나쁜 습관을 고치고 더 나은 습관을 형성하는 과정은 인내, 자기 인식, 그리고 의지를 요구하는 여정이다. 개인적인 습관뿐 아니라, 이미 유효기간이 지난 보안 관행에도 그대로 적용된다.

조직이 이미 한참 전에 쓸모를 잃은 보안 접근법이나 기술에 여전히 의존하고 있는가? 지금 즉시 폐기해야 할 구시대 보안 관행 7가지를 정리했다.

경계 기반 보안에만 의존하는 관행

에너지 운송 서비스를 제공하는 유조선 운영업체 인터내셔널 시웨이즈(International Seaways)의 CIO 겸 CISO 아밋 바수는 “오늘날 대부분의 업무 환경은 클라우드 기반이며, 원격 및 고도로 분산되어 있다”라고 지적했다. 아밋 바수는 “고정된 경계를 보호하던 과거의 방식은 더 이상 유효하지 않다”라고 강조했다.

바수는 사용자와 데이터가 전통적인 네트워크 경계 내부와 외부 모두에 존재하는 클라우드 우선 하이브리드 환경에서는, 경계 기반 보안만으로는 조직이 측면 이동 공격, 랜섬웨어, 데이터 유출 등의 위협에 심각하게 노출된다고 분석했다. 이에 따라 제로 트러스트 모델, 즉 어느 위치에 있든 무조건 신뢰하지 않고 항상 검증하는 접근법을 채택할 것을 권고했다.

컴플라이언스 중심의 보안 운영

베드록 시큐리티(Bedrock Security)의 CSO 조지 거초우는 “많은 보안팀이 실질적인 사이버 위협을 해결하기보다는 규정을 충족시키는 데만 몰두하고 있다”라고 지적했다. 조지 거초우는 “기업이 컴플라이언스를 충족시키기 위해 많은 노력을 기울이지만, 여전히 심각한 침해 사고를 겪고 있다”라고 분석했다. 또한, “이러한 GRC 중심 사고방식은 구시대적이며, 보안 기능을 제대로 수행하지 못하는 방식”이라고 말했다.

거초우는 컴플라이언스 중심의 보안이 실제 위협 대응에 필요한 자원을 분산시키고, 잘못된 보호 환상을 조장한다고 지적했다. 조지 거초우는 “대형 GRC팀이 실제로는 데이터 보호나 접근 제어, 위협 감시보다 고객 설문과 감사 대응에 더 많은 시간을 보내고 있다”라고 말했다.

베드록 시큐리티의 2025 기업 데이터 보안 신뢰 지수에 따르면, 보안 리더의 82%는 심각한 가시성 결함을, 65%는 민감 데이터를 찾는 데 수일에서 수주가 걸린다고 응답했다. 조지 거초우는 “컴플라이언스는 이런 문제를 해결하지 못한다. 오히려 문제를 문서화하는 데 그친다”라고 분석했다.

거초우는 기업이 다시 심층 방어, 제로 트러스트, CARTA(지속적 적응형 위험 및 신뢰 평가) 등 보안의 본질로 돌아가야 한다고 강조했다.

레거시 VPN에 의존하는 관행

IT 서비스 기업 CDW의 글로벌 보안 전략 책임자 벅 벨은 “기존 VPN은 비효율적이고 관리가 어렵고, 다운타임 발생 가능성도 크다”라고 밝혔다. 벅 벨은 “현대 업무 환경은 장소와 관계없이 유연하고 원활한 리소스 접근을 요구하는데, 레거시 VPN은 이 요구를 충족하지 못한다”라고 강조했다.

벅 벨은 레거시 VPN이 정기적 업데이트 및 패치 부족으로 인해 사이버 위협에 노출되기 쉽고, 조직이 성장하면서 늘어나는 보안 요구사항에 대응하기 어렵다고 분석했다.

보다 나은 접근법으로는 SASE(보안 접근 서비스 엣지) 채택과 제로 트러스트 사고방식 전환을 제시했다. 벨은 “이러한 전략은 네트워크 리소스에 접근하려는 모든 사용자와 디바이스를 검증함으로써 보안을 강화한다”라고 설명하며, “VPN이 전제로 삼는 추정이나 가정을 제거하고 원격 근무자에게 보다 안전하고 원활한 접근을 제공할 수 있다”라고 덧붙였다.

EDR 하나만으로 충분하다고 믿는 관행

사이버보안 기술 기업 노팔사이버(NopalCyber)의 수석 솔루션 아키텍트 미셸 사이운은 “EDR(엔드포인트 탐지 및 대응)은 기존 안티바이러스보다 진일보한 기술이지만, 오늘날의 위협 환경에서는 단독으로는 충분하지 않다”라고 지적했다.

미셸 사이운은 EDR이 엔드포인트 기반 활동을 모니터링하고, 행위 분석과 위협 헌팅을 통해 정교한 공격을 탐지하는 데 강점을 보이지만, 공격자는 점점 더 엔드포인트를 우회해 클라우드 환경, 네트워크 장비, 임베디드 시스템을 노린다고 설명했다.

한편 사이운은 “엔드포인트가 잘 보호되더라도, 공격자는 EDR 탐지를 우회해 중요한 데이터를 획득하거나 측면 이동을 수행할 수 있으며, 이로 인해 침해가 장기화되고 랜섬웨어 공격이 발생할 수 있다”라고 경고했다.

또한, 사이운은 OAuth 토큰 악용 사례를 언급하며, 마이크로소프트 365, 구글 워크스페이스, AWS 등의 클라우드 플랫폼에 EDR이 감시하지 않는 방식으로 접근하는 공격이 증가하고 있다고 지적했다. 또한 네트워크 장비와 IoT 디바이스는 탐지·포렌식 기능이 부족하여 주요 블라인드 스팟이 되고 있으며, 클라우드 환경은 로그 제한, 유료 가시성, 탐지 콘텐츠 부족 등으로 인해 탐지가 더욱 어려워졌다고 설명했다.

공격자가 신뢰 관계, ID, API를 악용하는 방향으로 진화하면서, 엔드포인트 중심의 보안 방식만으로는 한계가 뚜렷해지고 있다.

2단계 인증 수단으로 SMS를 사용하는 관행

마이크로소프트 시큐리티의 시니어 보안 보증 리더 아파르나 히맛람카는 “과거에는 SMS 기반 2단계 인증이 비밀번호 단독 인증보다 훨씬 안전한 것으로 여겨졌지만, 현재는 여러 공격 벡터에 취약하다고 평가된다”라고 밝혔다.

히맛람카는 “통신 인프라는 원래 보안을 고려하지 않고 설계됐고, 오늘날에도 셀룰러 네트워크는 여전히 취약한 레거시 프로토콜을 사용하고 있다”라고 지적했다. 또한 통신사 간 번호 이동 절차는 신원 검증이 미흡해 공격에 쉽게 노출된다고 설명했다.

또한, 히맛람카는 특히 SIM 스와핑 공격의 위험성을 강조했다. 이는 범죄자가 통신사를 속여 피해자의 전화번호를 자신이 제어하는 디바이스로 이전하게 하고, 이를 통해 인증 코드를 가로채는 수법이다.

온프레미스 SIEM에 의존하는 관행

베드록 시큐리티의 조지 거초우는 온프레미스 SIEM(보안 정보 및 이벤트 관리) 시스템이 과도한 경고 발생으로 인한 피로를 유발하고, 클라우드 환경에 대한 인식 부족으로 인해 한계가 크다고 지적했다. 이러한 시스템을 유지하려면 막대한 데이터를 매우 높은 비용으로 이동·저장하거나, 클라우드 보안에 필수적인 로그를 생략하는 위험을 감수해야 한다고 설명했다.

거초우는 “로그 비용이 지나치게 높아 필요한 로그 전체를 수집하지 못하게 되고, 결국 보안 상태를 걸고 도박하는 셈”이라고 말했다. 또한 “많은 조직이 민감 데이터를 클라우드에 저장하는 것에 대한 두려움으로 온프레미스 SIEM을 고수하지만, 이미 그 기차는 떠났다. 이제는 바뀌어야 할 때”라고 강조했다.

최종 사용자를 수동적 보안 참여자로 두는 관행

보안·클라우드·협업 솔루션 업체 XTIUM의 수석 기술 컨설턴트 케빈 설리번은 “어떤 보안 시스템이든 인간은 가장 취약한 연결고리”라고 지적했다. 또한 “공격자는 단 한 번만 성공하면 수많은 사용자와 프로세스, 시스템을 동시에 노릴 수 있지만, 방어자는 매일, 매 순간 완벽해야 한다”라고 강조했다.

설리번은 대부분의 사용자가 자신이 피싱 공격의 희생자가 될 것이라고 생각하지 않지만, 실제로 많은 이가 계속 속고 있다고 지적했다. 케빈 설리번은 “단 한 번, 잘못된 시간에 잘못된 사용자를 노리면 된다. 링크드인, 페이스북 등에서 수집한 정보로 정교한 사회공학 공격을 감행하는 사례가 급증하고 있다”라고 경고했다.

설리번은 적극적인 보안 문화가 해법이라고 강조했다. 적절한 보안 도구와 프로세스를 갖추는 것도 중요하지만, 사용자에게 보안 교육과 참여 기회를 제공해, 데이터·시스템·업무를 스스로 방어하는 주체로 만드는 것이 핵심이라고 설명했다.

여기에 더해 “지속적인 교육, 준비, 참여 없이 보안 솔루션에만 투자한다면 결국 실패할 수밖에 없다”라며 “잘 교육되고 철저히 준비된 사용자야말로 가장 강력한 1차 방어선”이라고 덧붙였다.
dl-itworldkorea@foundryco.com