보안 투자는 늘었는데 불안은 왜 더 커질까? (1/4)

강화되고 있는 보안 환경

 

기업의 보안 환경은 해마다 강화되고 있습니다. 새로운 보안 솔루션이 도입되고, 예산도 꾸준히 늘어나고 있습니다. 그럼에도 보안 사고에 대한 불안은 쉽게 줄어들지 않습니다. 보안을 위해 많은 노력을 기울이고 있지만, 체감되는 안정감은 그만큼 따라오지 않습니다.

 

 

'갖추고 있다'와 '막을 수 있다'는 다르다

 

대부분의 조직은 이미 기본적인 보안 체계를 갖추고 있습니다. 방화벽, 침입 탐지·차단, 엔드포인트 보안, 접근 통제까지 보안 장비의 종류만 놓고 보면 부족해 보이지 않습니다. 문제는 보안 장비의 보유 여부가 곧 실제 방어 능력을 의미하지는 않는다는 점입니다. 실제 공격 상황에서도 이 장비들이 기대한 역할을 해낼 수 있는지는 별도의 확인이 필요합니다.

 

 

점검은 했지만, 확신은?

 

보안 점검 역시 정기적으로 이루어지고 있습니다. 모의해킹이나 취약점 진단을 통해 문제를 확인하고 조치하는 절차도 갖추고 있습니다. 하지만 점검이 끝난 이후에도 다음과 같은 질문은 반복됩니다.

 

① 점검 결과가 현재 운영 환경에서도 그대로 유효할까?
② 환경과 위협이 변한 이후에도 이 결과를 신뢰할 수 있을까?
③ 실제 공격 상황에서도 점검 당시와 같은 대응이 가능할까?

 

점검을 했다는 사실과 현재의 보안 상태에 대한 확신은 반드시 일치하지 않습니다.

 

 

'확인하지 못했다'라는 불안

 

보안 담당자의 불안은 아무것도 하지 않아서 생기지 않습니다. 오히려 많은 일을 하고 있음에도 불구하고, 그 결과를 명확하게 확인하지 못할 때 커집니다. 무엇이 잘 작동하고 있는지, 어디가 취약한지, 실제 공격이 들어왔을 때 어디까지 대응 가능한지에 대한 답이 없다면 불안은 자연스러운 결과입니다.

 

       ■ 지금의 보안 상태를 어떤 기준으로 안전하다고 판단하고 있는 것일까?

       ■ 그 판단을 뒷받침할 수 있는 근거는 실제로 확인되고 있는 것일까?

 

 

'관리'보다 '검증'이 중요할 때

 

이러한 배경에서 최근 보안 환경에서는 '더 많은 솔루션을 도입하는 것'보다, 이미 갖춘 보안 체계가 실제 공격 시나리오에서도 작동하는지를 확인하려는 흐름이 나타나고 있습니다. 보안을 새로 정의하기보다는, 보안을 어떻게 검증할 것인가에 대한 고민에 가깝습니다. 이는 단순한 도구 선택의 문제가 아닙니다. 보안을 바라보는 기준을 어디에 두느냐의 문제입니다.

 

보안 투자는 앞으로도 계속될 것입니다. 다만 그 다음에는 이런 질문이 함께 따라와야 합니다.

 

현재의 보안 상태를 제대로 확인할 수 있는가?

 

이 질문에 답할 수 있을 때, 보안에 대한 불안도 조금씩 다른 방향으로 바뀌기 시작할 수 있습니다.