대부분의 보안 리더는 입에 올리지 않는 하나의 역설을 조용히 안고 있다. 실제 환경이라는 상자 안을 들여다보기 전까지, 기업은 안전한 상태이면서 동시에 이미 침해된 상태에 놓여있다는 점이다. 대시보드상에서는 안전하다는 표시가 뜨고 감사 보고서가 안심을 주지만, 직접적이고 반복적인 관찰 없이는 실제 보안 상태를 알 수 없는 것이 현실이다.
보안 상태를 ‘슈뢰딩거의 고양이’에 비유할 이유
슈뢰딩거의 고양이(Schrödinger’s cat)에 대해 한 번쯤 들어본 적이 있을 것이다. 다만 보안 문제와 연결하기에 앞서 정확한 설명을 위해 이 비유가 무엇을 의미하는지 다시 살펴볼 필요가 있다. 슈뢰딩거의 고양이는 양자물리학에서 제시된 사고 실험으로, 상자 속 고양이처럼 일상적인 대상에 눈에 보이지 않는 세계의 법칙을 적용했을 때 얼마나 기묘한 결과가 나타나는지를 보여준다.
고전적인 설정에서는 고양이를 밀폐된 상자 안에 넣는다. 상자 안에는 미량의 방사성 원자, 원자 붕괴 여부를 감지하는 검출기, 그리고 검출기가 작동할 경우 방출되는 독극물 한 병이 함께 들어있다. 상자가 닫혀 있는 한, 양자역학은 이 방사성 원자가 붕괴된 상태와 붕괴되지 않은 상태가 동시에 존재하는 중첩 상태에 있다고 설명한다.
따라서 누군가 상자를 열어 확인하기 전까지 고양이는 살아있으면서 동시에 죽어있는 것처럼 보인다. 관찰자가 상자를 여는 순간, 불확실성은 하나의 결과로 나타난다. 고양이는 살아있거나 죽어있거나 둘 중 하나이며, 두 상태가 동시에 유지될 수는 없다. 슈뢰딩거가 이 사고 실험을 제시한 이유는, 관찰되지 않은 시스템이 여러 상태에 동시에 존재한다고 해석하는 단순한 양자 이론의 해석을 비판하고 그러한 사고가 얼마나 기이한지를 직면하게 하기 위해서였다.
관찰되기 전까지는 가능한 여러 상태로 존재하다가, 관찰되는 순간 하나의 실제 상태로 수렴하는 구조야말로 슈뢰딩거의 고양이가 현대 사이버 보안을 설명하는 데 강력한 비유인 이유다.
동시에 운영되는 2개의 회사
보안 컨설팅 분야로 처음 옮겼을 때, 많은 리더가 사실상 2개의 중첩된 회사를 운영하고 있다는 점을 깨달았다. 하나는 감사, 대시보드, 정책 문서상에서 안전해 보이는 회사이고, 다른 하나는 공격자가 수면 아래에서 지속적으로 탐색하며 공격 지점을 학습하는 회사다. 이사회 보고 자료 속 기업은 로그와 사고 검토 기준으로 통제되고 규정을 준수하며 질서 정연한 모습으로 나타난다. 그러나 실제 현장에서는 상황이 다르다. 운영은 즉흥적으로 이뤄지고, 정리가 덜 된 영역이 많으며, 곳곳에 사각지대가 존재한다.
시간이 지나면서 2가지 상태를 ‘서류상 회사’와 ‘현실 회사’로 구분해 설명하기 시작했다. 서류상 회사는 통제로 정의된다. 프레임워크, 정책 문서, 아키텍처 다이어그램, 성숙도 평가에 등장하는 조직의 모습으로, 책임자가 명시돼 있고 프로세스가 매핑돼 있으며, 신호등 형태의 안심 보고서로 표현된다.
반면 현실 회사는 행동으로 정의되며, 텔레메트리, 위협 인텔리전스, 레드팀 결과, 사고 이후 리뷰를 통해 드러난다. 직원의 실제 업무 방식, 프로세스에 스며든 편법, 누구도 손대고 싶어 하지 않는 구식 시스템, 제대로 문서화되지 않은 채 연결된 각종 통합 구조가 현실 회사를 만든다.
역설적인 점은 경영진의 논의가 대체로 서류상 회사만 존재한다고 가정한다는 것이다. 이사회에서 “우리는 안전한가”라는 질문이 나오면, 답변은 보통 정책, 인증, 보안 도구 도입 범위처럼 서류상 회사에 해당하는 요소가 근거로 제시된다. 하지만 공격자가 실제로 상대하는 대상은 현실 회사다. 리더가 현실 회사를 명확하고 지속적으로 들여다보지 못하는 한 기업은 상자 속 고양이와 다르지 않다. 현재가 안전한 상태인지, 이미 침해된 상태인지를 알지 못한 채 두 가능성을 모두 전제로 운영할 수밖에 없는 상황에 놓이게 된다.
보안은 통제의 문제가 아닌 ‘관찰의 문제’
대부분의 기업은 보안 전략을 여전히 통제의 문제로만 접근한다. 더 많이 통제하고, 더 많은 요구사항을 매핑하며, 더 많은 지적 사항을 해소하는 방식이다. 통제는 분명 중요하며, 자문하는 입장에서 이를 과소평가할 수도 없다. 그러나 서류상으로 잘 통제되더라도, 주요 보안 사고는 가시성의 공백, 설정 오류, 수개월 동안 제대로 점검되지 않은 예외를 통해 공격자가 내부에서 수평 이동할 수 있음을 반복해서 보여주고 있다.
슈뢰딩거의 관점에서 보면, 보안 문제는 통제의 문제이자 관찰의 문제로 다시 정의된다. 물리학에서는 관측이 이뤄지는 순간, 여러 가능성으로 존재하던 상태가 하나의 실제 결과로 확정된다. 보안에서는 탐지가 동일한 역할을 한다. 경고, 로그 상관 분석, 이상 징후 조사, 서드파티 통보와 같은 구체적인 신호가 나오기 전까지는 공격자가 실제로 존재하는지 단정할 수 없다. 확률과 가능성에 대해서는 논의할 수 있지만, 현재 벌어지고 있는 사실을 말하기는 어렵다.
이러한 관점에서 보면, 3가지 사실이 도출된다.
1. 경고의 부재가 안전하다는 증거는 아니다
경고가 없다는 사실은 보안 도구가 공격자의 위치를 탐지하지 못하고 있거나, 여러 신호가 제대로 연계 및 해석되지 않고 있다는 의미일 수 있다. 조용한 보안 정보 관리 시스템(SIEM)은 탄탄한 방어력을 뜻할 수도 있고 가시성이 전혀 확보되지 않았다는 의미일 수도 있다. 더 깊이 들여다보지 않는 한 어느 쪽이 현실인지는 알 수 없다.
2. 체류 시간은 관찰되지 않은 현실을 보여주는 지표다
공격자가 탐지되지 않은 채 머무는 하루하루는, 경영진이 시스템 상태를 잘못 판단한 채 기업을 운영하고 있다는 의미다. 탐지 공백이 길어질수록 기업은 ‘안전하면서도 동시에 침해된’ 상태에 더 오랜 시간 머무르게 된다.
3. 외부에서 먼저 발견되는 사고는 관찰 실패의 신호다
규제 기관이나 고객, 파트너가 먼저 문제를 알려오는 경우는, 상자가 내부가 아니라 외부에서 먼저 열렸다는 강력한 신호다.
보안을 관찰의 문제로 인식하기 시작하면, “우리는 안전한가”라는 질문 자체가 적절하지 않게 느껴진다. 대신 다음과 같은 질문이 더 현실에 가깝다.
- 권한이 높은 계정이나 핵심 시스템이 침해됐을 경우, 얼마나 빨리 이를 인지할 수 있는가?
- 텔레메트리나 로그 관점에서 사실상 관찰되지 않는 영역은 어디인가?
역설 속에 리더에게 전하는 조언
컨설턴트로서의 목표는 기업이 가진 불확실성을 들춰내 부끄럽게 만드는 것이 아니다. 그 불확실성을 자연스럽게 받아들이고, 이를 체계적으로 줄여 나가도록 돕는 데 있다. 복잡한 환경에 필연적으로 존재하는 사각지대를 외면할 때 위험은 커진다.
이를 위해서는 사고방식과 실행에서 3가지 전환이 필요하다.
- 이사회가 던지는 질문을 바꿔야 한다. “우리는 안전한가” 대신 “어느 부분은 명확한 근거가 있고, 또 어느 부분은 추정에 의존하고 있는가”를 물어야 한다. 정직하게 접근해야 의사결정을 현실과 맞추고, 보안 투자 필요성을 보다 분명하게 할 수 있다.
- 통제 수준이 아니라 확실성을 측정해야 한다. 텔레메트리 커버리지, 탐지 속도, 레드팀 결과 같은 지표를 포함해 조직이 위협을 얼마나 효과적으로 드러내고 있는지를 평가해야 한다. 환경을 잘 파악하고 있다는 실무자의 인식이 오히려 가시성의 공백을 키우는 경우도 많다.
- 불확실성을 드러내는 행동을 처벌하기보다 장려해야 한다. 팀이 공백을 인정하고 관찰 역량을 개선하도록 유도할수록, 장기적으로는 기업 전반에 신뢰가 축적된다.
역설을 현실에 맞추기
실제 기업 환경에서 보안 역설을 해소하는 일은 하나의 만능 통제 방안을 찾아 안전함을 입증하는 데 있지 않다. 핵심은 서류상 회사와 현실 회사 사이의 간극을 지속적으로 좁히는 관찰 습관을 만드는 것이다. 실무적으로 보면, 몇 가지 접근 방식만으로도 상당한 효과를 볼 수 있다. 그렇다면 어떻게 기업 환경에서 ‘중첩 상태’를 ‘관찰 상태’로 전환할 수 있을까? 컨설턴트의 관점에서 볼 때, 이 과정에 큰 영향을 미치는 패턴은 다음과 같다.
- 위협 헌팅을 일상으로 다뤄야 한다. 많은 기업이 위협 헌팅을 특정 우려 사항이나 규제 압박이 있을 때만 진행하는 일회성 프로젝트로 취급한다. 보다 효과적인 방식은 위협 헌팅을 상시 운영 기능으로 정착시키는 것이다. 공격자가 숨어있을 지점에 대한 가정을 지속적으로 검증하고, 기존 탐지 체계가 여전히 기대한 대로 작동하는지를 반복적으로 확인하는 수단으로 활용해야 한다.
- 판단을 위한 질문을 중심에 두고 텔레메트리를 설계해야 한다. “어떤 로그를 쉽게 수집할 수 있는가”에서 출발하기보다, “사고 이후 어떤 질문에 답해야 하는가”, “실시간으로 무엇을 관찰하고 싶은가”를 먼저 정의해야 한다. 그런 질문에서 거꾸로 필요한 텔레메트리와 분석 요소를 도출하면, 단순히 저장 공간을 채우는 데 그치지 않고 실제 행동을 이해하는 데 초점을 맞출 수 있다.
- 외부 관찰 결과를 기업의 현실 인식에 함께 담아야 한다. 버그 바운티, 침투 테스트, 독립 보안 평가, 업계 정보 공유는 모두 서로 다른 각도에서 상자를 열어보는 방법이다. 이런 결과를 개별적인 활동으로 취급하지 않고, 조직이 바라보는 현실의 일부로 흡수해 해석하는 것이 핵심이다.
시간이 지날수록 이런 관행이 서류상의 회사와 현실의 회사 사이의 간극을 점차 좁힐 수 있다. 경영진에게는 여전히 정책과 통제, 각종 보고서가 필요하다. 다만 그 결과물은 바람이나 목표를 반영하는 대신, 실제로 관찰된 행동을 훨씬 더 정확하게 담아내기 시작한다.
반쯤 열린 상자의 세계를 이끄는 법
보안 책임자가 할 수 있는 정직한 표현은 “우리는 안전하다”가 아니라, “우리가 알고 있는 것은 무엇이며, 아직 알지 못하는 것은 무엇인지, 그리고 그 간극을 얼마나 빠르게 좁히고 있는지”를 제시하는 것이다. 이는 지속적인 관찰을 약속하는 것과 같다. 동시에 보안을 고정된 상태가 아니라 끊임없이 이어지는 실천으로 재정의하는 접근이기도 하며, 현대 디지털 기업의 운영 방식과도 맞닿아 있다.
슈뢰딩거의 고양이는 관찰되지 않은 시스템이 동시에 여러 상태에 존재할 수 있음을 보여준다. 사이버 보안도 마찬가지다. 겉으로 조용한 환경은 회복력이 있는 상태이면서도, 다른 한편으로는 깊이 침해된 상태일 수 있다. 그 어느 쪽인지는 확인되기 전까지 알 수 없다. 보안 책임자와 컨설턴트의 역할은 이 역설을 부정하는 데 있지 않다. 기업이 상자를 더 이른 시점에, 더 자주 열어볼 수 있도록 기술적, 조직적, 문화적 역량을 구축하고, 그 과정에서 무엇이 발견되든 즉시 대응할 준비를 갖추는 데 있다.
dl-ciokorea@foundryco.com
Read More from This Article: 칼럼 | ‘슈뢰딩거의 고양이’로 보는 기업 보안의 역설
Source: News