[정책제안] 공공·준공공 보안, 왜 반드시 전문가가 주도해야 하나
요약 한 줄
공공·준공공 보안은 전문가가 주도해야 합니다.
비전문가 중심 구조는 해킹의 핵심을 다루지 못하고,
결국 비용은 크지만 실효성은 낮은 주변형 보안 서비스를 반복 공급하게 만듭니다.
0) 문제 제기
공공기관과 준공공기관의 정보보안은
단순한 행정 업무가 아니라 고도의 기술 전문성이 필요한 실전 영역입니다.
그런데 현실은 다릅니다.
전문가가 주도해야 할 영역을 비전문가가 운영하면서,
정보보안의 본질에 접근하는 대신 주변부 서비스를 확대하는 일이 반복되고 있습니다.
그 대표적인 모습이
공격표면관리(ASM)나 웹방화벽(WAF) 로그 수집·분석과 같은 서비스를
마치 핵심 보안인 것처럼 포장하는 구조입니다.
물론 개별 금융사나 공공기관 입장에서는
막대한 비용을 지불하고 있으니 일정 수준의 서비스를 받고 있다고 생각할 수 있습니다.
그러나 냉정하게 보아야 합니다.
그 서비스가 실제 침해사고를 막는 핵심에 얼마나 가까운가를 따져야 합니다.
문제는 바로 여기 있습니다.
이들 서비스 상당수는
정보보안의 본질적 핵심이 아니라
핵심과 가장 멀리 떨어진 주변 영역에 머무는 경우가 많습니다.
1) 핵심을 다루지 못하는 조직은 주변만 맴돕니다
해킹은 겉면만 훑어서는 막을 수 없습니다.
공격자는 인증, 세션, 요청 본문, 권한 상승, 내부 확산, 데이터 유출이라는
실제 공격 흐름을 따라 움직입니다.
따라서 방어도 그 흐름을 따라가야 합니다.
즉, 보안의 핵심은 다음과 같은 영역에 있습니다.
- 실제 공격 행위의 기록
- 웹 요청 본문과 인증 흐름의 분석
- 운영체제 수준의 행위 추적
- 로그 간 상관분석을 통한 침해 재구성
- 탐지 이후 즉시 대응 가능한 운영 체계
그러나 비전문가 중심 조직은
이러한 핵심 영역보다
설명하기 쉽고, 보고하기 쉽고, 책임지기 쉬운 영역으로 이동합니다.
그 결과 등장하는 것이
겉으로는 그럴듯하지만 실전에서는 효용이 낮은
주변형 보안 서비스입니다.
ASM도 그렇고,
WAF 로그 수집 대행도 마찬가지입니다.
이들 자체가 전혀 의미가 없다는 말이 아닙니다.
문제는 그것이 핵심 보안을 대체할 수 없음에도,
마치 충분한 대응인 것처럼 제시된다는 점입니다.
2) “우리는 핵심은 못하고 5%만 합니다”라고는 말하지 않습니다
정직하다면 이렇게 말해야 합니다.
우리는 해킹의 본질을 다루는 핵심 보안까지는 하지 못합니다.
대신 주변의 일부 징후와 외곽 정보만 다룹니다.
하지만 현실의 메시지는 정반대입니다.
핵심을 다루지 못하면서도,
마치 전체를 다루는 것처럼 포장합니다.
이것이 위험한 이유는
수요자인 금융사·공공기관이
실제보다 훨씬 안전하다고 착각하게 만들기 때문입니다.
막대한 예산을 투입한 기관은
“이 정도면 충분히 하고 있다”고 생각하게 됩니다.
그러나 실제 공격이 발생하면
정작 필요한 데이터는 없고,
핵심 분석 역량도 없으며,
침해 원인 재구성조차 어려운 상황이 반복됩니다.
즉, 비용은 큰데 본질은 비어 있는 구조가 만들어지는 것입니다.
3) 아직도 현장은 핵심이 아닌 곳에 에너지를 소모하고 있습니다
오늘날 많은 기관들은
정작 본질적 보안 강화보다
여전히 다음과 같은 비핵심 관행에 더 많은 관심을 쏟고 있습니다.
1. 은행권의 과도한 사용자 소프트웨어 설치 강요
이용자 단말에 각종 소프트웨어 설치를 요구하는 방식은
보안을 강화하는 것처럼 보이지만,
실제로는 사용자 불편과 운영 복잡성만 키우는 경우가 많습니다.
2. 공공기관의 비공식 포트와 비표준 운영
공공 웹서비스가 표준을 따르지 않고
비공식 포트를 사용하거나 예외 구조를 남발하면,
접근성·운영성·보안성 모두 악화됩니다.
3. 불필요한 ISMS 개정과 인증 중심 사고
현장 대응 역량과 로그 품질, 탐지 체계의 실효성을 높이는 대신
문서와 절차, 점검 항목의 확대에만 몰두하면
보안은 강화되지 않고 피로도만 증가합니다.
이 문제는 제도 영역에만 머물지 않습니다.
잘못 설계된 평가 기준은 결국 잘못된 예산 집행으로 이어집니다.
4. 불필요한 R&D 낭비
실효성이 낮거나 본질과 거리가 먼 기술 포장에
막대한 예산이 반복 투입되는 현실도 함께 점검해야 합니다.
예를 들어,
“비복호화 탐지(Non-Decryption Detection)”와 같은 표현은
매우 혁신적인 보안 기술처럼 들리지만,
실제로는 암호화된 트래픽의 내용을 복호화하지 않은 채
직접 탐지한다는 의미로 받아들여질 수 있어
기술적으로 과장되거나 오해의 소지가 큽니다.
현실적으로 가능한 것은
패킷 크기, 흐름, 세션 빈도, 목적지, 인증서 정보 등
메타데이터 기반의 간접 추정이며,
이는 이미 기존 IPS나 NDR 계열 제품들이 오래전부터 수행해 온 범주의 기능입니다.
그럼에도 이러한 영역에 대규모 예산이 반복 투입된다면,
정작 필요한 로그 체계 정비, 탐지 고도화, 분석 자동화, 대응 체계 강화에는
예산이 부족해지는 왜곡이 발생합니다.
이 네 가지의 공통점은 분명합니다.
공격자를 이기는 방향이 아니라,
관리와 형식, 보여주기 좋은 항목에 집중한다는 점입니다.
4) 공공·준공공 보안은 왜 반드시 전문가가 주도해야 하나
정보보안은 다른 행정 서비스와 다릅니다.
해킹은 규정집을 보고 움직이지 않습니다.
공격자는 가장 약한 연결점을 찾고,
기록되지 않는 지점을 노리며,
운영 조직의 무지를 이용합니다.
따라서 공공기관과 준공공기관의 보안은
행정가가 총괄하고 기술자는 보조하는 구조가 아니라,
전문가가 중심이 되고 행정은 이를 지원하는 구조가 되어야 합니다.
전문가가 주도하는 조직은 다음을 우선합니다.
- 무엇을 기록해야 하는가
- 어떤 로그가 실제 공격 분석에 필요한가
- 탐지와 대응이 어디서 끊기는가
- 지금 운영 중인 서비스가 실전에서 쓸모가 있는가
- 비용 대비 효과가 아니라, 공격 대비 실효성이 있는가
반대로 비전문가가 주도하는 조직은
다음 질문으로 흐르기 쉽습니다.
- 보고서에 무엇을 넣을 것인가
- 외부 설명이 쉬운가
- 형식상 문제는 없는가
- 책임 회피가 가능한가
- 예산 집행 논리를 만들 수 있는가
이 차이는 곧
보안의 성패를 가르는 차이입니다.
5) 지금 필요한 것은 “더 많은 보안”이 아니라 “더 정확한 보안”입니다
보안 제품을 더 붙인다고 해결되지 않습니다.
서비스를 더 늘린다고 해결되지도 않습니다.
지금 필요한 것은
핵심을 정확히 겨냥하는 보안입니다.
즉,
- 웹 요청 본문을 포함한 실제 공격 데이터 기록
- 인증·세션·권한 흐름 추적
- 운영체제 감사 로그 기반 행위 분석
- 로그 통합과 상관분석
- 침해사고 발생 시 재구성 가능한 포렌식 체계
- 전문가 주도의 지속 운영
이런 체계가 먼저입니다.
그 위에 ASM이든, WAF 운영이든, 인증 제도든 올라가야 합니다.
순서가 바뀌면 안 됩니다.
핵심이 비어 있는데 주변만 강화하면
조직은 바빠지고 예산은 늘어나지만
실제 보안 수준은 오히려 정체됩니다.
6) 정책 제안
공공기관과 준공공기관의 정보보안 운영 체계는
다음 원칙으로 재정비되어야 합니다.
1. 전문가 중심 운영 원칙 명문화
공공·준공공 보안 조직의 핵심 의사결정은
반드시 실무형 보안 전문가가 주도하도록 해야 합니다.
2. 핵심 로그 우선주의 확립
WAF 이벤트 요약이나 외곽 스캔보다
웹 요청 본문, 인증 로그, 운영체제 감사 로그 등
실전 분석 가능한 데이터를 우선 수집·활용해야 합니다.
3. 보여주기식 서비스의 재평가
ASM, 로그 수집 대행, 인증 대응 서비스 등은
그 자체가 아니라 실제 침해 대응 기여도를 기준으로 평가해야 합니다.
4. 비표준 운영과 사용자 강제 설치 관행 축소
공공기관의 비공식 포트 사용,
금융권의 과도한 사용자 측 설치 요구 등
오래된 비효율 관행을 단계적으로 폐기해야 합니다.
5. ISMS는 제품 도입을 강제하는 방향으로 가서는 안 됩니다
ISMS는 조직의 보안 수준을 실질적으로 높이는 기준이어야지,
특정 제품군의 도입을 사실상 강제하는 구조로 흘러가서는 안 됩니다.
대표적으로,
실효성이 낮거나 현재 위협 환경에 비추어 재검토가 필요한 장비가
여전히 점검 항목과 권고 목록에 남아 있어
기관과 기업에 막대한 비용 부담과 운영 낭비를 초래하는 현실을 돌아봐야 합니다.
특히 IPS와 같이 과거의 경계형 탐지 체계에 머무는 장비를
오늘날에도 사실상 필수 항목처럼 유지하는 관행은
현재의 공격 흐름과 대응 현실을 제대로 반영하지 못합니다.
아무런 실질적 효용이 없는 장비를
‘인증 대응’이나 ‘형식 충족’ 목적만으로 유지하게 만드는 구조는
보안을 강화하는 것이 아니라
예산을 소모시키고 현장 인력을 지치게 만드는 결과로 이어집니다.
이제는
무엇을 도입했는가보다
실제로 탐지할 수 있는가,
분석할 수 있는가,
대응할 수 있는가를 기준으로
제도와 평가 체계를 다시 설계해야 합니다.
맺음말
보안은 결국
무엇을 기록하고, 무엇을 분석하고, 무엇에 대응할 것인가의 문제입니다.
이제는 솔직해져야 합니다.
지금 필요한 것은
더 많은 서비스가 아니라
더 깊은 전문성입니다.
그리고 보안의 기준은
도입 장비 수나 문서 항목 수가 아니라,
실제 공격을 기록하고 분석하고 대응할 수 있는 능력이 되어야 합니다.
서비스 제공자는
조금 더 정직해져야 합니다.
우리가 제공하는 것은
보안의 코어가 아니라
주변의 5% 영역에 불과하다고
정확히 말해야 합니다.
그래야 비로소
수요자도 허상을 버리고
현실을 자각한 채
필요한 준비를 시작할 수 있습니다.