생산 체계를 관리하고 운영 효율성을 더한다. 해당 계층은 생산 활동 전반을 최적화하는 MES(Manufacturing Execution System), 제품 수명 주기를 관리하는 PLM(Product Lifecycle Management) 등으로 구성된다.
실제 설비 제어는 하지 않지만, 생산성과 운영 최적화를 위한 중요한 의사결정을 지원한다.
Level 3.5: Industrial DMZ(완충지대) - 산업용 DMZ라고도 불리는 이 계층은 이 단계는 IT 환경(사무망)과 OT 환경(제어망) 사이의 중간지점 역할을 한다.
데이터 저장(Historian), 패치 서버, 업데이트 관리 시스템 등이 포함되며, 공격자가 IT망에서 OT망으로 침투하는 것을 방지하는 보안적 장벽 역할을 한다. IT–OT 융합 환경이 활성화되면서 이 영역의 중요성이 매우 커지고 있다.
*Level 3의 특성을 고려하여 Level 3.5로 하나의 계층을 추가적으로 세분화하여 보기도 함
Level 4~5:기업 IT 시스템 영역으로 ERP, CRM, SCM과 같은 전사적 업무 시스템이 포함된다. 이 단계는 생산 현장 운영보다는 경영·영업·재무 등 회사 전체 비즈니스 흐름을 관리하는 역할을 한다.
▶️OT망 공격 시나리오 예시
1단계: 현재 공장 상태
자동화된 공정으로 동작하고 있는 한 공장이 있다.
2단계: IT 영역 침투
공격자가 직원에게 악성 매크로 파일이 포함된 피싱메일을 보냈다. Zero-day 브라우저 취약점으로 인해서 ERP 사용자가 감염되었고 공격자는 내부의 PC 권한을 획득한다. 그리고선 NAS, DB, AD(Active Directiory) 등을 탐색한다.
3단계: OT 네트워크 접근 (Level 3.5 DMZ 침투)
공격자는 SMB 취약점 또는 취약한 계정의 패스워드를 탈취하여 로그인어 성공하고 Historian 서버에서 SCADA와 PLC 통신 패턴을 관찰한다. 이로인해 생산 스케줄·온도·압력 데이터까지 모두 파악되었다.
4단계: 제어시스템 침투(Level 2 → Level 1)
공격자는 SCADA/HMI 인증 우회 또는 기본 비밀번호를 이용해 로그인할 수 있었고
Shadow HMI를 생성하여 운영자 모르게 화면 표시값을 조작했다.
센서와 액추에이터 명령값을 조작했을 때의 결과이다.
5단계: 장애 및 생산 중단
공격자가 PLC화면을 조작하였지만 운영자에게 보이는 화면은 정상화면이라 이상을 늦게 감지한다.
설비 파손, 생산 라인 중단, 품질 불량 대량 발생 등의 문제가 발생하고 이로인해 공장은 큰 손실과 비용이 발생한다. 심각할 경우 공급망 전체 마비로 기업이미지 훼손과 법적 책임까지 물어야 한다.
