1. OT 보안에 대한 국내 현장의 인식과 현실
과거 많은 공장이 대형화되고 지능화되면서 대부분의 공공시설 및 대기업 공장은 고도화된 NW(네트워크) 구성을 갖추게 됐습니다. NW 구성 고도화의 기본 원칙은 ‘폐쇄망’인데요. 공장 NW를 구성해 외부로부터의 접속을 통제하고, 침입을 막는다는 것을 기본 원칙으로 해왔습니다. 그래서 많은 시설, 공장 운영자는 폐쇄형 환경이기에 안전하다는 인식을 갖고 있습니다.
또한 인권에 대한 인식이 높아지면서 안전에 대한 인식도 함께 높아지고 있지만, 폐쇄망이 주는 안락함으로 인해 보안 인식은 여전히 부족한 상태입니다.
이러한 실태는 USB 등을 통한 악성코드 감염으로 발생한 많은 사고 사례를 통해 드러나고 있는데요. 공장의 생산 효율성을 위해 설비와 전산장비의 유지보수 시 외부 연결을 허용하는 관행을 자주 접할 수 있다는 점에서 알 수 있습니다.
시설과 공장은 점차 대형화되고 있지만, 막대한 초기 투자비로 인해 오래된 설비를 수십 년 간 사용하고 있으며, 여기에 시설 확장을 위해 도입한 신규설비도 혼재해 있습니다. 그렇기 때문에 관리조차 어려울 정도의 수많은 프로토콜 통신으로 구성되고 있는데요. 이에 대한 자산관리가 매우 미흡한 것이 국내 시설과 공장의 현실입니다.
최신 IT 보안을 적용하기 어려운 오래된 기계설비와 제어시스템이 혼재해 있고, 설비 제조사마다 각기 다른 전용 프로토콜과 OS를 사용하는 것이 문제인데요. 이로 인해 보안 대상이 되는 현장의 전체 설비와 네트워크에 대한 모니터링과 관리가 제대로 이루어지지 않아 자산에 대한 가시성 및 식별이 어려운 상황입니다.
이러한 상황 속에서 OT 환경에 대한 이해도가 높은 보안 인력이 부족할 수밖에 없는데요. IT 보안 전문가가 시설과 공장의 보안 영역을 관장한다 해도 OT 환경에 대한 이해가 높은 IT 보안 인력 (융합 전문가)이 부족하기에 국내 시설과 공장은 보안 사각지대가 되고 있습니다.
보안 영역의 소외로부터 벗어나기 위한 시도는 시장과 고객의 인식이 조금씩 개선되면서 꾸준한 제도적(컴플라이언스) 노력과 함께 진행됐는데요. 이러한 흐름 속에서 수많은 보안사업 플레이어와 시장은 OT보안 시장을 새로운 블루오션으로 규정하고, 이 시장에 도전하고 있습니다.
2. 블루오션 OT 보안 시장에서 사업의 접근
전문가들은 블루오션 시장에서 사업을 추진하기 위한 전략으로 가치혁신을 통한 신시장 창출을 논의하고 있습니다. 더불어 가치 혁신을 추진할 때 가치와 혁신 중 어느 한쪽에 치우치지 않고 균형을 잡아야 한다는 것을 강조하고 있죠. 예를 들어, 가치를 높이기 위해 기술 위주의 혁신만 이루고자 할 경우 고객으로부터 필요성을 이끌어내지 못하기 때문에 능동적인 영업 및 사업성과 창출이 어렵습니다.
기업들은 시장에서 더 많은 이익을 얻기 위해 경쟁 기업을 뛰어넘으려 노력하죠. 그런데 경쟁자가 많아지면 많아질수록 기업의 수익과 성장에 대한 기대치는 낮아지기 마련입니다. 시장에 진입하고자 개발한 상품이 흔한 솔루션이 되기도 하고, 치열한 경쟁으로 가격을 낮추거나 고도의 기술을 보유하기 위해 많은 투자(매몰 비용)를 하게 되는데요. 이렇듯 시장이 유혈의 바다로 변해가는 것을 가리켜 르네 마보안 교수는 ‘레드오션’이라 명했습니다. 이에 반해 ‘블루오션’은 현재 존재하지 않는 시장 공간을 나타내며 새로운 수요 창출과 고수익의 성장을 향한 기회라고 정의했습니다.
블루오션의 시작점에서 리더로 자리매김하려면 제품 또는 서비스와 솔루션에 대한 기술적 가치를 창출하고, 시장에 접근하는 혁신적인 사업 전략을 탄탄하게 갖춰야 합니다.
혁신적인 사업 전략을 고민하기 위해서는 블루오션을 형성하게 되는 시장의 환경과 고객의 현실 상황을 체계적으로 분석해 접근해야 하는데요. 블루오션을 공략하기 위한 가치는 경쟁 플레이어의 동향과 고객 니즈를 광범위하게 분석해 전략을 수립해야 합니다.
OT보안은 이러한 블루오션의 혁신과 가치에 대한 접근과 조금은 다른 특성이 있는데요. 그것은 바로 보안이라는 특성으로 인해 사업추진에 제약으로 작용하면서도, 시장 형성에 강력한 파워를 구사하는 컴플라이언스가 매우 큰 환경 요인으로 존재한다는 점입니다.
블루오션 초기에 있는 OT보안 시장에서 전략적 사업 접근에 대한 4가지 Case를 살펴보면 다음 [그림 1]과 같습니다.
여러 가지 분석 대상과 항목, 그리고 객체들이 있지만 이번 글에서는 그중 일부를 가지고 간단하게 시장환경과 플레이어 동향을 살펴보겠습니다.
[Case 1] 컴플라이언스 기반의 시장 환경을 기준으로 기존 IT 보안 및 신규 OT보안 플레이어가 움직이는 동향인 교집합 A를 중심으로 접근하는 경우를 알아보겠습니다. 이 경우, OT보안 시장에서 반드시 형성될 사업 분야에 리스크 없이 정확한 제품과 솔루션, 서비스 모델로 추진할 수 있다는 장점이 있는데요. 하지만 OT보안 시장 안에서 레드오션으로 쉽게 빠져들 수 있습니다. 또한, 실질적으로 매출을 발생시키는 근접 행위인 영업 단계에서 고객으로부터 필요성과 제품 수용성을 이끌어 내기 어려워 초기 성과 창출이 쉽지 않다는 단점을 갖고 있습니다.
[Case 2] 컴플라이언스 시장 환경에 따라 고객이 수용할 수밖에 없는 상황에서 접근하는 교집합 B의 경우를 살펴보겠습니다. 이 경우, 사업 전략을 추진할 때 경쟁력 있는 솔루션과 서비스를 경쟁 플레이어보다 빠르게 출시하고, 시장을 선점할 수 있다는 장점이 있습니다. 또한, 선점하고자 하는 제품과 솔루션의 필요성을 고객에게 쉽게 설명하고, 필요성을 이끌어 낼 수 있다는 장점이 있죠.
그러나 이러한 효과를 발생시키기 위해서는 경쟁 플레이어를 막을 수 있는 진입장벽이 높은 제품과 솔루션, 서비스를 구현해야 한다는 어려움이 있는데요. 그렇기 때문에 매우 큰 초기 투자 비용에 대한 리스크를 감수해야만 하는 단점이 있습니다. 그리고 초기 고객으로부터 요구되는 제품, 솔루션, 서비스에 대한 높은 기준을 충족하기 위한 기술 및 영업적 프로모션의 투자도 감수해야 합니다.
[Case 3] 시장환경의 현실적 상황을 고려하지 않고, 고객 니즈와 경쟁 플레이어들의 동향을 중심으로 사업 전략을 수립해 접근하는 교집합 C의 경우를 알아보겠습니다. 초기 많은 플레이어가 그 필요성과 수용성을 설득해 놓은 고객을 대상으로 검증된 제품, 솔루션, 서비스로 함께 진입하는 경우인데요. 그렇기 때문에 초기 블루오션 시장에 쉽게 진입할 수 있습니다. 더불어 초기 사업 성과를 발생시킬 수 있다는 장점을 갖고 있죠.
하지만 OT보안 시장만이 가질 수 있는 독보적인 경쟁력을 확보하기가 어렵고, 그것이 어떠한 경쟁력인지 인식하기도 어려운데요. 컴플라이언스 형성 속도에 무방비 상태로 노출돼 사업 성장률이 매우 낮을 가능성이 높습니다. 또한, 선제적으로 도입할 수 있는 대형 고객을 대상으로 진행되기 때문에 적은 수의 고객 풀에서 경쟁해야 하는 어려움이 있습니다.
[Best Case] 컴플라이언스 시장 환경의 변화와 블루오션에 접근하고 있는 플레이어의 동향, 그들의 장점과 어려움, 고객의 니즈와 수용 의지, 인식 등을 동시에 고려해 접근하는 교집합 D는 어떨까요? 이 경우, 앞서 설명했던 Case1,2,3의 장점을 동시에 고려할 수 있고, 각 Case가 가진 단점을 보완할 수 있는 대안을 찾을 수 있습니다.
보통 사람이 가장 효과적으로 동시에 분석하고, 고민과 결정을 할 수 있는 경우는 2개를 놓고 고민하는 경우라고 합니다. 그래서 SWOT 분석에서도 SO 전략, WT 전략을 구분해 전략을 수립하는 방법론이 오랫동안 사용됐죠. 그래서 Best Case의 접근 방법으로 블루오션인 OT보안시장에서의 사업 전략을 수립하는 것은 그리 단순하지만은 않은데요. 고도의 분석과 함께 체계적으로 접근할 필요가 있습니다.
Best Case의 접근을 통한 OT보안 시장에서의 전략 수립 장단점, 그리고 그 방향성에 대한 논의는 다각도에서 이루어져야 합니다. 다음 글에서는 시장 환경 중 컴플라이언스 환경 영역에서 특색 있는 포인트와 OT보안 시장에서 해당 포인트와 관련된 플레이어의 동향에 관해 살펴보겠습니다.
※본 사업전략 접근 방법론은 아직 학술적으로 검증단계를 거치지 않은 방법론입니다. 본 접근 방법론의 지식재산권은 필자와 LG CNS에 귀속됨을 명시합니다.
[참고]
KISA, 주요정보통신기반시설 기술적 취약점 분석.평가방법 상세가이드, 2021.3
Global Market Insights, ICS Security Market Report 2026, 2020
강민균, 산업제어시스템의 국가별 사이버 보안 현황, ICT신기술, 정보통신기획평가원, 2019.10
김위찬, 르네 마보안; 블루오션 전략, 교보문고, 2005.
김진철, 발전제어시스템 보안모니터링 기술 동향, ICT신기술, 정보통신기획평가원, 2021.1
송창용, 비즈니스 진화에 기초한 블루오션 전략캔버스의 개선에 관한 연구, Journal of the Society of Korea Industrial and Systems Engineering, Vol. 35, No. 3, 2012
글 ㅣ LG CNS 사이버시큐리티팀 허철준 책임