B2B 금융 서비스 업체 컨베라(Convera)의 CISO 사라 매든은 자사 보안 체계를 강화하기 위해 보다 공격적인 접근 방식을 모색하고 있다. 매든은 금융 서비스 시스템을 극한 상황에서 점검하고 방어를 보완해야 할 지점을 파악하기 위해 레드팀 운영을 도입하고자 한다. 또한 레드팀과 블루팀이 협력해 전반적인 보안 수준을 끌어올리는 퍼플팀 활동도 포함할 계획이다.
매든은 “공격적 보안은 반드시 도달해야 하는 영역이라고 생각한다. 그 과정에서 얻는 정보를 기반으로 보안 프로그램과 통제를 더 정교하게 조정할 수 있기 때문”이라고 말했다.
매든이 사이버보안 전략을 발전시키기 위해 공격적 프로그램을 도입하려는 움직임은 비단 매든만의 시도가 아니다.
기업 보안의 기본 임무는 방어다. 회사의 시스템, 데이터, 평판, 고객, 직원 등을 보호하고 지키기 위한 역할이 중심이었다. 그러나 매든과 같은 CISO들은 점점 더 공격적 요소를 전략에 포함하고 있다. 이들은 공격 시뮬레이션을 통해 기술 환경과 방어 태세를 평가하고, 실제 공격 시 해커가 악용할 수 있는 취약점을 식별할 수 있는 가치 있는 정보를 얻을 수 있다고 보고 있다.
이제 더 많은 CISO가 공격적 보안을 필수 요소로 인식하면서, 관련 역량을 구축하고 이를 보안 프로세스에 통합해 공격 연습 과정에서 드러난 정보가 조직 전체의 보안 수준 향상으로 이어지도록 하고 있다.
매든은 “위협 인텔리전스를 활용하고 테이블탑 훈련을 수행하며, 나아가 퍼플팀 운영 단계까지 가기 위해 필요한 시간과 자원을 확보하는 것이 매우 중요하다”라며 “수세에만 몰리는 상황을 피해야 한다”라고 언급했다.
공격적 보안의 구성 요소
공격적 보안은 공격자 관점의 전술을 활용해 조직 내부 IT 환경의 취약점을 찾아내고 해결하는 활동을 뜻한다. 컨설팅 기업 EY에서 글로벌 및 미국 사이버 CTO를 맡고 있는 댄 멜런은 이를 “적대자가 발견하기 전에 취약점을 식별하고 활용해보는 과정”이라고 정의한다.
멜런은 공격적 보안 활동이 여러 단계로 구성된다고 설명한다. 성숙도 스케일의 가장 낮은 단계에는 취약점 관리가 있으며, 그다음 공격 표면 관리와 침투 테스트, 위협 헌팅, 테이블탑 훈련과 같은 적대적 시뮬레이션이 뒤를 잇는다.
그는 “퍼플팀 개념도 중요하다. 공격 시나리오를 기반으로 어떤 방어 체계가 탐지를 수행했어야 하는지, 탐지가 이뤄지지 않았다면 무엇을 어떻게 수정해야 하는지를 살펴보는 과정”이라고 말했다.
또 다른 핵심적 공격적 보안 구성 요소는 다음과 같다.
• 레드팀 운영: 윤리적 해커가 실제 공격을 모사해 탐지 및 대응 능력을 시험한다. 레드팀은 은밀한 전술을 활용해 통제를 우회하고, 데이터 탈취나 권한 상승과 같은 목표 달성을 시도한다.
• 적대자 에뮬레이션: 알려진 공격 그룹의 전술·기술·절차(TTP)를 위협 인텔리전스를 기반으로 재현해 방어 도구의 유효성을 검증하고, 사고 대응팀을 실제와 가까운 환경에서 훈련한다.
• 소셜 엔지니어링 평가: 피싱, 사전문자(pretexting), 기타 교란 기법을 활용해 사람과 프로세스를 시험함으로써 취약성과 약점을 식별한다. 이는 기술 시스템을 시험하는 침투 테스트의 인간 중심 버전이라 볼 수 있다.
• 보안 도구 회피 테스트: 난독화, 암호화, 정상 도구 악용 기법(Living-off-the-land) 같은 회피 기법을 활용해 조직의 보안 기술이 이를 탐지·차단할 수 있는지를 확인하고, 악성 기법으로 우회할 수 있는지를 검증한다.
이 가운데 취약점 관리, 침투 테스트, 피싱 모의훈련 등은 오랫동안 대부분의 엔터프라이즈 보안 프로그램에서 기본 요소였다. 사이버보안 소프트웨어 기업 코발트(Cobalt)의 ‘2025 CISO 퍼스펙티브 리포트’에 따르면 보안 리더의 88%는 침투 테스트를 “조직 전체 보안 노력의 핵심 요소”라고 평가하고 있다.
또한 많은 CISO는 오랜 기간 공격적 보안 역량을 갖춘 인력을 팀 내에 두어 왔다. 사이버보안 교육 업체인 오프섹(OffSec)이 제공하는 OSCP, OSEP, OSCE와 같은 자격증은 오랫동안 높은 수요를 보여왔다. 최근에는 공격적 보안 ·침투 테스트·윤리적 해킹 분야의 자격증 종류도 더욱 다양해지는 추세다.
공격적 보안 기술 자체도 새로운 개념은 아니다. 다만 전문가들은 자동화, 분석, 인공지능 기술이 벤더 제품에 도입되면서 공격적 보안 프로그램의 효율이 크게 향상됐으며, 보안팀이 공격적 보안을 운영에 도입하는 데 필요한 장벽도 낮아졌다고 분석한다.
멜런은 “현재 많은 기술 공급업체가 이런 선제적이거나 공격적인 접근을 지원하기 위한 기능을 시장에 내놓고 있다”라고 말했다.
공격적 보안의 운영 과제
그러나 여전히 많은 보안 부서는 포괄적인 공격적 보안 프로그램을 도입하지 못한 상태다. 멜런에 따르면 특히 중소기업은 공격적 보안 요소가 거의 없거나 아예 없는 경우가 많으며, 예산·인력·역량 부족이 공격적 보안을 도입하거나 성숙시키는 데 가장 흔한 장애물로 작용한다.
CISO들이 공격적 보안을 전략에 적극 포함하지 못하는 또 다른 이유는 해결 능력이 없는 취약점이 노출될 가능성에 대한 우려다. 멜런은 “취약점을 발견하고도 대응할 여력이 없다면, 그 사실을 모른 척할 수 없다는 점이 부담이 된다. 하지만 조직이 발견하든 말든 해커는 결국 그 취약점을 찾아낸다”라고 말했다.
그럼에도 멜런과 여러 전문가들은 해커가 AI를 활용해 더욱 정교하고 빠르게 공격을 전개하는 지금이야말로 CISO들이 공격적 보안 도입과 확장에 나서야 할 시점이라고 강조한다. 전문가들은 보안 총책임자가 보안 격차를 더 신속하게 파악해 해소할 수 있어야 하며, 공격적 보안이 바로 그 역량을 제공한다고 설명한다.
개인정보 보호 및 데이터 거버넌스 자동화 플랫폼 트랜센드(Transcend)의 CISO 자문을 맡고 있는 에이미 카드웰은 “위협 행위자들은 이제 AI 기반 도구로 우리에게 전례 없는 공격을 개발하고 있다. 과거 스크립트 키디 공격은 예측 가능한 수준이었지만, 지금의 공격은 너무 난해해 이해하기도 어려울 정도”라고 말했다. 이어 “스캐닝에만 의존한다면 잠재적 취약점을 너무 늦게 포착하거나 아예 발견하지 못할 수 있다. 공격적 보안을 통해 지속적으로 취약점을 찾아야 한다”라고 강조했다.
공격적 보안의 비즈니스적 근거
멜런은 공격적 보안 활동에서 얻은 정보를 활용해 CISO가 추가 보안 투자에 대한 비즈니스 근거를 마련할 수 있다고 설명한다. 그는 “데이터 기반 증거는 위험을 수치화하고, 문제 해결에 필요한 노력과 비용을 명확히 제시하는 데 큰 도움이 된다”라고 말했다.
통신 기업 미텔(Mitel)의 CISO 빌 던니언 역시 조직 내부에서 공격적 보안을 확대해야 하는 이유가 충분하다고 말한다. 던니언은 “공격적 보안은 결국 공격자의 관점에서 생각하는 일이다. ‘내가 공격자라면 어떻게 침투할까? 어디에 열려 있는 틈이 있을까?’를 스스로 확인함으로써 이를 찾아 고칠 수 있다”라고 말했다. 그는 “보안에서는 모르는 것이 가장 위험하다. 공격적 보안은 내가 모르는 영역을 드러내주고, 알게 되면 대응할 수 있다”라고 설명했다.
던니언은 이미 취약점 관리, 침투 테스트, 위협 헌팅 등 일부 공격적 보안 요소를 도입한 상태지만, 이를 더욱 확장하고자 한다. 예를 들어 현재 비정기적으로 수행하는 위협 헌팅을 정식 프로그램으로 구축하는 방안을 검토 중이다.
딜로이트 캐나다의 IT 보안 선임 매니저 우트카시 초우다리도 많은 기업이 공격적 보안을 도입해야 한다고 추천했다. 그는 공격적 보안을 “정찰대를 보내 성벽과 방어 구조가 제대로 작동하는지 확인하는 과정”에 비유하며, “더 체계적이고 지속적인 검증 방식”이라고 설명했다. 그는 최근 엔터프라이즈 IT 환경이 복잡해지고 공격 표면이 확장되면서 공격적 보안이 필수 요소가 됐다고 덧붙였다.
초우다리는 침투 테스트와 같은 공격적 보안 요소가 ISO 27001 등 규제와 프레임워크, 그리고 비즈니스 파트너와 고객의 요구로 인해 필수적으로 요구되는 경우도 많다고 강조했다.
그는 “공격적 보안은 조직이 위험을 더 정확히 이해하도록 돕는다. 경험적 평가를 제공해 조직 내부의 솔직함을 끌어내고, 무엇을 잘하고 무엇이 부족한지를 명확히 보여준다”라며 “실제 위험을 증명하는 확실한 근거가 된다”라고 말했다.
하지만 초우다리와 전문가들은 진정한 가치를 얻기 위해서는 공격적 보안 요소를 단순히 도입하는 것을 넘어, 공격 프로그램과 방어 프로그램을 통합해야 한다고 강조한다.
초우다리는 “공격은 방어를 대체하는 것이 아니라 방어가 놓친 부분을 강화한다. 공격적 보안은 방어 태세를 한층 강화하며, 공격과 방어가 함께 작동해야 조직이 수동적 대응에서 벗어나 선제적 대응으로 전환할 수 있다”라고 설명했다. 그는 “이렇게 해야 해커가 침투할 가능성을 줄일 수 있다”라고 덧붙였다.
dl-ciokorea@foundryco.com
Read More from This Article: 공격적 보안, AI 시대 보안 전략의 핵심으로 부상
Source: News