핵심 보안에 집중하면, 더 이상 끌려다니지 않습니다
보안 시장을 오래 지켜보다 보면, 이상한 장면을 반복해서 보게 됩니다.
공격은 점점 정교해지는데,
정작 현장의 정보보안팀은 해킹을 막는 일보다
새로운 개념을 이해하고, 새로운 제품을 검토하고,
기존 체계와 새 이름의 솔루션을 억지로 연결하는 데 더 많은 시간을 씁니다.
SIEM, SOAR, Zero Trust, SASE, XDR, CNAPP, DSPM.
이름은 계속 바뀌고,
설명은 더 거창해지고,
예산 항목은 더 복잡해집니다.
그런데 정작 중요한 질문은 거의 사라졌습니다.
그래서 지금 이 체계가 실제 해킹을 막고 있는가?
이 질문 앞에서 많은 조직은 선뜻 “그렇다”고 답하지 못합니다.
왜냐하면 보안의 중심이
실제 공격을 막는 일에서
산업이 만들어낸 개념을 따라가는 일로 조금씩 이동했기 때문입니다.
보안팀이 끌려다니는 구조
정보보안팀이 피곤한 이유는 일이 많아서만이 아닙니다.
중요한 일보다 덜 중요한 일에 계속 끌려가기 때문입니다.
새로운 위협이 나올 때마다
시장에서는 늘 새로운 이름이 등장합니다.
그리고 그 이름은 곧 이렇게 번역됩니다.
- 이제는 이것도 필요합니다.
- 이제는 기존 체계만으로는 부족합니다.
- 이제는 이 기능까지 통합되어야 합니다.
- 이제는 이 플랫폼으로 전환해야 합니다.
이 과정에서 조직은 보안을 강화하는 것이 아니라,
보안의 외형을 계속 증설하게 됩니다.
콘솔은 늘어나고,
연동 포인트는 늘어나고,
로그는 더 많이 쌓이지만,
실제 침해를 판단할 수 있는 가시성은 오히려 흐려집니다.
이것이 현장의 현실입니다.
가트너식 산업화가 만드는 구조적 문제
보안 시장은 기술만으로 움직이지 않습니다.
언어와 카테고리로도 움직입니다.
새로운 용어가 등장하면
그 용어는 곧 예산의 근거가 되고,
제품 비교의 기준이 되고,
구매의 명분이 됩니다.
이 자체가 모두 틀렸다는 뜻은 아닙니다.
문제는 그 다음입니다.
어떤 용어는 기술을 설명하기보다
시장을 다시 열기 위한 프레임으로 더 강하게 작동합니다.
이미 성숙한 시장은 더 이상 큰 성장을 만들기 어렵습니다.
그러면 산업은 새 이름을 필요로 합니다.
이름이 생기면 카테고리가 생기고,
카테고리가 생기면 비교표가 생기고,
비교표가 생기면 결핍이 만들어집니다.
즉, 고객은 어느 순간부터
“무엇이 정말 필요한가”를 고민하기보다
“이번에는 무엇이 부족하다고 규정되었는가”를 따라가게 됩니다.
정보보안팀이 끌려다니는 이유가 여기에 있습니다.
SIEM과 SOAR가 보여준 불편한 현실
대표적인 사례가 SIEM과 SOAR입니다.
처음 SIEM은
“모든 로그를 모으면 공격이 보인다”는 기대를 안고 확산되었습니다.
그 다음 SOAR는
“사람이 못 하니 대응을 자동화하자”는 약속으로 등장했습니다.
그러나 현실은 달랐습니다.
SIEM은 로그를 많이 모았지만,
정작 공격 판단에 필요한 핵심 로그를 충분히 확보하지 못하는 경우가 많았습니다.
SOAR는 자동화를 약속했지만,
정작 정확한 탐지가 선행되지 않으면 자동화는 오작동하거나 멈춰버립니다.
결국 많은 조직에서 SIEM은
비싼 로그 저장소나 대시보드가 되었고,
SOAR는
정교한 플레이북을 설계하고 유지할 사람과 데이터가 부족해
기대한 만큼의 효과를 내지 못했습니다.
여기서 우리가 배워야 할 것은 분명합니다.
이름이 성숙했다고 해서 문제가 해결된 것은 아닙니다.
자동화가 붙었다고 해서 대응이 완성된 것도 아닙니다.
핵심은 언제나
무엇을 얼마나 깊이 보고,
얼마나 빠르게 판단하고,
실제로 차단할 수 있느냐입니다.
보안의 본질은 여전히 같다
보안의 본질은 유행을 따라 바뀌지 않습니다.
실제 공격은 늘 같은 순서로 진행됩니다.
- 먼저 들어오고
- 내부에서 흔적을 남기고
- 권한을 넓히고
- 데이터를 훔치거나 시스템을 망가뜨립니다
그러므로 보안의 본질도 명확합니다.
- 사전에 취약점을 줄이고
- 최초 진입을 막고
- 내부의 이상 징후를 탐지하고
- 즉시 대응하는 것
이 네 가지를 제대로 하지 못하면
아무리 많은 부가 기능과 운영 체계를 얹어도
핵심 방어는 비어 있게 됩니다.
결국 보안의 중심은
새로운 이름의 플랫폼이 아니라,
실제 공격 흐름을 끊는 능력입니다.
왜 핵심 보안에 집중해야 하는가
핵심 보안에 집중하면
가장 먼저 달라지는 것은 우선순위입니다.
무엇이 있으면 좋은가가 아니라,
무엇이 없으면 바로 뚫리는가를 기준으로 판단하게 됩니다.
그 기준으로 보면 핵심은 분명합니다.
1. 사전 취약점 점검
공격자는 늘 약한 곳부터 찾습니다.
취약점을 오래 방치할수록 해킹은 쉬워집니다.
2. 예방
웹은 여전히 가장 넓은 공격 표면입니다.
웹방화벽 없이 운영되는 서비스는
공개된 출입문을 감시 없이 열어두는 것과 다르지 않습니다.
3. 탐지와 대응
이미 들어온 공격을 빠르게 식별하고 끊지 못하면,
보안은 결국 사후 보고 체계로 전락합니다.
4. 운영 자동화
자동화는 중요합니다.
그러나 그것은 정확한 탐지 위에서만 의미가 있습니다.
탐지가 부정확하면 자동화는 보안이 아니라 오작동입니다.
즉, 핵심 보안은
조직의 생존과 직접 연결되는 축입니다.
반대로 말하면,
이 영역이 약한 상태에서
주변 기능을 계속 늘리는 것은
보안을 강화하는 것이 아니라
복잡성만 늘리는 일일 수 있습니다.
문제는 솔루션 수가 아니라 로그의 깊이다
많은 조직이 아직도
“로그를 모으고 있다”는 사실 자체를 보안 역량으로 착각합니다.
하지만 실제로 중요한 것은
로그의 양이 아니라 로그의 깊이입니다.
보안은 보이는 만큼 대응할 수 있습니다.
그런데 많은 조직은
정작 핵심 로그를 갖고 있지 않습니다.
- 운영체제에서 실제 침해 흔적을 남기는 감사 로그
- 웹 요청과 응답의 본문 로그
- 인증과 세션의 맥락 정보
- 공격 흐름을 연결할 수 있는 상관분석 데이터
이런 로그가 없으면
정교한 공격은 대부분 “보이지 않는 일”이 됩니다.
그래서 핵심은 단순합니다.
보안의 출발점은 더 많은 도구가 아니라, 더 정확한 기록입니다.
기록이 있어야 탐지가 가능하고,
탐지가 가능해야 대응이 가능하며,
대응이 가능해야 자동화도 의미를 가집니다.
부가 서비스가 나쁘다는 뜻은 아니다
여기서 오해하면 안 됩니다.
부가 서비스가 불필요하다는 뜻은 아닙니다.
IAM, PAM, DLP, DRM, CSPM, 이메일 보안, 컴플라이언스,
물리 보안, 모니터링, 클라우드 관리.
이 모든 것들은 조직에 따라 분명 중요합니다.
어떤 산업에서는 사실상 필수일 수도 있습니다.
하지만 중요한 점은 이것입니다.
중요하다는 것과, 가장 먼저 붙잡아야 한다는 것은 다릅니다.
핵심 보안이 무너진 상태에서
부가 요소를 계속 확대하면
정보보안팀은 끝없는 운영, 점검, 관리, 대응 요청 속으로 빨려 들어갑니다.
결국 실제 해킹 대응 역량은 약해지고,
조직은 “보안 제품은 많은데 불안한 상태”에 머물게 됩니다.
이것이 바로
많은 조직이 보안에 투자하고도
계속 끌려다니는 이유입니다.
보안팀은 모든 것을 직접 짊어질 필요가 없다
핵심 보안에 집중한다는 것은
모든 것을 버리자는 뜻이 아닙니다.
오히려 반대입니다.
역할을 더 분명하게 나누자는 것입니다.
- 정보보안팀은 정책, 통제, 탐지, 대응, 사고 분석에 집중하고
- IT 운영 조직은 정책에 따른 계정 관리, 장비 운영, 운영성 점검을 담당하고
- 자동화 체계는 반복 업무를 줄이고 대응 속도를 높여야 합니다
그래야 정보보안팀이
진짜 보안 업무를 할 수 있습니다.
계정 발급과 권한 조정,
감사 준비와 운영 정리,
솔루션별 화면 확인과 단순 예외 처리에 대부분의 시간을 쓰는 조직은
결국 가장 중요한 순간에 느리게 움직일 수밖에 없습니다.
정보보안팀을 바쁘게 만드는 것이 목적이 아니라,
공격에 강하게 만드는 것이 목적이어야 합니다.
그래서, 마이터 어택(MITRE ATT&CK) 준비는 되었나요?
여기서 조직은 한 번 더 질문해야 합니다.
그래서, 마이터 어택(MITRE ATT&CK) 준비는 되었나요?
이 질문은
새로운 솔루션을 또 도입했느냐는 뜻이 아닙니다.
마이터 어택(MITRE ATT&CK)은 새로운 보안 솔루션이 아닙니다.
그것은 정보보안팀이 실제 공격을 어떤 관점으로 보고,
무엇을 우선적으로 탐지하고 대응해야 하는지를 정리해 놓은
하나의 실전형 안내서에 가깝습니다.
즉, MITRE ATT&CK은
무언가를 더 사라는 요구가 아니라,
지금 우리가 어디를 보고 있어야 하는가를 묻는 기준입니다.
공격자는 최초 침투, 실행, 지속성 확보, 권한 상승, 내부 확산, 정보 유출로 이어지는
일정한 흐름을 따라 움직입니다.
MITRE ATT&CK은 바로 그 흐름을 체계적으로 보여 줍니다.
그래서 중요한 것은
“MITRE ATT&CK 대응 제품이 있느냐”가 아니라,
우리 조직이 이 프레임워크를 기준으로
- 무엇을 보고 있는지
- 무엇을 놓치고 있는지
- 어떤 공격 단계에서 탐지가 가능한지
- 어떤 단계에서는 아직 대응하지 못하는지
를 스스로 점검할 수 있느냐입니다.
결국 MITRE ATT&CK은
정보보안팀이 유행하는 이름의 솔루션을 따라다니지 않고,
실제 공격자의 행동 중심으로 보안의 우선순위를 다시 세우게 만드는 기준입니다.
다시 말해,
핵심 보안에 집중한다는 말은 추상적인 구호가 아닙니다.
MITRE ATT&CK 관점에서
우리 조직이 어떤 공격 단계를 볼 수 있고,
어떤 공격 단계는 아직 보지 못하는지를 명확히 아는 것,
그것이 바로 핵심 보안의 출발점입니다.
이제는 질문을 바꿔야 한다
이제 조직은 더 이상 이렇게 묻지 말아야 합니다.
- 요즘 뜨는 보안 카테고리는 무엇인가
- 우리에게 없는 최신 기능은 무엇인가
- 경쟁사가 넣은 솔루션은 무엇인가
대신 이렇게 물어야 합니다.
- 우리는 실제 공격의 최초 진입을 막고 있는가
- 우리는 침해 흔적을 남기는 핵심 로그를 갖고 있는가
- 우리는 공격 발생 시 즉시 탐지하고 차단할 수 있는가
- 우리는 정보보안팀이 핵심 업무에 집중할 수 있는 구조인가
이 질문에 답하지 못한다면,
새로운 이름의 솔루션을 하나 더 도입해도
상황은 달라지지 않습니다.
결론
보안 시장은 앞으로도 계속 새로운 이름을 만들어낼 것입니다.
그 이름 중 일부는 분명 의미가 있을 것입니다.
하지만 그 이름을 따라가는 것 자체가 보안이 되어서는 안 됩니다.
보안의 본질은 언제나 같습니다.
- 공격을 막고
- 침해를 탐지하고
- 즉시 대응하고
- 그 모든 과정을 기록으로 입증하는 것
이 핵심을 놓치면
조직은 계속 새로운 개념에 반응하느라 끌려다니게 됩니다.
반대로 핵심 보안에 집중하면,
무엇이 본질이고 무엇이 부가인지 구분할 수 있게 됩니다.
그러면 더 이상 시장의 유행에 흔들리지 않습니다.
더 이상 제품 수에 끌려다니지 않습니다.
더 이상 복잡성에 지배당하지 않습니다.
핵심 보안에 집중하면, 보안은 유행이 아니라 실력이 됩니다.