사이버보안 시장이 정상적 판단을 잃었다고 진단할 수 있는 상황이 이어지고 있다.
매주 새로운 업체가 등장하고, 투자자는 완성되지 않은 아이디어에 자금을 투입하며, CISO는 실제 침해 사고를 막지 못할 제품 제안에 파묻히는 현상이 반복되고 있다. 업계의 소음은 점점 더 커지지만, 정작 보안의 핵심 원칙은 철저히 외면되고 있다.
대다수 보안 제품이 데모 단계에서도 인상적인 모습을 보여주지 못하는 상황이 반복되고 있다. 공식 발표를 확인해도 존재 이유가 의문인 경우가 많다. 보안 업체는 ‘보안을 재정의하겠다’고 강조하지만, 정작 어떤 문제를 해결하는지조차 명확하게 제시하지 못한다. 제품이 실제 운영 환경을 위해 만들어진 것이 아니라 투자 유치를 위한 형태로 구성돼 있으며, 현장 요구가 아닌 존재하지도 않는 질문에 대한 답변 같은 기능이 중심이 되는 경우가 흔하다. 그와 동시에 기업을 무너뜨리는 핵심 취약점은 매년 반복적으로 동일한 형태로 기업을 공격하고 있다.
보안 업체 다수는 기술을 판매한다고 생각하지만 실제로는 그렇지 않다. 업체가 판매하려는 것은 기술이 아니라, 현실적으로 해결 불가능한 위험을 관리해야 하는 보안 책임자에게 ‘신뢰’라는 감정적 자산을 제공하는 행위에 가깝다. CISO의 구매 결정은 재직 기간 동안 대형 사고를 줄이기 위한 확률 게임이며, 모든 선택은 위험을 동반한다. 이 분야에는 절대적인 ‘안전 옵션’이 없다. 완벽한 보호가 존재하지 않는다는 사실을 알고 있음에도, 개인적·기업적 리스크를 줄이기 위해 선택을 이어갈 수밖에 없다.
사이버보안은 완결형 퍼즐이 아니라 영원히 끝나지 않는 게임에 가깝다. 어떤 선택을 하더라도 완전한 승리는 존재하지 않는다. 모든 시스템의 패치를 완료하고 모든 취약 지점을 제거할 수 있다고 가정해도, 그 완전성 유지 비용은 기업 경영을 불가능하게 만들 수준이다. 이론적으로 보안을 강화하기 위해 제품 출시, 고객 서비스, 매출 활동을 모두 중단한다면 완전한 보안은 가능하다. 그러나 그러한 상태는 더 이상 보안의 목적과 부합하지 않는다.
보안 책임자의 역할은 기업을 멈추게 하지 않으면서 기업이 타격을 입지 않도록 관리하는 일이다. 따라서 단순한 가용성뿐 아니라, 앞으로 1년을 좌우할만한 대형 침해 사고를 피하는 것이 중요하다. 핵심은 균형이다. 위험이 과도하면 언론의 헤드라인에 오르게 되고, 통제가 과도하면 혁신이 중단된다. 보안 책임자의 일상은 이 두 요소 사이에서 끊임없이 균형점을 찾는 협상 과정으로 구성된다.
보안 책임자가 제품을 선택할 때는 매우 제한적인 기준을 적용한다. 우선 보안 로드맵과의 부합성, 실제 환경에서 확인 가능한 위험 감소 효과, 기존 시스템과의 무리 없는 통합성, 그리고 보안팀이 장기간 운영할 수 있는 지속 가능성이 핵심 판단 요소다. 또한 보이지 않으면 방어할 수 없기 때문에 가시성 확보가 우선순위이며, 접근 권한이 통제의 중심이기 때문에 아이덴티티 기반 접근 통제에 대한 투자가 필수적이다. 인력을 둔화시키지 않고 속도를 높여주는 자동화 기술, 그리고 선언적 구호가 아니라 실제로 설계 단계에서부터 안전성을 구현하는 방식(설계 기반 보안)을 실현하는 도구를 우선적으로 도입한다.
반면, 선택하지 않는 제품의 기준도 분명하다. 과도한 유행성 마케팅에 의존하는 기술, 이미 보유한 도구와 기능이 중복되는 보안 제품, 발표 자료에서는 그럴듯하지만 실제 운영 환경에서 효과를 검증하지 못한 기술, 보안팀의 부담만 늘리고 운영 복잡성을 증가시키는 시스템, 그리고 해결하려는 문제가 무엇인지, 위험을 어떻게 줄이는지 명확한 한국어로 설명하지 못하는 업체의 제품은 구매 대상에서 제외된다.
보안의 본질은 결국 기초 체계에 있다. 대다수 기업은 더 많은 도구가 필요한 것이 아니라, 기본을 제대로 수행해야 한다. 패치를 꾸준히 적용하고, 접근 권한을 적절하게 설정하며, 네트워크를 단일 구역이 아닌 분리 구조로 유지한다면, 대다수 기업보다 앞서 있는 상태다. 새로운 보안 도구가 없어도 충분한 수준이다. 체계적인 패치만으로도 다수의 공격 표면을 제거할 수 있고, 네트워크 분리는 침입자가 내부에서 이동하는 것을 막으며, 접근 통제는 침해 발생 시 피해 범위를 최소화한다. 이 개념은 눈에 띄는 신기술이 아니라, 오래전부터 검증된 방식이지만 투자자에게 매력적으로 보이지 않는다는 이유로 외면받고 있다.
문제의 근본은 여기에 있다. 업계는 효과가 있는 것이 아니라 잘 팔리는 것에 보상을 제공하기 시작했다. 투자 자본은 모든 것을 인공지능 기반, 자동화 기반으로 포장한 제품에 자금을 쏟아붓고, 그 사이에 기본 체계는 계속 방치된다. 업체는 유행을 좇고, 유행은 투자를 끌어오며, 보안 책임자는 반복되는 고통을 끝내줄 무언가를 찾아 과도한 기대에 의존하는 소비를 하게 된다. 겉보기에 모두 합리적으로 행동하고 있지만, 시장 전체는 점점 비정상적인 방향으로 움직이고 있다.
보안 업체만 탓할 수 있는 문제도 아니다. 보안 책임자 역시 이 시장 구조를 만든 존재다. 혁신이라는 이름에만 집중하며, 기본 체계를 외면했고, 충분히 활용하지 못하는 도구를 잔뜩 쌓아두고 그 상태를 성숙도라고 착각했다. 복잡성을 전략이라고 오해했고, 그 결과 해마다 동일한 근본 원인에 무너지는 상황이 반복되고 있다.
견고한 보안은 언제나 견고한 정보기술 운영 체계에서 시작된다. 과거에도 그랬고 앞으로도 변하지 않는다. 어떤 자산을 보유하고 있는지 파악하지 못하면 보호할 수 없다. 패치를 적용하지 않으면 이미 침해된 것이나 다름없다. 과도한 접근 권한을 부여하거나 네트워크를 분리하지 않고 운영하면, 단 하나의 자격 증명 탈취만으로도 기업 전체가 위험해진다. 필요한 해결책은 이미 존재한다. 단지 화려하지 않을 뿐이다. 꾸준함·절차·지속성처럼 투자자에게 매력적으로 보이지 않는 요소가 필요하기 때문이며, 이러한 요소는 보안 업계가 기피하는 영역이다. 보안 행사는 사진으로 남기기에 적합한 모습이 아니기 때문이다.
필자는 기술을 반대하는 입장이 아니다. 오히려 기술에 의존한다. 그러나 목적 없이 구매하지 않는다. 기본 체계를 강화하고, 절차적 규율을 유지하도록 돕고, 사람의 실수를 줄여주는 기술에 투자한다. 복잡성을 더하지 않고 운영 환경을 단순화하는 보안 기술, 그리고 불편하더라도 사실을 있는 그대로 전달하는 업체의 제품을 선택한다.
제대로 된 업체는 이러한 현실을 이해하고 있다. 혁신을 판매하는 것이 아니라 신뢰와 안정성을 제시한다. 준비된 상태로 기업을 찾아오고, 고객사의 비즈니스를 이해하며, 자사 기술이 어느 위치에 가장 적합한지 파악하고, 가능한 것과 불가능한 것을 명확히 설명한다. 보안 책임자가 찾는 것은 마법이 아니라, 끝없이 반복되는 문제를 함께 관리해줄 파트너라는 사실을 인지하고 있다.
투자자 역시 책임을 져야 한다. 실체 없는 기술에 자금을 지원하는 관행을 멈추고, 새로운 약어를 좇는 투자를 중단해야 한다. 기업 운영을 실제로 안전하게 만드는 분야—가시성 확보, 아이덴티티 기반 통제, 안전한 구성, 개발자 지원, 그리고 정보기술 위생 관리—에 자금을 투입해야 한다. 이러한 영역이야말로 기업을 위기에서 구해내는 실제적인 기반이다.
보안 책임자 역시 스스로를 피해자로만 묘사해서는 안 된다. 보안 책임자 집단이 바로 현재의 시장 구조를 만든 주체다. 성숙도와 무관한 혁신을 좇았고, 기본 체계를 외면했으며, 제대로 활용하지 못하는 보안 제품을 과도하게 도입하면서 그 상태를 성숙한 구조라고 착각했다. 만약 업계 변화가 필요하다면, 구매 방식부터 변화해야 한다. 더 적게 사고, 더 현명하게 선택해야 한다. 사람·절차·설계 구조에 대한 투자가 우선이며, 이후에 필요한 기술을 선택하는 순서가 되어야 한다. 패치가 불가능하고, 접근 권한을 통제하지 못하며, 네트워크가 여전히 단일 구조라면, 새로운 보안 제품은 필요하지 않다. 필요한 것은 기초 체계를 강화하는 규율과 절차다.
보안은 기술 문제가 아니다. 실행의 문제다. 이 부분이 해결되지 않는다면 아무리 많은 자금과 인공지능 기반 기술이 등장하더라도 근본적인 문제는 해결되지 않는다.
필자는 앞으로도 필요한 기술은 구매할 것이다. 실제 위험을 줄이고 기초 체계를 강화하며, 침해 사고 발생 가능성을 낮추고 복구를 용이하게 만드는 기술에는 투자를 지속할 것이다. 그러나 근본 문제를 해결하지 못한 채 시장을 어지럽히는 소음과 유행성 주장은 모두 선반에 남겨둘 것이다.
dl-itworldkorea@foundryco.com
Tyler Farrar editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.