OT 프로토콜의 Runtime Identity Boundary 부재를 해결하는 4대 강화 아키텍처

Context

기존 IT/OT 융합 보안이 네트워크 분리와 방화벽 중심의 L3/L4 접근 제어에만 의존한 한계 노출. Modbus, BACnet 등 주요 OT 프로토콜이 Runtime 단계에서 Identity 검증 로직을 결여하여 네트워크 진입 후 모든 제어 권한이 무분별하게 부여되는 구조적 결함 발생.

Technical Solution

• Device Attestation 도입을 통한 하드웨어 기반(TPM) 또는 X.509 인증서 기반의 기기 신원 검증 강제
• Native 인증 기능이 없는 레거시 엔드포인트를 보호하기 위한 Authentication Proxy 및 Protocol Gateway 전면 배치
• Session-bound Trust Evaluation 구현으로 세션 생성 시점이 아닌 명령어 실행 시점의 컨텍스트(시간, 빈도, 명령 유형) 기반 지속적 신뢰 평가
• SCADA/HMI 경계에 Policy Decision Point를 구축하여 프로토콜 도달 전 RBAC 및 Least-privilege 기반의 사전 승인 체계 설계
• SecurityPolicy#None 및 미인증 엔드포인트를 Attack Surface로 규정하고 격리 또는 폐기를 통한 비인증 접점 원천 제거