사이버보안 책임자는 공격을 방어하기 위해 점점 더 다양해지는 디지털 도구 중에서 선택할 수 있으며, 시장 전망에 따라 이런 도구를 활발히 채택하고 있다.

가트너에 따르면, 2025년 전 세계 사이버보안 지출은 전년 대비 15% 증가한 2,120억 달러에 이를 것으로 예상된다. 보안 소프트웨어에 대한 지출만 해도 2024년 875억 달러에서 2025년 1,007억 달러로 15.1% 증가할 것이라고 전망하고 있다.

생성형 AI와 같은 새로운 기능을 도입하는 데 상당한 지출이 이루어지고 있지만, 많은 CISO가 오래된 기술을 업그레이드해야 하는 필요성 역시 계획된 기술 구매에서 큰 비중을 차지한다고 말한다. 인터뷰에 따르면, CISO들은 오래된 사이버보안 기술 중 일부가 이제 교체할 시점이 됐다고 판단하고 있다.

예를 들어, 미국 물류 운송 회사인 IMC 컴퍼니(IMC Companies)의 CISO 데이비드 울로아는 서명 기반 안티바이러스, 기본 침입 탐지 시스템, 오래된 암호화 프로토콜, 레거시 VPN, 기본 엔드포인트 보호, 비밀번호 기반 인증, 일부 방화벽 등이 폐기해야 할 기술 목록이라고 말했다.

여기서는 울로아와 다른 보안 전문가가 전성기를 지났다고 판단하는 주요 보안 도구 및 베스트 프랙티스를 소개한다.

1. 비밀번호 기반 보안 제어

소프트웨어 개발업체 오딧보드(AuditBoard) CISO 리처드 마커스는 “비밀번호는 이제 끝났다고 본다. 특히 서드파티 사이트에서 암호를 사용하는 것은 더 이상 유효하지 않다. 유출되어 악용될 가능성이 있는 자격 증명을 서드파티에 제공하고 싶지 않다. 자격 증명 정보를 주기적으로 바꾸지 않을 경우 위험이 너무 높다”라고 말했다.

비밀번호 문제를 지적한 것은 마커스만이 아니다. 2023년 데이터 유출 비용 보고서(2023 Cost of a Data Breach Report)에서 포네몬 연구소는 전체 유출 사고의 약 50%가 도난당했거나 취약한 비밀번호로 인해 발생했을 가능성이 있다고 밝혔다.

실제로 오딧보드는 2024년부터 비밀번호 기반 보안 제어에서 벗어나 동적 인증을 더 많이 사용하는 방향으로 보안 정책을 전환하기 시작했다.

마커스를 “업체를 선정할 때 비밀번호나 토큰, 키를 발급하지 않을 것이라고 명시한다. 이는 모두 정적 인증이다. 하지만 현실적으로 비밀번호가 필요한 제품이 있다면 비밀번호를 자주 교체한다. 오딧보드에서 정적 인증 정보를 사용하는 것은 규칙이 아니라 예외로 간주된다”라고 덧붙였다.

2. 정기적인 모의 침투 테스트

보안 도구는 아니지만, 일각에서는 정기적인 침투 테스트 의무화를 구시대적인 전략으로 꼽고 있다.

일례로 고투(GoTo)의 CISO 아틸라 토록은 “규제 또는 업체 요구 사항을 충족하기 위해 1년에 한두 번 실시하는 모의 침투 테스트는 진정한 보안 태세를 효과적으로 평가하지 못한다. 이런 테스트는 특정 시점의 환경 보안 상태를 단순히 스냅샷으로 보여줄 뿐”이라고 지적했다.

이어 “환경은 항상 변한다. 고투는 하루에도 여러 번 코드를 변경하기 때문에 1년에 한 번 침투 테스트를 하는 것은 큰 의미가 없고 비용도 많이 든다”라고 덧붙였다.

하지만 토록이 침투 테스트를 완전히 무시하는 것은 아니다. 토록은 고투의 보안팀에는 정기적으로 취약점을 테스트하는 공격팀이 있으며, 이 같은 침투 테스트에 대한 동적 접근 방식이 끊임없이 변화하는 환경에 더 효과적이라고 설명했다.

고투는 버그 바운티 프로그램도 운영한다. 이 역시 반기별 또는 분기별 정기 침투 테스트보다 더 효과적이다. 토록은 “침투 테스트에서는 아무 취약점을 찾으면 돈을 받지만, 버그 바운티 프로그램에서는 의미 있는 것을 찾아야 돈을 받을 수 있으므로 인센티브가 더 커진다”라고 말했다.

3. VPN

발루시안(Balusian) 공동 설립자이자 CISO, 사이버보안 고문, 윤리적 AI 컨설턴트로 활동하는 파블로 발라린은 VPN은 특정 상황에서만 가치가 있다고 말했다.

발라린은 “개인 노트북을 사용하면서 기업 내부 서비스에 안전하게 액세스할 수 있는 다른 수단이 없는 직원이 많을 경우에는 유용하다. 하지만 더 합리적인 대안도 존재한다”라고 설명했다.

VPN은 사이버 공격의 통로가 될 수 있다. ‘사이버보안 인사이더 2024 VPN 위험 보고서(Cybersecurity Insiders 2024 VPN Risk Report)’에 따르면, 기업 56%가 2024년 한 해 동안 패치되지 않은 VPN 취약점을 노린 사이버 공격을 최소 한 차례 이상 경험한 것으로 나타났다. 설문조사에 참여한 IT·보안 전문가 647명 중 91%가 “VPN이 IT 보안 환경을 손상시킬 가능성을 우려하고 있으며, 최근 발생한 침해 사고는 오래되거나 패치되지 않은 VPN 인프라를 유지할 때의 위험성을 잘 보여준다”라고 답했다.

VPN이 완전히 쓸모없다는 뜻이 아니다. 보안에서 VPN에 의존하던 시대가 끝났다는 의미다. 발라린은 “기존 솔루션을 보완할 수 있는 새로운 솔루션을 구현해야 한다”라고 강조했다.

발라린과 다른 전문가들은 VPN을 대체하거나 보완하기 위해 MFA(multifactor authentication), 인증서 기반 인증, 제로 트러스트 전략을 도입해야 한다고 조언했다. 이런 전략은 레거시 애플리케이션에 대한 접근이 여전히 필요한 경우에도 효과적인 심층 방어를 제공한다.

4. 온프레미스 SIEM

잠재적인 보안 위협과 취약점이 문제로 발전하기 전에 이를 감지하고 해결하는 역할을 하는 SIEM(Security Information and Event Management) 시스템은 기본적인 보안 기술로 자리 잡고 있다.

하지만 IANS 리서치(IANS Research)의 교수이자 몽고DB의 임시 CISO 겸 신뢰 책임자인 조지 거초우는 “온프레미스 SIEM이 이제 더 이상 필요한 기술이 아니며, 사라져야 한다”라고 주장했다.

거초우는 온프레미스 SIEM이 너무 많은 경고를 생성해 경고 피로를 가중한다고 지적했다. 또한 이런 시스템이 클라우드와 관련한 보안 요구사항을 충분히 반영하지 못하기 때문에 기업은 막대한 비용을 들여 데이터를 이동 및 저장하거나, 데이터 사용을 포기해야 하는 상황에 직면한다고 덧붙였다.

이어 “로그에 막대한 비용을 지불해야 한다면 가장 중요한 로그만 선택하게 되고, 이는 결국 보안에 큰 위험을 감수하는 셈이다. 사고가 발생했을 때 필요한 로그를 확보하지 못할 수도 있으며, 비용 문제로 인해 로그를 아예 수집하지 못할 가능성도 있다”라고 경고했다.

거초우는 많은 기업이 민감한 로그 데이터를 클라우드에 저장하기를 꺼려 온프레미스 SIEM을 유지하고 있다는 점을 인정하면서도, 온프레미스 SIEM의 시대는 이미 끝났다고 보고 있다.

5. 전통적인 방화벽

방화벽은 1980년대로 거슬러 올라가는 가장 초기의 사이버보안 기술이다. 초기 버전은 라우터에 내장된 패킷 필터 형태로, 소스 및 대상 IP 주소, 포트 번호, 사용되는 프로토콜에 기반한 사전 정의된 규칙에 따라 트래픽을 차단했다.

물론 방화벽은 이후로 많은 발전을 거듭해 오늘날의 복잡한 디지털 환경에 적합한 버전도 존재한다. 하지만 CISO들은 단순한 방화벽이나 오래된 WAF(web application firewalls)이 이제는 그 역할을 충분히 수행하지 못한다고 지적한다.

기술 영업 및 자문 기업 CDW에서 물리적 보안과 사이버보안을 담당하는 스테파니 하고피안은 “방화벽이 완전히 사라지지는 않겠지만, 기존의 하드웨어 기반 자산은 이제 끝났다. 방화벽은 여전히 필요하지만, 무거운 하드웨어 자산에서 디지털 기반으로 전환되고 있다”라고 설명했다.

또한 하고피안은 일반적으로 CISO가 클라우드 및 최신 디지털 기술을 위해 레거시 및 온프레미스 하드웨어를 교체할 때, 교체 주기의 일환으로 최신 방화벽으로 업그레이드한다고 설명했다. “단순히 스위치만 교체하는 작업이 아니다. 새로운 방화벽을 구성하고 기존 하드웨어를 제거해야 하며, 팀원들은 새로운 기술을 관리하는 방법을 익혀야 한다. 노력이 필요한 이런 일을 하드웨어 교체 과정에서 강요받는 상황”이라고 덧붙였다.
dl-itworldkorea@foundryco.com