사이버 보안이 무너졌습니다: 성과가 개선되지 않는 이유와 변화해야 할 사항

콘텐츠 마케팅 관리자

4월 7, 2026

23 분 읽기

"사이버 보안은 근본적으로, 근본적으로, 체계적으로 취약합니다."

이는 RSAC 2026의 스탠딩룸 전용 패널 토론에서 일루미오의 창립자이자 CEO인 앤드류 루빈이 던진 첫 마디였습니다.

진짜 놀라운 점은? 전 백악관 최고정보책임자, 마이크로소프트의 위협 인텔리전스 책임자, 솔라윈즈의 CISO, 영국 최대 금융 기관의 최고 보안 책임자 등 오늘날 최고의 사이버 전문가들이 모두 그의 의견에 동의했습니다.

지난 10년 동안 사이버 보안은 기업에서 가장 많은 예산이 투입되는 기능 중 하나가 되었습니다. 팀이 성장하고, 도구가 발전하고, 점점 더 구체적인 문제를 해결하기 위한 새로운 카테고리가 등장했습니다.

서류상으로는 정상적으로 작동해야 합니다.

하지만 결과는 다른 이야기를 들려줍니다. 침해 사고는 줄어들지 않고 있습니다. 이러한 공격은 점점 더 크고 복잡해지며 복구 비용이 많이 들고, 안전하다고 여겨지던 환경에서도 빠르게 확산되는 경우가 많습니다.

"사이버 보안의 어려운 진실: 두려움, 책임, 그리고 업계의 가장 큰 거짓말"이라는 주제로 샌프란시스코 소마 지구의 하얏트 리젠시 볼룸을 가득 메웠습니다. 루빈과 함께 내셔널와이드 빌딩 소사이어티의 데이비드 보다, 솔라윈즈의 팀 브라운, 마이크로소프트의 셰로드 드그리포, 전 백악관 CIO 테레사 페이튼이 참여했습니다.

분명한 것은 업계가 정체되어 있지는 않지만, 결과 또한 변화하고 있지 않다는 것입니다. 그리고 이 문제를 해결하려면 성공을 측정하는 방법, 위험을 평가하는 방법, 불가피한 침해의 영향을 제한하는 방법을 다시 생각해야 합니다.

패널의 다음 네 가지 요점은 현재 모델이 작동하지 않는 이유와 예방뿐 아니라 봉쇄가 최신 보안 전략의 중심이 되어야 하는 이유를 보여줍니다.

1. 잘못된 것을 측정하고 이를 진행 상황이라고 부릅니다.

패널들은 사이버 보안이 어려움을 겪고 있는 것은 노력이 부족해서가 아니라 업계가 잘못된 결과를 위해 최적화했기 때문이라는 데 동의했습니다.

팀 브라운은 오늘날 조직이 성숙도를 정의하는 방법에 대해 설명했습니다.

"성숙도는 종종 위협 표면의 감소가 아닌 활동의 측면에서 측정됩니다."라고 그는 말합니다.

이 구분은 실제적인 결과를 가져옵니다.

보안 팀은 계속 바쁘게 움직입니다. 제어 기능을 구현하고 정해진 프레임워크를 따릅니다. 대시보드는 조사로 이어지는 알림으로 가득 차 있습니다. 이사회가 보기에는 꾸준한 발전으로 보일 수 있습니다.

그러나 침해는 대시보드에서 발생하는 것이 아닙니다. 이러한 문제는 통제와 팀이 적용 범위에 대해 가정하는 것 사이의 틈새에서 발생합니다. 확인란을 선택하는 것과 실제로 노출을 줄이는 것의 차이입니다.

브라운은 또한 이 문제를 조용히 강화할 수 있는 방법으로 규정 준수를 지적했습니다. 프레임워크는 구조를 가져다주지만 잘못된 자신감을 불러일으킬 수도 있습니다.

조직은 요구 사항을 충족하고 감사를 통과했지만 여전히 동일한 제어를 통해 해결해야 하는 인시던트를 처리해야 하는 상황에 처하게 됩니다.

여기서부터 침해 차단에 대한 논의가 시작됩니다. 성공이 모든 공격을 막는 것만을 의미한다면, 모든 침해는 실패로 보일 것입니다. 그러나 침해의 여파를 제한하는 것이 성공에 포함된다면, 공격자의 공격 범위와 피해 규모를 줄이는 데 초점을 맞추는 것이 중요합니다.

2. 사이버 보안은 여전히 위험을 이분법적으로 취급합니다. 현실은 그렇지 않습니다.

루빈은 사이버 보안이 여전히 결과를 이분법적으로 취급한다는 더 심각한 문제를 지적했습니다. 보안이 유지되고 있거나 보안이 침해된 상태입니다.

대부분의 분야에서 위험은 스펙트럼에 따라 존재합니다. 문제가 등급이 매겨지고 응답의 심각도에 따라 등급이 매겨집니다.

루빈은 의사가 감기에 걸렸다고 하면 최악의 상황을 가정하지 않는다는 비유를 들었습니다. 회복하고 계속 진행합니다. 하지만 진단이 더 심각하면 대응도 더 심각해집니다.

사이버 보안은 이러한 사고방식을 완전히 받아들이지 못했습니다. 오늘날의 위협 환경에서는 불가능하지만 여전히 모든 위험을 제거하려는 전략이 중심이 되는 경향이 있습니다.

데이비드 보다는 사이버 복원력의 관점에서 이 문제에 접근했습니다.

"항상 보안을 유지할 수 있는 것은 아닙니다."라고 그는 말합니다. "우리는 다가오는 위협에 맞서 탄력적으로 대응할 수 있는 능력을 키우고 있습니다."

회복탄력성을 향한 전환은 조직의 준비 방식에 변화를 가져옵니다. 이를 통해 혼란이 확산되지 않고 흡수할 수 있는 시스템을 설계할 수 있습니다. 또한 인시던트가 확대되는 것을 허용하지 않고 소규모로 유지하고 통제하는 것을 목표로 하는 격리 전략과도 밀접하게 연계되어 있습니다.

3. 모든 것을 보호할 수는 없으므로 사이버 전략을 수립해야 합니다.

전 백악관 CIO 테레사 페이튼은 즉각적이고 피할 수 없는 환경에서 운영하면서 형성된 관점을 가져왔습니다.

백악관에서는 사이버 보안 보호가 모든 자산에 고르게 적용될 수 없기 때문에 모든 자산에 사이버 보안을 적용하지 않습니다.

"모든 것을 보호하는 것은 불가능합니다."라고 그녀는 말합니다.

이러한 제약은 명확성을 강요합니다. 팀은 가장 중요한 것이 무엇인지 결정하고 그에 따라 노력을 집중해야 합니다.

Payton은 조직에서 가장 중요한 자산을 식별하고 순위를 매기는 방법을 실용적인 측면에서 설명했습니다. 여기에는 규제 노출, 고객 신뢰 또는 독점 데이터가 포함될 수 있습니다.

조직마다 가장 중요한 것이 무엇인지 자체적으로 정의하지만, 우선순위를 정하는 것은 필수적입니다.

말처럼 쉽지는 않습니다. 많은 조직이 여전히 환경에 대한 완전한 가시성을 확보하지 못하고 있습니다. 페이튼은 이를 "몬티 파이썬이 성배를 찾는 것"에 비유했습니다. 이 이야기는 토론 중에 웃음을 자아내기도 했지만, 가시성이 없으면 우선순위를 정하는 것이 추측이 될 수 있다는 현실적인 문제를 강조하기도 했습니다.

팀이 명확성을 확보하면 보안 아키텍처에 접근하는 방식이 달라집니다. 중요한 시스템을 격리하고, 통신 경로를 제한하고, 액세스를 엄격하게 제어할 수 있습니다. 문제가 발생해도 그 여파는 계속 남아 있습니다.

이는 모든 곳에 동일한 수준의 보안을 적용하는 것과는 매우 다른 접근 방식입니다.