무엇을 도와드릴까요?

채널로 문의하기

KakaoTalkLINE

48시간 이내 답변

이메일 보내기 →
Logo
GlobeDown arrow
블로그
pankeit.com

보안 소프트웨어를 샀는데 왜 아직도 침해당할까

2026년 5월 28일·Alex Holmquist, Panke IT Solutions LLC

같은 질문을 수없이 들었다. 경영자나 운영 담당자가 나를 불러 이렇게 말한다. "백신이든 방화벽이든, 뭐든 도입해서 코드를 안전하게 만들어 주세요." 요청 자체는 진지하다. 문제는 그 이면의 사고방식이다.

어떤 소프트웨어도 그 약속을 지킬 수 없다. 그 믿음 자체가 취약점이다.

보안 소프트웨어가 "전부"라는 착각

대부분의 기업이 "보안 도입"이라고 할 때 의미하는 것은 소프트웨어다. 백신, WAF, SIEM, 취약점 스캐너. 맞는 제품을 사서 설치하면 끝이라고 생각한다.

이것은 범주 오류다. "재무 건전성"을 구매할 수 있다고 믿는 것과 같다. 재무 건전성은 제품이 아니다. 지속적인 관리 행동이다 — 지출 추적, 현금 흐름 관리, 전망 검토, 상황에 따른 조정. 이 행동들을 멈추면 어떤 소프트웨어를 샀든 건전성은 사라진다.

보안도 마찬가지다. 이해하는 사람들의 지속적인 관리가 필요한 운영 상태이지, 결과를 보장하는 일회성 구매가 아니다.

NIST 사이버보안 프레임워크 2.0이 이를 명확히 보여준다. 방화벽, 스캐너, SIEM 같은 도구는 Protect 기능에 속한다 — 여섯 가지 기능 중 하나에 불과하다. Protect 앞에는 Govern과 Identify가 있다. 뒤에는 Detect, Respond, Recover가 있다. 소프트웨어는 스스로 거버넌스를 구축하거나, 무엇이 중요한지 파악하거나, 인시던트 대응을 수행할 수 없다. 이것들은 사람, 정책, 연습된 프로세스가 필요하다.

사이버보안: 기대(소프트웨어 구매→완료)와 현실(9가지 상호연결된 지속 책임)

데이터도 같은 이야기를 한다

CrowdStrike의 2025년 중소기업 사이버보안 보고서에 따르면, 중소기업의 93%가 사이버 위협에 대해 잘 알고 있다고 답했다.[1] 그러나 같은 조사에서 정기적인 보안 교육을 실시하는 기업은 42%에 불과했다. 새로운 도구에 투자하는 곳은 36%, 패치 적용과 다중 인증(MFA) 같은 기본도 지키지 못하는 기업이 10곳 중 6곳이었다.

위협의 존재를 모르는 조직이 아니다. 보안이 실제로 무엇을 요구하는지 잘못 이해하고 있는 조직이다.

중소기업 사이버보안: 위협 인식 93%이지만 정기 교육 42%, 도구 투자 36%, AI 방어 도입 11%에 불과

한국도 다르지 않다. 2025년 상반기 KISA 침해사고 신고 건수는 1,034건으로 전년 동기 대비 15% 증가했다.[2] 정부가 중소기업에 보안 도구를 무상으로 배포하는 동안에도 이 수치는 늘었다. 도구는 조직에 닿았지만, 그것을 실질적인 보안 체계의 일부로 운용할 준비가 된 조직은 아니었다.

격차를 드러내는 질문 하나

조직의 실제 보안 상태를 가장 빠르게 파악하는 방법이 있다. "지금 당장 침해가 발생한다면 어떻게 대응하십니까?"

이론적인 계획이 아니다. 실제 순서다. 누가 먼저 연락을 받는지, 어떤 시스템을 격리하는지, 누가 고객에게 알리는지, 누가 법무팀에 연락하는지. 이 답이 명확하지 않다면, 어떤 도구도 그 빈자리를 채울 수 없다. 방화벽은 직원에게 할 일을 알려주지 않는다. 백신은 포렌식 증거를 보존하지 않는다. 컴플라이언스 인증은 이미 퍼진 침해를 막지 못한다.

이 질문에 자신 있게 답하는 조직은 실제로 연습한 곳이다 — 테이블탑 훈련, 정리된 대응 절차서, 시나리오를 실습한 담당자. 이것은 박스에 담겨 판매되지 않는다.

지금 당장 비용 없이 할 수 있는 세 가지가 있다:

  1. 침해 대응 책임자를 한 명 지정하라. 위원회가 아닌 한 사람. 무언가 잘못됐을 때 조율하는 것이 그 사람의 역할이다. 이름을 어디서나 찾을 수 있도록 기록해 두어야 한다.
  2. 한 페이지짜리 연락 체계를 작성하라. 인시던트 발생 시 첫 번째, 두 번째, 세 번째로 연락할 사람과 전화번호. 반나절이면 된다. 대부분의 중소기업에 이것이 없다.
  3. 90분짜리 테이블탑 훈련을 일정에 잡아라. 랜섬웨어 시나리오를 하나 골라 팀원들과 소리 내어 진행해 보라. 어떤 스캐너보다 빠르게 빈틈을 발견할 것이다.

보안은 구매하는 프로그램이 아니다. 정책, 교육, 검증된 프로세스, 책임을 가진 리더십을 통해 조직이 구축하는 지속적인 실천이다. 이 가정이 도전받지 않는 해가 쌓일수록 비용은 커진다.

여러분 조직에서 마지막으로 침해 모의훈련을 진행한 것이 언제인가요? 그때 어디서 빈틈이 발견됐나요?

참고 자료

  1. CrowdStrike — State of SMB Cybersecurity 2025
  2. KISA — 2025 상반기 사이버 위협 동향 보고서
  3. NIST — Cybersecurity Framework 2.0
귀사의 공격 표면이 걱정되시나요?

귀사의 인프라가 공격자의 스코어링 모델에서 어떻게 평가되는지 알고 싶다면 contact@pankeit.com으로 문의해 주세요. 동일한 지문채취 및 스코어링 프로세스를 실행하고 우선순위가 매겨진 개선 목록을 제공합니다.

Panke IT Solutions LLC의 Alex Holmquist가 작성했습니다. Panke는 미국과 한국의 기업을 위한 보안 평가 및 모의 해킹 서비스를 제공합니다.
소개개인정보 처리방침
InstagramLineKakaoTalk

©2026 Panke IT Solutions LLC

Austin, TX