[윤원석 라온시큐어 화이트햇센터장] ‘급보: 후방에 독일군 출현’
1940년 5월, 마지노선을 굳게 지키던 프랑스군에게 믿기 어려운 소식이 날아들었다. 독일 기갑사단이 마지노선을 우회해 숲지대를 돌파했고, 전황은 돌이킬 수 없었다. 프랑스가 그 지형을 ‘전차가 통과하기 어렵다’고 여겼다는 건 유명한 얘기다.
독일군이 뚫어낸 것은 단순한 숲이 아니었다. 프랑스가 배제해버린 ‘가능성’이었고, 대가는 파리 함락과 항복이었다. 동서고금 전쟁사에서 공격자는 늘 정면만 고집하지 않는다. 지키는 쪽이 애써 외면한 틈과 가능성을 집요하게 파고든다. 그래서 ‘강한 벽’이 아니라 ‘비어 있는 틈’이 종종 결과를 가른다.
 |
윤원석 라온시큐어 화이트햇센터장. 사진=라온시큐어 |
1940년 5월, 마지노선을 굳게 지키던 프랑스군에게 믿기 어려운 소식이 날아들었다. 독일 기갑사단이 마지노선을 우회해 숲지대를 돌파했고, 전황은 돌이킬 수 없었다. 프랑스가 그 지형을 ‘전차가 통과하기 어렵다’고 여겼다는 건 유명한 얘기다.
독일군이 뚫어낸 것은 단순한 숲이 아니었다. 프랑스가 배제해버린 ‘가능성’이었고, 대가는 파리 함락과 항복이었다. 동서고금 전쟁사에서 공격자는 늘 정면만 고집하지 않는다. 지키는 쪽이 애써 외면한 틈과 가능성을 집요하게 파고든다. 그래서 ‘강한 벽’이 아니라 ‘비어 있는 틈’이 종종 결과를 가른다.
오늘날 IT 정보보안 전선에서도 같은 일이 반복되고 있다. 최근 몇 달간의 유출 사고는 경고장이다. 우리가 매일 사용하는 ‘생활밀착형 서비스’에서 개인정보가 방대한 단위로 흘러나왔다. 테슬라나 인텔 같은 글로벌 거대 기업들도 예외는 아니었다.
복잡한 용어들을 걷어내고 보면 답은 명확하다. 결과적으로 이들의 ‘가능성’ 관리가 아쉬웠다. 내부자·퇴사자·협력사 계정의 권한 악용 가능성, 그리고 아무리 강한 장벽이라도 어딘가 ‘사각지대’가 존재할 가능성 같은 것들이다.
무형가치의 손익은 주관적 판단이지만 숫자는 객관적이다. 한국인터넷진흥원(KISA)에 따르면 국내 773개 공시기업의 IT 투자 대비 정보보호 투자 비율은 6.29%에 불과하다.
현장에서는 투자 규모보다 방향성이 더 큰 문제로 보이기도 한다. 몇몇 보안 솔루션 도입만으로 “이제됐다”고 안심하는 순간, 사각지대 점검은 뒷전으로 밀린다. 마지노선을 세우고 안전하다고 믿는 것과 다르지 않다.
업계의 기존 가치와 철학이 뒤집히는 국면이다. 전통적 보안 패러다임은 ‘외부 공격’을 전제로 했다. 방화벽을 높이 쌓고 탐지 체계를 촘촘히 돌리면 안전하다고 믿었다.
하지만 최근 사고들이 보여주는 건 단순한 ‘외부 vs 내부’ 구도가 아니다. 마지노선을 우회한 독일군처럼, APT(지능형 지속 위협)는 정면을 피하고 우리가 가볍게 여긴 우회로로 스며든다. 계정 탈취부터 권한 오남용, 협력사·위탁망·클라우드 설정 같은 사각지대, 그리고 한 번 들어오면 내부를 옮겨 다니며 잠복, 횡이동, 권한 상승으로 확장되는 침투 시나리오까지. 공격자는 언제나 우리가 덜 보던 경로로 들어온다.
그래서 ‘검증 방식’도 확 달라져야 한다. 수많은 이들의 정보가 담긴 생활밀착형 서비스라면, 보안은 더 이상 “솔루션을 갖췄다”로 끝나는 체크리스트가 아니다. 해법은 ‘실제 해커 관점의 실전형 모의침투’를 지속해서 받는 것이다. 실제 공격이 벌어진다는 전제에서, 해커가 어떤 경로로 들어오고 어디까지 확장할 수 있는지를 상시로 검증해야 한다. 장벽을 높이는 일보다, 장벽을 피해 들어오는 우회로를 먼저 찾아 막는 게 우선이다.
기술적 핵심은 ‘실제 해커의 관점’이다. 체크리스트 기반 진단은 ‘있다/없다’를 확인하는 데 그치기 쉽다. 반면 실제 해커 관점의 실전형 모의침투는 ‘공격이 어디로 들어와 어디까지 갈 수 있는가’를 끝까지 추적한다. 외부에서 시작해 권한을 확대하고 내부를 옮겨 다니며 핵심 자산에 접근하는 경로를 시나리오로 재현함으로써, 취약점을 단순한 ‘항목’이 아니라 실제로 벌어질 ‘사건’으로 드러낸다.
물론, 기업마다 시스템 구조와 운영 방식, 권한 체계, 클라우드·외부 연동 조건은 다르다. 그래서 실전형 모의침투는 이 전제를 반영해 맞춤형 시나리오로 보안 레이어를 해부한다. 결과물 역시 ‘취약점 목록’에 머물지 않는다. 경로별 파급 영향을 정량화하고 우선순위를 제시해, 경영진이 즉시 의사 결정할 수 있는 형태로 번역된다.
결국 기업이 해야 할 일은 하나로 수렴한다. ‘우리는 무엇을 막고 있나’가 아니라 ‘우리가 배제한 가능성은 무엇인가’를 전문 기술로 되묻는 것이다. 세계 최고 해커들의 실전 시나리오와 정량화된 리스크 분석은 이 질문들에 답을 제공한다.
마지노선은 무너지지 않았다. 다만 쓸모없어졌을 뿐이다. 기업의 보안 투자도 마찬가지다. 무언가 도입만 하고 끝나는 것이 아니라 실제 위협을 막아낼 수 있는지가 중요하다. 사전 투자는 사후 복구보다 훨씬 더 경제적이다. 그리고 그 투자의 핵심은, 진짜 공격자의 눈으로 자사 시스템을 들여다보는 것이다. 이는 민간 기업의 생존 전략이다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
