현대의 SOC는 무너진 기반 위에 구축되었습니다. 제로 트러스트로 해결할 수 있습니다.

산업 전략 담당 부사장

6월 3, 2026

23 분 읽기

2003년, 가트너는 ' IDS는 죽었다 '라는 보고서를 발표했습니다. 업계는 침입 탐지 시스템(IDS) 도구의 소멸에 대응하여 보안 정보 및 이벤트 관리(SIEM) 도구를 구축했습니다.

2010년대 중반에 SIEM이 규정 준수 도구로 선언되면서 업계에서는 엔드포인트 탐지 및 대응(EDR)을 구축했습니다. EDR로 모든 것을 커버할 수 없게 되자 네트워크 탐지 및 대응(NDR)이 등장했습니다.

그 후 확장 탐지 및 대응(XDR)이 등장하여 엄청난 혼란을 일으켰고, IDS가 종말을 맞이하는 것을 지켜본 가트너에서 사망을 선언했습니다.

각 전환은 진행 상황으로 구성되었습니다. 하지만 구글 클라우드의 최고정보보호책임자(CISO) 사무실의 보안 고문인 Anton Chuvakin 박사와 일루미오의 정보 보안 담당 부사장인 Erik Bloch가 The Segment 팟캐스트의 최신 에피소드에서 밝힌 것처럼 대부분의 기업 환경은 구조적으로 탐지를 신뢰할 수 있도록 설계된 적이 없습니다.

이러한 환경을 기반으로 구축된 SOC 도구는 이러한 결함을 그대로 물려받았고, 이후 구축된 대부분의 새로운 도구는 이 결함을 수정하기보다는 이를 우회하여 사용했습니다. 보안 리더가 근본적인 아키텍처를 개선하지 않는 한, 개선된 결과 없이 도구에 투자하는 악순환은 계속될 것입니다.

제로 트러스트는 아키텍처를 해결해야 할 문제가 아니라 해결해야 할 문제로 취급함으로써 이러한 악순환의 고리를 끊습니다.

반창고 경제, 그리고 그토록 수익성이 높은 이유

수십억 달러의 투자와 수십 년간의 혁신에도 불구하고 탐지 및 대응의 결과가 의미 있게 달라지지 않은 이유를 물었더니, 에릭은 업계가 근본 원인보다는 증상만 고치려 했기 때문이라고 답했습니다.

"오늘날 많은 보안 스타트업을 보면 임시방편으로 반창고를 만들고 있습니다."라고 그는 말합니다. "투자자들은 반창고에 투자할 수 있다는 것을 알고 있고, 반창고가 효과가 없을 때까지 한동안은 효과가 있다는 것을 알기 때문에 처음부터 문제를 일으키는 근본적인 문제를 좇기보다는 다음 반창고에 투자할 수 있습니다."

보안 벤더 환경은 탐지 기능의 점진적인 개선으로 번창하고 있습니다. 탐지 및 대응 기술의 각 물결은 마침내 그 규모를 가늠할 수 있는 척도가 될 것입니다. 그리고 각 물결은 결과와 비교했을 때 대체로 실망스러운 결과를 낳습니다.

Erik은 "오늘날 우리가 대응하는 많은 문제를 해결할 수 있는 구조적으로 할 수 있는 일들이 있습니다. 그렇게 해야 하나요? 아니요. 아키텍처 문제를 덮기 위해 반창고를 더 사서 붙이고, 모든 경고에 대응하고 있습니다."

수많은 경보 속에서 실제 위협을 찾는 '건초더미 속 바늘 찾기' 문제는 수십 년에 걸친 툴 투자에도 불구하고 개선되지 않았습니다. Erik은 전체 노이즈 대비 실제 위협의 비율이 4% 에서 7% 사이로 완고하게 유지되고 있다고 언급했습니다.

더 많은 도구가 이 숫자를 이동시키지 않았고, 앞으로도 이동시키지 않을 것입니다.

CISO에게 '아키텍처 문제'가 의미하는 것

Erik과 Anton이 아키텍처 문제에 대해 이야기할 때, 대부분의 보안 리더가 매일 직면하지만 명시적으로 언급하는 경우는 거의 없는 특정 장애 모드를 설명하는 것입니다.

대부분의 기업 환경은 평평한 네트워크, 광범위한 측면 이동 권한, 깨끗한 경계를 가정하는 등 암묵적인 신뢰의 토대 위에 구축되었습니다. 권한이 과도하게 허용된 평평한 환경 위에 탐지 기능을 구축하는 것은 일부러 더 크고 검색하기 어렵게 만든 건초 더미에서 바늘을 찾으라고 SOC에 사실상 요청하는 것과 같습니다.

권한이 과도하게 부여된 네트워크는 어떤 SOC도 현실적으로 관리할 수 없는 경보 볼륨을 생성합니다. 측면 이동은 아키텍처가 그렇게 처리하기 때문에 일반적인 트래픽처럼 보입니다. 내부 액세스가 확인되도록 설계되지 않았기 때문에 유출된 자격 증명이 탐지되지 않습니다.

SOC는 환경이 만들어 놓은 엉망진창을 정리하고 있습니다.

제로 트러스트는 애초에 SOC가 탐지해야 하는 대상을 변화시킵니다. 최소 권한 액세스를 시행하고, 지속적으로 신원을 확인하고, 워크로드를 세분화하여 동서 이동에 명시적인 승인이 필요하도록 하면 탐지 도구가 커버해야 하는 공격 표면을 근본적으로 줄일 수 있습니다.

건초 더미를 더 크게 만드는 것을 멈추고 건초 더미를 줄이기 시작합니다.

Erik과 Anton이 대화 중에 설명한 아키텍처 수정은 액세스 및 연결이 어떻게 작동해야 하는지에 대한 기본 가정을 재구축하는 것을 의미합니다.

AI가 적용된 1990년대 SOC는 여전히 1990년대 SOC입니다.

두 사람 모두 AI가 보안 운영에서 진정한 가치를 지닌다는 데 동의했습니다. 그러나 구조적으로 고장난 SOC에 AI를 적용하면 동일한 고장난 결과를 더 빠르게 개선할 수 있습니다.

Anton은 너무 많은 조직이 AI 투자를 더 심층적인 재구축을 피하기 위한 이유로 사용하고 있다고 주장했습니다. AI로 인해 많은 보안 팀이 이 기본적이면서도 중요한 작업을 수행하지 못하고 있습니다.

SOC 모델 자체가 30년 된 경우, AI는 프로세스에서 신호가 거의 생성되지 않는 이유를 해결하지 않고 단순히 오래된 프로세스의 속도를 높일 뿐입니다. SOC가 모니터링하는 환경은 올바른 정보를 안정적으로 표시하도록 설계되지 않았으며, 신뢰할 수 없는 신호에 대한 빠른 분석은 여전히 신뢰할 수 없습니다.

"AI를 사용하면 특정 링크는 훨씬 더 빠르게, 어쩌면 훨씬 더 잘 진행될 수 있지만 전체 체인은 대체로 제자리에 머물러 있습니다."라고 Anton은 말합니다.

제로 트러스트 아키텍처는 체인 자체를 변화시킵니다.

네트워크가 세분화되어 있고 워크로드가 명시적으로 허용된 경로를 통해서만 통신할 수 있는 경우, SOC가 커버할 수 있는 탐지 표면이 크게 줄어듭니다.

즉, 공격 표면에 따라 신호 대 잡음 문제가 줄어들기 때문에 해당 환경에 적용하는 AI가 실제로 의도한 대로 작동할 수 있습니다. 제로 트러스트는 사회간접자본에서 AI를 유용하게 만듭니다.