도구가 많아질수록 문제는 더 커진다: 보안 스택이 오히려 발목을 잡는 이유

버라이즌의 ‘2025년 데이터 침해 조사 보고서’ 에 따르면, 2025년 취약점 악용 사례가 34% 증가할 것으로 전망된다.%보안 투자액이 사상 최고치를 기록했다.

우리는 사이버 보안 업계의 지출 문제에 대해 자주 이야기합니다. 보안 예산은 계속 늘어나고, 사용하는 도구의 수는 계속 증가하며, 인력도 계속 늘어나고 있지만, 보안 침해 사고는 여전히 끊이지 않고 발생하고 있다.

최근 SheHacksPurple의 CEO이자 앱 보안(AppSec) 분야에서 가장 권위 있는 전문가 중 한 명인 타냐 얀카(Tanya Janca)와 함께 진행한 LinkedIn Live에서 논의했듯이, 보안 투자와 관련해 우리가 구축해 온 인센티브 구조 자체가 문제입니다. 그 구조들을 움직이는 근본적인 원인을 솔직하게 직시하지 않는 한, 아무리 많은 예산을 투입해도 중요한 부분에서는 아무런 변화도 일으키지 못할 것입니다.  

냉정한 현실은 사이버 보안 업계가 활동과 효과를 혼동하고, 복잡성과 역량을 혼동해 왔다는 점이다. 더 중요한 것은 보안 인프라가 실제로 보안을 강화해 주는지, 아니면 단지 그렇게 느끼게만 하는지 여부입니다.

왜 투자 확대가 보안 강화로 이어지지 않는가

이 수치는 업계가 차라리 외면하고 싶은 현실을 여실히 보여주고 있다. 보안 예산이 사상 최고치를 기록하고 있다. 도구 스택이 이토록 길었던 적은 없었습니다. 그런데도 대부분의 기업은 취약점 처리 대기 목록이 너무 방대해 사실상 무의미한 수준에 이르러 허덕이고 있다.

타냐는 고객사 중 일부가 4만 건에 달하는 중대한 취약점을 단일 백로그에 방치해 두고, 이를 해결할 현실적인 계획조차 없는 경우를 목격했다고 언급했다. 이건 대규모의 허울뿐인 보안 쇼에 불과하다.

안타깝게도 많은 보안 팀에게 있어, 새로운 도구를 구입하는 것은 이제 모든 보안 문제에 대한 당연한 해결책이 되어버렸다. 게다가 새로 도입하는 도구마다 고유한 알림, 대시보드, 연동 기능이 있는데, 이 기능들이 기존에 사용하던 다른 도구들과는 잘 호환되지 않습니다.  

그 결과, 방대하고 복잡하게 얽혀 있으며 모순으로 가득 찬 혼란스러운 상황이 초래되어 막대한 자원을 소모하는 동시에 위험한 공백을 남기고 있다.

이것이 특히 교묘한 이유는 그 활동이 생산적으로 보이기 때문이다. 대시보드가 데이터로 가득 차고 티켓이 처리되어 닫히면, 모든 것이 안전하다고 생각하기 쉽습니다.  

하지만 타냐가 지적했듯이, 우리는 ‘바쁘다’는 것과 ‘효율적이다’는 것을 혼동하고 있다. 지식 근로자, 보안 전문가를 포함해, 이들은 실제로 성과를 이끌어내는 심도 있고 전략적인 업무보다는 눈에 띄고 측정 가능하며 빈도가 높은 활동을 통해 자신의 노력을 입증하는 경우가 많습니다.

공격자들에게 있어 복잡성은 결함이 아니라 장점이다

공격자들은 사용자의 환경이 복잡하다는 점을 이용합니다. 그들은 위험은 적고 수익은 크며, 인내심은 거의 무한합니다. 그들은 단지 서로 중복되는 도구들 사이에서 서로 연동되지 않는 단 하나의 빈틈만 찾아내면 됩니다.

“예전에 사람들이 은행을 털 때는 총을 들고 들어갔었죠,” 타냐가 말했다. “이제는 온라인으로 저지르니까, 들키지 않고 100개 은행을 털 수도 있다.”

이러한 비대칭성이 바로 현대 사이버 보안의 핵심 과제입니다.  

타냐가 지적했듯이, 그들은 그런 허점을 찾아내는 데 놀라울 정도로 능숙합니다. “우리가 외곽 수비를 잘하면, 그들은 중앙으로 파고든다.” 우리가 구역을 설정할 때마다, 그들은 공급망을 공격합니다. “그들은 어디에 있든 가장 쉬운 표적을 노린다.”

새로운 도구를 하나씩 추가할 때마다 잠재적인 취약점이 생겨납니다. 공격자는 당신의 가장 취약한 부분을 노리고 있습니다. 환경이 복잡할수록, 그들이 발견하기 전에 그 연관성을 찾아내는 것이 더 어려워집니다.

왜 분위기 코딩 문제가 훨씬 더 심각해질 것인가

도구의 무분별한 확산이 서서히 타오르는 불이라면, AI가 생성한 코드는 그 불에 기름을 부은 격이다.

보안 고려 사항을 최소화한 채 AI 도구를 활용해 코드를 신속하게 생성하는 ‘바이브 코딩(vibe coding)’의 확산은, 대부분의 보안 팀이 아직 대비하지 못한 방식으로 위협 환경을 근본적으로 변화시키고 있다. 현재 운영 환경에 배포되고 있는 보안 취약점이 있는 코드의 양, 속도, 그리고 확산 범위는 실로 어마어마합니다.

“AI는 품질이 낮은 코드로 훈련받았어요,” 타냐가 말했다. “AI 기업들이 의도적으로 그렇게 한 것은 아닙니다. 그저 당시에는 그런 기술밖에 없었을 뿐입니다.” 인터넷에 공개된 코드는 비공개로 관리되는 코드보다 품질이 떨어집니다. “대부분의 오픈소스 프로젝트에는 보안 팀이 없습니다.”  

우리는 보안 수준이 낮은 코드로 훈련된 모델을 활용해 전례 없는 속도로 더 많은 코드를 생성하고 있습니다. 이는 대개 보안 개발 관행에 대해 진지하게 생각해 본 적이 없는 사람들이 저지르는 일입니다.

타냐는 최근 진행한 상담 세션에서 특히 우려스러운 사례를 하나 소개했다. 60명의 참가자가 동일한 보안 제약 조건이 적용된 상태에서 동일한 AI 코드 생성 프롬프트를 실행했습니다. 출력 결과 중 하나는 Python 린터가 특정 코드를 무시하도록 지시하는 주석을 추가한 뒤, 의도적으로 기밀 정보를 유출했습니다.  

그런 위험이 이미 귀하의 환경에서 발생하고 있습니다. 귀사의 보안 시스템이 이를 감지하도록 설계되어 있습니까?

보안 문화의 좌향 전환

그렇다면 오늘날의 위협 환경에서 훌륭한 보안이란 실제로 어떤 모습일까요? 해답은 더 많은 도구를 확보하는 데 있는 것이 아니라, 보안이 개발 프로세스의 어느 단계에서 어떻게 적용되어야 하는지를 근본적으로 재고하는 데 있습니다.

타냐는 수년 동안 이 주장을 해왔다. “외부 업체를 고용해 도구를 도입하고, 파이프라인에 여러 가지 검사 단계를 추가한 뒤 ‘이제 개발자 문제다’라고 말하는 편이 더 쉽죠.” “그건 만들 수 있는 최고의 보안 프로그램이 아닙니다.”

보안 책임자들에게 이는, 개발 팀에 적절히 배치된 2~3명의 애플리케이션 보안(AppSec) 전문가가, 아무도 제대로 활용하지 않는 고가의 도구 계약보다 더 큰 보안적 가치를 제공할 수 있음을 의미합니다.  

보안 활동이 아닌 보안 성과를 측정하기 시작하면 투자 수익률(ROI) 계산 방식이 달라집니다.

타냐는 또한 기본값이 가진 영향력에 대해서도 강조했습니다. 그녀는 노드 패키지 관리자(NPM)가 기본적으로 설치 후 스크립트를 실행하지 않도록 설정하는 것과 같은 간단한 구성 변경 사항을 설명했습니다. 그 변화만으로도 공급망 공격의 한 유형을 완전히 차단할 수 있습니다.  

“애플리케이션 보안 팀은 특정 유형의 버그를 완전히 제거할 수 있는 부분이나, 광범위한 피해를 방지할 수 있는 기본 설정을 적용할 수 있는 부분에 집중해야 합니다,”라고 그녀는 말했다.  

사고방식의 전환은 “이 문제를 해결하려면 어떤 도구를 사야 할까?”에서 “어떤 체계적인 변화를 통해 이러한 유형의 위험을 근절할 수 있을까?”로 바뀌고 있다. 때로는 새로운 도구가 포함되기도 하지만, 꼭 그럴 필요는 없습니다.

AI 시대에 걸맞은 보안 팀 구축

만약 오늘 보안 팀을 처음부터 새로 구성한다면, 어떤 모습일까요?  

타냐는 세 가지 서로 다른 프로필을 원한다고 말했다:  

• 인공지능에 깊은 관심을 가지고 있으며, 이를 활용한 개발에도 능숙한 분
• “괴짜”와 “경영진” 양쪽의 언어를 모두 구사할 수 있고, 보안 혁신에 필요한 부서 간 합의를 이끌어낼 수 있는 뛰어난 대인관계 능력을 갖춘 인재
• 기술적 전문성이 매우 뛰어난 실무자로, 시스템을 의도적으로 고장 내거나 코드를 검토하여 공격자보다 먼저 취약점을 찾아낼 수 있는 사람

타냐에게 있어 그 균형은 인원 수보다 더 중요합니다. 개발 워크플로우에 깊이 관여하며 위험 요인을 제거하는 데 주력하는 4인 팀은, 규정 준수 체크리스트를 수행하는 10인 팀보다 항상 더 뛰어난 성과를 낼 것입니다.

Illumio에서 일하는 제 입장에서 볼 때, 여기에 한 가지 관점을 더 덧붙이고 싶습니다. 바로 ‘복원력’입니다.  

팀을 구성하거나 도구를 선정하기 전에, 먼저 다음과 같은 전략적 질문부터 시작해 보세요:

• 비즈니스의 회복탄력성을 확보하기 위해 보안은 무엇을 제공해야 할까요?  
• 보안 침해 사고가 발생할 경우, 대응 조치는 어떻게 이루어지나요?  
• 귀사의 보안 아키텍처는 어떻게 측면 이동을 차단하고 공격의 파급 범위를 줄이는가?  

도구와 팀은 그 답변에서 자연스럽게 도출되어야 하며, 그 반대가 되어서는 안 됩니다.

보안 팀은 더 이상 기다릴 여유가 없습니다

보안 문제는 기존 투자 모델이 대응할 수 있는 속도보다 훨씬 빠르게 악화되고 있다.  

같은 도구를 구입하기 위해 같은 공급업체에 더 많은 금액을 지불한다고 해서 그 격차가 좁혀지지는 않을 것입니다.  

무엇이 될까요?  

• 예산이 실제로 어떤 분야에서 성과를 내고 있는지 솔직하게 점검해 보기
• 시청률 없이 소음만 일으키는 프로그램을 과감히 정리하겠다는 의지
• 보안 조치가 필요한 코드가 실제로 작성되기 전부터 보안을 내재화하겠다는 약속
• 사이버 복원력의 전략적 핵심

업계는 너무 오랫동안 스스로를 위로하는 이야기를 해왔습니다. 즉, 비용을 더 쓰면 보안이 강화되고, 도구를 더 갖추면 보호 범위가 넓어지며, 경보가 더 많이 발생하면 위협에 대한 인식도 높아진다는 식의 이야기 말입니다.  

현대 사이버 보안 환경에서는 그 어떤 방정식도 통하지 않습니다. 지금 중요한 것은 여러분이 먼저 그 사실을 알아낼 것인가, 아니면 공격자들이 대신 알아낼 것인가 하는 점입니다.

다음 ‘Hard Truths’ 링크드인 라이브에서는 제로 트러스트(Zero Trust)를 구축한 두 분을 모셨습니다. 지금 등록하세요 존 킨더바그와 체이스 커닝햄이 진행하는 토론 ‘증상만 치료하는 것을 그만두자: 사이버 보안이 왜 계속 재발하는가’에 함께해 주세요 .