Rain Lag

아날로그 사고 대응 ‘역 신호 랜턴’: 정전·단전 상황을 위한 휴대용 종이 비콘(runbook) 설계하기

산업 방어자들이 사이버 사고와 다크 사이트(정전) 상황에서도 흔들리지 않고 협조하며 대응할 수 있도록, 실용적인 ‘아날로그 신호 랜턴’—현장에서 바로 쓸 수 있는 휴대용 종이 런북(runbook)—을 설계하는 방법을 다룹니다.

아날로그 사고 대응 ‘역 신호 랜턴’: 정전·단전 상황을 위한 휴대용 종이 비콘(runbook) 설계하기

모든 화면이 꺼졌을 때, 당신을 안내해 줄 것은 무엇인가?

현대의 산업 제어 시스템(ICS, Industrial Control System) 환경에서는 가시성이 당연한 전제로 깔려 있습니다. 대시보드, 로그, SIEM 알림, OT 모니터링 도구, 온라인 플레이북 등입니다. 하지만 심각한 사이버 사고가 벌어지면 전력, 네트워크, HMI 시스템이 동시에 마비될 수 있습니다. 그 순간, 당신에게 필요한 것은 또 하나의 포털이나 200페이지짜리 정책 문서가 아닙니다.

당신에게 필요한 것은 신호 랜턴(signal lantern) 입니다.

이 글에서는 휴대용 종이 비콘—현장에서 바로 사용할 수 있는, 콤팩트한 종이 런북(runbook)—을 어떻게 설계할지 살펴봅니다. 어두운 역에서 신호를 보내던 옛날 역무원의 랜턴을 떠올리면 됩니다. 단순하고, 믿을 수 있으며, 정보가 부족하고 스트레스가 극심한 상황에서도 즉각적으로 이해 가능한 도구입니다.

효과적인 ICS 사고 대응은 다음과 같은 요소에 달려 있습니다.

  • OT 현실에 맞게 다듬고 현장에서 검증한 실질적 가이드
  • 사전 대비(Preparedness)구조화된 대응(Response) 의 균형
  • 모든 이해관계자가 참여하는 사전 협업과 합동 연습
  • 명확한 템플릿·분기 로직·유지 체계를 갖춘 런북 전략
  • 책임성과 속도를 높이기 위한 사고 대응 워크플로·트래킹과의 통합

왜 ICS 사고 대응에 ‘아날로그’ 사고가 필요한가

ICS 및 OT(Operational Technology) 환경은 일반 IT 네트워크와는 다릅니다. 노후 인프라, 안전 규제, 벤더 종속 시스템, 24/7 가동 압력 등이 뒤섞여 있습니다. 사고가 발생하면 가동 중단과 잘못된 대응의 비용이 매우 큽니다.

전통적인 사고 대응은 종종 다음과 같은 것들에 과도하게 의존합니다.

  • 온라인 문서 포털
  • 중앙 집중형 티켓팅·업무 관리 도구
  • 클라우드 기반 런북과 대시보드

이 도구들은 평소에는 유용하지만, 사이버 사고, 정전, 네트워크 분리 같은 상황으로 갑자기 사용할 수 없게 될 수 있습니다.

ICS 환경에서 효과적인 사고 대응은 ‘저하된(degraded) 조건’을 전제로 해야 합니다. 예를 들면:

  • 영향을 받은 시스템에 대한 가시성이 제한됨
  • 팀·사이트 간 통신 수단이 제한되거나 단절됨
  • 디지털 문서·협업 도구의 상실
  • 높은 스트레스, 시간 압박, 안전 우려

모든 것이 온라인일 때만 작동하는 ‘디지털로 완벽한’ 계획은 실제 상황에서는 취약합니다. 반대로, 종이 기반 런북은 언제나 사용할 수 있는 탄탄한 “신호 랜턴”이 되어, 다른 것들이 깜빡이거나 꺼져도 팀을 계속 정렬시키고 움직이게 합니다.

두꺼운 정책 바인더에서 손에 쥐는 비콘으로

대부분의 조직은 이미 어떤 형태로든 사고 관련 문서를 가지고 있습니다. 정책, 표준, 절차서, 그리고 때때로 ‘플레이북’이라는 이름의 문서들입니다. 하지만 이런 문서들은 현장에서는 대개 다음과 같은 이유로 잘 작동하지 않습니다.

  • 너무 길다 – 수십, 수백 페이지에 달함
  • 너무 추상적이다 – 원칙 중심일 뿐, 실제 행동 지침이 부족함
  • 너무 일반적이다 – 특정 ICS 환경·제약 조건에 맞게 튜닝되지 않음
  • 너무 중앙 집중적이다 – 정전·사고 때 접근이 안 될 수 있는 시스템에 보관됨

휴대용 종이 비콘은 다릅니다. 특징은 다음과 같습니다.

  • 짧고 집중적이다 – 사고 후 첫 몇 분, 몇 시간 동안 무엇을 해야 하는지에만 초점을 맞춤
  • 현장 검증을 거쳤다 – 실제 연습과 사고 경험을 바탕으로 계속 업데이트됨
  • 역할 인지형이다(Role-aware) – 운전·조업, 설비·제어 엔지니어, IT 보안, 경영진 등 역할별로 맞춤화됨
  • 물리적으로 분산 배치된다 – 사고 시 사람들이 실제로 있을 곳에 인쇄·비치됨

이렇게 해야 즉흥적이고 혼란스러운 ‘불 끄기’식 대응을, 정형화된 문서 기반의 반복 가능한 운영으로 바꿀 수 있습니다.

대비(Preparedness) + 구조화된 대응(Response): 회복탄력성의 두 축

이 아날로그 비콘이 효과를 발휘하려면, 사고 전 대비사고 시 구조화된 대응의 균형을 맞춰야 합니다.

1. ICS 환경을 위한 사고 대비

산업 환경에서 사이버 사고에 대비할 때는 다음을 포함해야 합니다.

  • 자산 기반 계획(Asset-aware planning): 중요 시스템, 안전 기능, 의존 관계를 파악합니다. 런북에는 추상적인 이름이 아니라 실제 설비와 네트워크 구성이 반영되어야 합니다.
  • 사전 승인된 의사결정(Pre-authorized decisions): 누가 어떤 조건에서 설비를 정지·격리하거나 수동 모드로 전환할 수 있는지 미리 정해 둡니다.
  • 오프라인 문서화: 네트워크 구성도, 연락처 목록, 핵심 절차를 항상 최신 상태의 종이 문서로 유지합니다.
  • 비전문가 대상 교육: ICS 운전에 관여하는 많은 사람들은 보안 전문가가 아닙니다. 종이 비콘은 해당 시간대에 근무 중인 어떤 오퍼레이터라도 이해할 수 있을 정도로 명확해야 합니다.

2. 구조화된 사고 대응

정전·장애가 발생했을 때, 구조화된 대응이란 다음을 의미합니다.

  • 명확한 단계별 페이즈(Phase-based) 행동 (탐지 → 격리/봉쇄 → 복구)
  • 운전, 설비·제어 엔지니어링, IT, OT 보안, 법무, 경영진 간의 역할 정의와 핸드오프
  • 문서화된 커뮤니케이션 플로우 (누가, 언제, 누구에게, 어떤 최소 정보를 전달하는지)
  • 빠뜨림을 줄이기 위한 단순하고 반복 가능한 체크리스트

런북은 이 두 세계를 잇는 다리입니다. 평온할 때 만들어 두고, 위기 상황에서 대응을 구조화하는 데 사용하는 것입니다.

런북의 힘: 혼란에서 일관성으로

런북은 산업 사고 대응의 실질적인 ‘척추’ 역할을 합니다. 잘 설계된 런북은 다음을 가능하게 합니다.

  • 암묵지(Tribal knowledge) 를 문서화된 공유 지식으로 전환
  • 스트레스 상황에서 다양한 직군이 함께 참조할 수 있는 공통 기준점 제공
  • 교대·사이트가 달라져도 일관되고 감사 가능한 실행을 가능하게 함
  • 모든 것을 기억하고 있는 소수의 ‘영웅’에게만 의존하는 구조를 완화

임기응변으로 각자 다른 방식으로 대응하는 대신, 런북이 있다면 교육받은 누구나 다음을 수행할 수 있습니다.

  1. 상황에 맞는 올바른 가이드를 펼친다.
  2. 분기 로직을 따라간다.
  3. 정해진 형식에 따라 조치를 실행하고 기록한다.

탄탄한 런북 전략이 있어야만 종이 뭉치가 진짜 신호 랜턴으로 기능할 수 있습니다.

탄탄한 런북 전략 설계하기

견고한 ICS 런북 전략은 여러 기본 구성요소로 이뤄집니다.

1. 명확한 템플릿

표준화가 핵심입니다. 모든 런북은 공통 구조를 갖추는 것이 좋습니다. 예를 들어:

  1. 목적 & 범위(Purpose & Scope)

    • 이 런북이 무엇을 위한 것인지
    • 언제 사용해야 하는지 / 언제 사용하면 안 되는지

  2. 사전 조건 & 안전 유의사항(Prerequisites & Safety Notes)

    • PPE(개인 보호구) 요구사항, 안전 시스템 점검, 필요 승인 사항

  3. 신속 트리아지 체크리스트 (첫 5–15분)

    • 지금 이 런북이 맞는 상황인지 확인하는 단순 예/아니오 질문

  4. 분기 의사결정 트리(Branching Decision Tree)

    • 만약 X라면 → A 섹션으로 이동
    • 만약 Y라면 → B 섹션으로 이동

  5. 단계별 실행 절차(Step-by-Step Actions)

    • 번호가 매겨진 단계, 각 단계별 책임 역할(오퍼레이터, OT 엔지니어, IT 등) 명시

  6. 커뮤니케이션 & 에스컬레이션(Communication & Escalation)

    • 누구에게, 어떤 순서로, 최소 어떤 정보를 전달해야 하는지

  7. 기록 & 증거 수집(Recording & Evidence)

    • 수기(Log)로 남겨야 할 내용 (타임스탬프, 시스템, 수행 조치 등)

  8. 복구 & 검증 단계(Recovery & Validation Steps)

    • 부분/전체 복구를 선언할 수 있는 기준

  9. 사후 학습(Lessons Learned) 프롬프트

    • 사고 후 런북 개선을 위해 답해볼 간단한 질문들

2. 현실 복잡성을 반영하는 분기 로직

ICS 사고는 깔끔한 시나리오대로 흘러가는 경우가 거의 없습니다. 런북은 복잡하고 지저분한(real-world messy) 상황을 처리할 수 있어야 합니다. 예를 들어:

  • 서로 다른 공장 운전 모드 (정상 운전, 정비, 기동, 셧다운)
  • 서로 다른 심각도 (의심 단계 vs. 침해 확정 vs. 안전 리스크 존재)
  • 서로 다른 가시성 수준 (네트워크 가시성 도구 사용 가능 vs. 완전 오프라인)

종이 비콘에는 플로차트와 의사결정 표(Decision Table) 를 포함해 팀이 다음 질문들에 신속히 답할 수 있게 해야 합니다.

  • “이건 IT 영역에 국한된 문제인가, 아니면 제어 시스템까지 영향을 주고 있는가?”
  • “안전 관련 시스템이 평소처럼 동작하고 있는가?”
  • “신뢰할 만한 네트워크 가시성을 확보하고 있는가?”

각 답변은 다음 페이지, 다음 단계, 또는 별도 하위 런북으로 자연스럽게 이어져야 합니다.

3. 정기적인 유지보수와 현장 테스트

런북은 유지하지 않으면 금방 낡아버립니다. 제대로 된 전략에는 다음이 포함되어야 합니다.

  • 오너십(Ownership): 각 런북마다 역할 기준으로 명시적인 책임자를 지정합니다(단순 개인 이름이 아니라 ‘OT 보안 팀 리더’ 등 역할 기준이면 더 좋습니다).
  • 정기 검토 주기: 분기별 또는 반기별 리뷰, 그리고 주요 사고가 발생할 때마다 추가 검토
  • 현장 테스트(Field-testing): 모의훈련, 시뮬레이션을 통해 문구와 절차의 명확성·현실성을 검증
  • 버전 관리(Version Control): 인쇄일, 버전 정보를 명시해 위기 상황에서도 최신본을 사용하고 있는지 확인할 수 있게 함

목표는 살아있는 문서(living documents) 를 만드는 것이지, 책장에 꽂힌 정적인 매뉴얼을 쌓는 것이 아닙니다.

사전 합동 연습: 함께 랜턴에 불을 켜는 과정

아무리 훌륭한 런북도 연습 없이는 그저 잉크가 묻은 종이에 불과합니다.

ICS 방어자들을 제대로 준비시키려면, 복구·대응 팀이 사고 이전에 ‘전문적으로 함께 일하는’ 경험을 쌓아야 합니다. 예를 들어:

  • 부서 합동 테이블탑(Tabletop) 연습
  • 실제 플랜트(현장)를 돌면서 진행하는 워크스루(Walkthrough)
  • 정전, 네트워크 분리, 사이버 공격을 가정한 시뮬레이션 시나리오

이러한 사전 합동 연습은 다음과 같은 효과를 냅니다.

  • OT, IT, 보안, 운전 조직 간의 신뢰와 협업 관계를 형성
  • 사고 전 문화적·정치적·기술적 장벽을 미리 드러내고 해소
  • 누락된 단계, 비현실적인 가정, 권한 공백을 발견
  • 비기술 리더들에게 사고 시 어떤 일이 벌어지는지, 어떻게 지원해야 하는지 학습 기회 제공

각 연습에는 명확한 목표가 있어야 합니다.

  • 특정 런북의 유효성 검증
  • 팀 간 커뮤니케이션 플로우 테스트
  • 불확실성이 높은 상황에서 의사결정 연습

여기서 점검하는 것은 기술만이 아닙니다. 사람들에게 어둠 속에서 함께 아날로그 랜턴을 사용하는 법을 가르치는 과정입니다.

런북과 사고 대응 워크플로·트래킹의 통합

종이 비콘은 주변 맥락과 분리된 채로 존재해서는 안 됩니다. 조직의 더 넓은 사고 대응 워크플로 안에 자연스럽게 녹아들어야 합니다.

저하된 환경에서도 보통은 다음 정도는 가능합니다.

  • 로컬 로그나 간단한 양식을 활용해 조치와 타임라인을 수기 기록
  • 작성 완료된 종이 체크리스트를 사진으로 촬영해 나중에 디지털 시스템에 입력
  • 연결이 복구된 뒤 중앙 사고 관리·트래킹 시스템과 동기화

평소에 시스템을 사용할 수 있을 때는, 런북을 디지털 도구와 ‘거울처럼’ 맞춰둘 수도 있습니다.

  • 런북 단계를 반영한 티켓 템플릿
  • 사고 관리 플랫폼에 내장된 체크리스트
  • 각 단계별 책임자를 시각화하는 대시보드

핵심은 정렬(Alignment) 입니다.

  • 종이 버전만으로도 완전한 대응이 가능해야 하고,
  • 디지털 버전은 아날로그 가이드를 대체하는 것이 아니라 보완·확장해야 합니다.

이러한 통합은 조율, 책임성, 복구 속도를 끌어올리면서도, 어떤 단일 도구 하나에 의존하지 않는 회복탄력성을 줍니다.

모두를 하나로 잇는 ‘신호 랜턴’ 만들기

ICS 사고를 위한 휴대용 종이 비콘을 설계하는 것은, 디지털 이전 시대로 회귀하자는 이야기가 아닙니다. 오히려 기존 사고 대응 역량 위에 탄탄한 회복층(resilient layer) 을 하나 더 쌓는 일입니다.

시작하려면 다음 단계를 밟아 보십시오.

  1. 당신의 산업 환경에서 현실적으로 발생 가능한 상위 5–10개 정전·장애 시나리오를 식별합니다.
  2. 공통 템플릿과 명확한 분기 로직을 활용해 역할 인지형(Role-aware) 단기 런북을 작성합니다.
  3. 이를 인쇄해 제어실, 정비 공방, 사고 대응 키트 등에 분산 배치합니다.
  4. OT, IT, 엔지니어링, 리더십이 함께 참여하는 합동 연습에서 실제로 사용해 봅니다.
  5. 학습된 교훈과 기술·환경 변화를 반영해 지속적으로 개선합니다.

궁극적으로 성공 여부를 가르는 기준은 매우 단순합니다.

  • 전원이 순간 꺼질 때,
  • HMI가 다운될 때,
  • 네트워크가 분리되고 대시보드가 사라질 때,

…당신의 팀이 여전히 침착하고 일관되며 안전하게 행동할 수 있는가?

그 질문에 ‘예’라고 답할 수 있다면, 당신의 조직이 가진 것은 단순한 문서를 넘어섭니다. 그것은 아날로그 사고 대응 ‘역 신호 랜턴’ 입니다. 어둠을 가르며 모두를 안전하게 귀가시키는, 신뢰할 수 있는 비콘입니다.

아날로그 사고 대응 ‘역 신호 랜턴’: 정전·단전 상황을 위한 휴대용 종이 비콘(runbook) 설계하기 | Rain Lag