수십억 보안 장비 도입해도 뚫리는 이유 팔리는 보안의 함정과 CISO가 놓친 3가지

 

매년 보안 예산은 늘어나는데, 왜 사고는 줄어들지 않을까요? 혹시 당신의 기업은 보안을 하는 척하는 제품만 사고 있는 건 아닐까요? 화려한 브로슈어 뒤에 숨겨진 작동하지 않는 보안의 실체를 파헤칩니다. 2025년 한 해만 봐도 SK텔레콤, 롯데카드, 예스24, KT 등 이름만 들어도 알 만한 대기업들이 줄줄이 해킹당했습니다. 이들 기업은 분명 보안 솔루션에 수십억 원을 투자했을 텐데, 왜 막지 못했을까요?

문제는 간단합니다. 기업들이 보안을 하고 있는 게 아니라, 보안을 구매하고 있기 때문입니다. 벤더사가 들이미는 화려한 세일즈 덱에는 AI, 머신러닝, 제로트러스트, EDR 같은 최신 용어가 가득하지만, 정작 가장 기본적인 패치 관리조차 제대로 안 되는 기업이 태반입니다. 이 글에서는 왜 비싼 보안 장비를 도입해도 계속 뚫리는지, CISO들이 무엇을 놓치고 있는지 냉철하게 분석합니다.

우리 회사는 안전한가 보안 장비가 쌓일수록 위험해지는 역설

보안 예산이 증가하면 기업이 더 안전해질까요? 현실은 정반대입니다. 2025년 시스코가 발표한 사이버 보안 준비 지수 보고서에 따르면, 국내 기업 중 사이버 위협을 효과적으로 방어할 수 있는 성숙 단계에 도달한 곳은 단 3%에 불과했습니다. 응답 기업의 46%는 향후 1~2년 내 사이버 사고로 인해 비즈니스 차질이 불가피할 것이라고 전망했어요.

더 충격적인 건 보안 투자가 늘어날수록 오히려 복잡성만 증가한다는 점입니다. 이를 업계에서는 툴 스프롤(Tool Sprawl) 현상이라고 부릅니다. 방화벽, 침입탐지시스템, 백신, EDR, SIEM, 취약점 스캐너 등 솔루션이 10개가 넘어가면 어떻게 될까요? 각 솔루션마다 관리 콘솔이 다르고, 로그 포맷이 다르고, 알람 기준이 달라요. 보안 담당자는 하루 종일 각 솔루션의 대시보드를 확인하느라 정작 중요한 위협 신호를 놓치게 됩니다.

보안 솔루션이 많을수록 가시성이 떨어진다

SK텔레콤 해킹 사태를 분석한 보안 전문가들은 한목소리로 이렇게 말했습니다. "장기간에 걸쳐 다수의 악성코드가 설치되어 있었다는 것은 사이버 킬체인의 각 요소가 제대로 동작하지 않았다는 것을 의미합니다." 즉, 악성코드의 최초 설치 이후 내부 정착, 거점 확보, 횡적 이동, 데이터 유출에 이르기까지 각 단계에서 효과적인 탐지와 차단이 이뤄지지 않았다는 겁니다.

왜 그랬을까요? SK텔레콤에 보안 장비가 없어서? 절대 아닙니다. 오히려 너무 많아서 문제였을 가능성이 큽니다. 보안 솔루션 A는 네트워크 이상 징후를 탐지했지만, 담당자가 그 알람을 보지 못했거나 오탐으로 판단했을 수 있어요. 솔루션 B는 의심스러운 프로세스를 발견했지만, SIEM과 연동되지 않아 전체 맥락에서 분석되지 못했을 수도 있습니다.

이게 바로 가시성(Visibility) 문제입니다. 보안 솔루션이 10개 있다고 해서 위협을 10배 잘 보는 게 아니에요. 오히려 각 솔루션이 제각각 다른 언어로 말하기 때문에, 전체 그림을 보지 못하게 됩니다. 마치 10명의 통역사가 서로 다른 언어로 동시통역하는 UN 회의장 같은 거죠. 혼란만 가중될 뿐입니다.

보안 솔루션 수	예상 효과	실제 효과	문제점
1~3개	기본 방어	기본 방어 가능	전문성 부족 시 무용지물
4~7개	다층 방어 강화	관리 복잡도 증가	솔루션 간 연동 필요
8~15개	완벽한 보안	가시성 저하, 오탐 증가	툴 스프롤 현상
16개 이상	최고 수준 보안	관리 불가능, 방치	예산 낭비, 보안 구멍

대기업일수록 보안 불감증이 심하다

2025년 5월 중앙일보가 국내 10대 그룹 주요 계열사를 대상으로 조사한 결과가 충격적입니다. 대기업들의 정보보호 인력 중 무려 3분의 1이 외주 업체 소속이었어요. 삼성전자가 2,974억 원으로 보안 투자 1위였지만, 정작 핵심 보안 인력은 외주에 의존하고 있었다는 겁니다.

전문가들은 이렇게 지적합니다. "외주 인력은 기업 소속감이나 책임감이 상대적으로 낮을 수 있다. 보안 사고 발생 시 책임감 있게 대응할 수 있는 내부 인력 육성이 중요하다." 아무리 좋은 보안 장비를 들여놔도, 그걸 운영할 사람이 외주 직원이라면 무슨 의미가 있을까요?

더 큰 문제는 보안 예산 확보의 어려움입니다. 2025년 보안뉴스 조사에 따르면 국내 CISO들의 86%가 보안 예산 확보에 어려움을 겪은 적이 있다고 답했습니다. 그 이유는 예산 부족(38.38%), 보안에 대한 안일한 인식(28.79%), 결정권자의 전문성 미비(18.69%) 순이었어요.

경영진은 이렇게 생각합니다. "작년에 10억 투자했는데 사고 안 났잖아? 올해는 5억으로 줄여도 되겠네." 이게 바로 보안 불감증입니다. 보안은 사고가 나지 않았을 때 그 가치를 증명하기 어려운 분야예요. 소방서가 화재를 예방했다는 걸 어떻게 증명하나요? 불이 안 났다는 것밖에 없습니다.

벤더사가 말하지 않는 진실 기능과 효과의 차이

보안 벤더사의 제안서를 보면 화려한 기능 목록이 가득합니다. "AI 기반 위협 탐지", "머신러닝 이상 행위 분석", "실시간 위협 인텔리전스", "제로데이 대응" 같은 용어들이 난무하죠. 문제는 이런 기능이 실제로 효과를 내느냐입니다.

기능은 마케팅이고 효과는 운영이다

보안 업계에는 이런 농담이 있습니다. "우리 제품은 모든 위협을 탐지할 수 있습니다. 단, 제대로 설정했을 때만요." 보안 솔루션의 90%는 초기 설정이 제대로 안 돼 있으면 무용지물입니다. 마이크로소프트가 2억 5천만 건의 고객 정보 유출 사고를 겪었을 때 어떤 변명을 했는지 아세요? "보안 설정 오류를 예방할 수 있는 보안 솔루션을 가지고 있었지만, 해당 데이터베이스에 솔루션이 활성화되지 않았다."

이게 현실입니다. 솔루션은 있었지만 켜지 않았어요. 왜? 복잡하니까요. 켜면 오탐이 쏟아지고, 업무에 방해되고, 담당자는 민원에 시달립니다. 그래서 끄거나 느슨하게 설정해둡니다. 사고가 나기 전까지는요.

토요타는 거의 10년 동안 클라우드 서버 설정 오류를 방치했습니다. 정기적인 보안 감사도 안 했고, 클라우드 설정 변경을 모니터링하는 시스템도 없었어요. 10년이에요. 이게 보안 솔루션의 기능과 효과 차이입니다.

구분	기능(Feature)	효과(Effect)
정의	제품이 할 수 있다고 주장하는 것	실제로 조직에서 달성한 보안 개선
측정 방법	브로슈어, 데모	사고 감소율, MTTR, 탐지율
책임 주체	벤더사	CISO, 보안팀
현실	화려하고 많음	복잡하고 어려움
예시	"AI 기반 위협 탐지"	실제 위협 탐지 및 차단 건수

공포 마케팅에 속지 마라

보안 벤더사의 단골 레퍼토리는 공포 마케팅입니다. "요즘 랜섬웨어가 얼마나 무서운지 아십니까? 우리 솔루션 안 쓰시면 내일 당장 당할 수도 있습니다." 세일즈맨은 최신 APT(Advanced Persistent Threat) 공격 사례를 들이밀며 겁을 줍니다.

그런데 실제로는 어떨까요? 2025년 체크멀 상무의 발표에 따르면, 전 세계 랜섬웨어 피해 건수가 5,000건을 넘었습니다. 많아 보이죠? 그런데 그 중 몇 퍼센트가 제로데이 공격이었을까요? 5% 미만입니다. 대부분은 패치되지 않은 오래된 취약점을 악용한 거예요.

2025년 Clop 랜섬웨어는 대중적인 비즈니스 도구의 소프트웨어 취약점을 신속하게 악용해 255개 이상의 기업을 공격했습니다. 그 취약점은 이미 패치가 나와 있었어요. 기업들이 패치를 안 한 게 문제였습니다. 화려한 AI 보안 솔루션을 사기 전에, 기본적인 패치 관리부터 제대로 했어야 했습니다.

벤더사는 판매 후 지원에 관심 없다

보안 솔루션을 구매하면 벤더사는 초기 구축을 도와줍니다. 설치하고, 기본 설정하고, 교육 한두 번 해주고 끝입니다. 그 다음부터는? 혼자 알아서 하세요. 문제 생기면 유지보수 비용 내고 콜해야 합니다.

실제로 많은 기업이 수억 원짜리 보안 솔루션을 샀지만, 제대로 운영할 인력이 없어서 방치합니다. 담당자는 다른 업무도 해야 하고, 솔루션 매뉴얼은 영어로 수백 페이지고, 벤더 기술지원은 느리고 불친절합니다. 결국 기본 설정으로만 돌리다가, 사고 나면 그제야 "왜 솔루션이 막지 못했냐"고 따집니다.

벤더사 입장에서는 판매가 목표지, 그 이후는 관심 밖입니다. 유지보수 계약 갱신 시기가 되면 다시 연락 와서 "신규 버전 나왔으니 업그레이드하세요" 하며 추가 비용을 요구합니다. 이게 보안 산업의 비즈니스 모델입니다.

CISO가 경계해야 할 체크박스 보안의 함정

많은 기업이 보안을 컴플라이언스(Compliance) 차원에서 접근합니다. ISMS 인증 받아야 하니까, 개인정보보호법 준수해야 하니까, 내부 감사 통과해야 하니까 보안 솔루션을 삽니다. 이게 바로 체크박스 보안입니다.

인증서는 안전을 보장하지 않는다

ISMS 인증을 받았다고 해서 그 기업이 안전한 걸까요? 절대 아닙니다. 인증은 특정 시점에 특정 기준을 만족했다는 것일 뿐, 지금 이 순간 안전하다는 보장이 아니에요. 인증 받은 다음 날 해킹당할 수도 있습니다.

SK텔레콤은 ISMS 인증을 받은 기업입니다. 그런데 해킹당했죠. 롯데카드도 마찬가지고, KT도 마찬가지입니다. 인증서는 벽에 걸어두는 액자일 뿐, 실제 보안 수준과는 무관합니다.

더 큰 문제는 인증을 위한 보안을 한다는 점입니다. 감사관이 체크리스트를 들고 와서 "방화벽 있나요? 백신 있나요? 로그 관리 하나요?"라고 물으면 "네" 하고 대답하면 통과입니다. 그게 실제로 작동하는지, 효과적인지는 중요하지 않아요. 있기만 하면 됩니다.

컴플라이언스 보안	실효성 보안
규정 준수가 목표	위협 차단이 목표
체크리스트 통과	지속적인 개선
솔루션 보유 여부 확인	솔루션 효과성 측정
연 1회 점검	실시간 모니터링
인증서 획득	사고 예방 및 대응
예산 소진이 성과	위험 감소가 성과

보안 예산 비율 의무화는 해결책이 아니다

2025년 CISO들을 대상으로 한 설문조사에서 가장 많이 나온 요구 사항이 뭔지 아세요? "기업 보안 예산 비율 의무화"입니다. 전체의 26.8%가 이를 선택했어요. 정부도 이를 검토 중이라고 합니다. "2027년까지 전체 IT 예산의 최소 10%, 2030년까지는 15%로 정보보호 예산을 확대하도록 논의 중"이라고요.

그런데 이게 해결책일까요? 아닙니다. 예산 비율을 강제한다고 해서 기업이 안전해지는 게 아니에요. 오히려 더 많은 쓸데없는 솔루션을 사들이게 만들 뿐입니다. "올해 보안 예산 10% 못 채웠네? 뭐라도 사자. 저기 신제품 나왔네. 사자." 이렇게 됩니다.

진짜 문제는 예산이 부족한 게 아니라, 예산을 잘못 쓰고 있다는 겁니다. 화려한 차세대 보안 솔루션에 수억을 쓰면서, 정작 패치 관리는 안 하고, 직원 보안 교육은 형식적으로 하고, 내부 위협 관리는 방치합니다.

내부자 위협을 간과하는 실수

대부분의 보안 투자는 외부 공격 방어에 집중돼 있습니다. 방화벽, 침입탐지, 안티바이러스 전부 외부에서 들어오는 위협을 막는 거예요. 그런데 실제 사고의 상당수는 내부에서 시작됩니다.

현대차에서는 임직원 정보가 외부로 유출됐고, CJ올리브네트웍스는 인증서 파일이 해킹당했습니다. 이게 외부 해커의 소행일까요? 내부자의 실수나 고의일 가능성도 큽니다. 퇴사하는 직원이 고객 정보를 USB에 담아가거나, 협력업체 직원이 과도한 권한으로 정보를 열람하는 경우가 비일비재합니다.

그런데 내부자 위협 관리는 정치적으로 민감합니다. 직원들을 감시한다는 느낌을 주기 때문이에요. 그래서 대부분 기업이 이 부분을 소홀히 합니다. 외부 해커보다 내부자가 훨씬 위험한데도 말이죠.

화려한 AI 보안보다 중요한 기본 위생의 부재

요즘 보안 업계는 AI 열풍입니다. "AI가 모든 걸 해결해줍니다." 정말 그럴까요? AI는 좋은 도구입니다. 하지만 기본이 안 돼 있으면 AI도 소용없어요.

패치 관리가 보안의 90%다

보안 전문가들 사이에는 이런 말이 있습니다. "보안의 90%는 패치 관리다." 과장이 아닙니다. 대부분의 공격은 이미 알려진 취약점을 악용합니다. 패치만 제때 했어도 막을 수 있었던 사고가 수두룩해요.

2025년 발생한 주요 보안 사고를 분석해보면, 거의 대부분 패치 미적용이 원인이었습니다. K사는 클라우드 서버 내부망이 악성코드에 감염됐는데, 그 악성코드는 이미 패치가 나와 있던 취약점을 이용했어요. Y사는 랜섬웨어에 감염돼 서비스가 마비됐는데, 역시 패치 안 한 서버가 진입점이었습니다.

왜 패치를 안 할까요? 여러 이유가 있습니다. 첫째, 귀찮습니다. 패치하려면 서버를 재시작해야 하는데, 그러면 서비스가 잠깐 멈춰요. 둘째, 두렵습니다. 패치 적용 후 시스템이 오작동할까 봐 걱정됩니다. 셋째, 몰랐습니다. 취약점이 공개됐는지도 모르고 지나갑니다.

보안 위생 항목	중요도	실행 난이도	국내 기업 평균 수준
패치 관리	★★★★★	중	60% 미흡
계정 권한 관리	★★★★★	중	70% 미흡
비밀번호 정책	★★★★☆	하	50% 미흡
로그 모니터링	★★★★★	상	80% 미흡
백업 및 복구	★★★★★	중	40% 미흡
보안 교육	★★★★☆	하	90% 형식적

협력사 네트워크가 뒷문이다

SK텔레콤 해킹 사태에서 드러난 또 다른 문제는 내부망 분리와 격리 실패입니다. 한 시스템이 뚫리니까 전체가 무너졌어요. 왜? 내부에서 횡적 이동(Lateral Movement)을 제어하지 못했기 때문입니다.

특히 협력업체 네트워크가 문제입니다. 많은 기업이 협력사에 VPN 접속 권한을 줍니다. 업무 편의를 위해서죠. 그런데 협력사의 보안 수준은 어떤가요? 대기업만큼 철저할까요? 아닙니다. 협력사는 중소기업인 경우가 많고, 보안 투자가 부족합니다. 해커들은 이 약한 고리를 공격합니다. 협력사를 먼저 해킹한 다음, 그 계정으로 대기업 내부망에 침투하는 거예요.

2025년 국내 보안 인텔리전스 서비스 업체 관계자는 이렇게 말했습니다. "최근 국내 기업을 노린 주요 글로벌 공격 그룹들은 계정 관리 취약점과 협력사 네트워크를 우회 경로로 악용하고 있다." 협력사 계정 관리, 하고 계십니까?

백업은 있지만 복구는 안 된다

랜섬웨어 피해 기업의 85%가 심각한 운영 중단을 경험했고, 평균 금전적 손실액은 380만 달러에 달했습니다. 그런데 대부분 기업은 백업 시스템을 갖추고 있습니다. 왜 복구를 못 했을까요?

백업은 있는데 복구 테스트를 안 했기 때문입니다. 백업 자동화 스크립트를 돌려놓고, "백업 완료" 로그만 확인하고 끝입니다. 실제로 복구가 되는지 테스트는 안 해봅니다. 사고가 나서 백업 파일을 열어보니 손상돼 있거나, 버전이 맞지 않아 복구가 안 되는 경우가 비일비재합니다.

더 큰 문제는 백업 서버도 같이 감염되는 경우입니다. 랜섬웨어는 점점 똑똑해져서, 네트워크에 연결된 백업 서버까지 찾아내 암호화합니다. 오프라인 백업이 없으면 완전히 인질이 되는 거죠.

실패하지 않는 2026년 보안 예산 수립을 위한 조언

자, 그럼 어떻게 해야 할까요? 보안 솔루션을 사지 말라는 게 아닙니다. 제대로 사고, 제대로 쓰라는 겁니다. 2026년 보안 예산을 수립하는 CISO들에게 몇 가지 조언을 드립니다.

첫째 기능이 아니라 효과를 구매하라

벤더사가 들이미는 브로슈어에 현혹되지 마세요. "AI 기반", "차세대", "제로트러스트" 같은 마케팅 용어는 무시하고, 이렇게 물어보세요.

"이 솔루션을 도입하면 우리 회사의 MTTR(평균 복구 시간)이 얼마나 단축됩니까?" "실제 고객사에서 위협 탐지율이 얼마나 개선됐습니까? 레퍼런스를 보여주세요." "오탐률은 얼마나 됩니까? 하루에 알람이 몇 개나 옵니까?" "초기 구축 후 지속적인 튜닝 지원을 해주십니까? 비용은 얼마입니까?"

효과를 측정할 수 있는 지표를 요구하세요. 그리고 계약서에 SLA(Service Level Agreement)를 명시하세요. "위협 탐지율 90% 이상", "오탐률 5% 이하", "MTTR 2시간 이내" 같은 구체적인 수치를 넣으세요. 못 지키면 환불 또는 패널티 조항도 넣으면 더 좋습니다.

질문 항목	나쁜 답변	좋은 답변
"효과가 뭡니까?"	"AI가 모든 위협을 탐지합니다"	"고객사 평균 MTTR 40% 단축"
"레퍼런스는?"	"대기업 다 쓰고 있습니다"	"A사 보고서와 담당자 연락처 제공"
"오탐률은?"	"거의 없습니다"	"초기 20%, 튜닝 후 5% 이하"
"지원은?"	"24시간 콜센터 운영"	"전담 엔지니어 월 4회 방문"

둘째 도구가 아니라 프로세스에 투자하라

보안은 제품이 아니라 프로세스입니다. 아무리 좋은 솔루션을 사도, 운영 프로세스가 없으면 무용지물이에요. 패치 관리 프로세스, 사고 대응 프로세스, 권한 관리 프로세스, 로그 분석 프로세스 이런 게 있어야 합니다.

예를 들어 패치 관리 프로세스는 이렇게 만들 수 있어요.

1단계: 매주 월요일 CVE(Common Vulnerabilities and Exposures) 데이터베이스 확인 2단계: 우리 시스템에 영향 있는 취약점 분류 (Critical/High/Medium/Low) 3단계: Critical은 48시간 이내, High는 1주일 이내 패치 적용 계획 수립 4단계: 테스트 환경에서 패치 검증 5단계: 운영 환경에 순차적으로 적용 6단계: 적용 결과 모니터링 및 롤백 계획 준비

이런 프로세스가 문서화되어 있고, 담당자가 정해져 있고, 실제로 지켜지고 있나요? 이게 없으면 패치 관리 솔루션을 사봤자 소용없습니다.

셋째 사람에게 투자하라

가장 중요한 건 사람입니다. 보안 담당자를 외주에 맡기지 마세요. 내부 인력을 키우세요. 교육 보내고, 자격증 따게 하고, 컨퍼런스 참석시키고, 처우 개선해서 이직 못하게 붙잡으세요.

그리고 전체 직원 대상 보안 교육도 제대로 하세요. 연 1회 형식적인 온라인 교육 말고, 실제 피싱 메일 시뮬레이션도 하고, 보안 사고 사례 공유도 하고, 보안 우수 부서에는 인센티브도 주세요.

구글의 CISO는 이렇게 말했습니다. "보안 제어가 성공적으로 작동하도록 하는 데 있어 예산은 중요한 성공 기반입니다. 하지만 예산 자체보다 중요한 것은 그 예산을 어떻게 쓰느냐입니다." 사람에 투자하는 게 가장 ROI가 높은 보안 투자입니다.

넷째 100% 방어는 포기하고 회복탄력성을 키워라

마지막으로 가장 중요한 마인드셋 전환입니다. 100% 방어는 불가능합니다. 언젠가는 뚫립니다. 이걸 인정하세요. 그럼 목표가 바뀝니다. "뚫리지 않는 것"이 아니라 "빨리 탐지하고 빨리 복구하는 것"이 목표가 됩니다.

이걸 보안 업계에서는 레질리언스(Resilience), 즉 회복탄력성이라고 부릅니다. 뚫렸을 때 얼마나 빨리 알아차리고, 얼마나 빨리 격리하고, 얼마나 빨리 복구하느냐가 핵심이에요.

SK텔레콤이 해킹당한 게 문제가 아닙니다. 장기간 탐지하지 못하고 방치한 게 문제입니다. 조기에 발견했다면 피해를 최소화할 수 있었어요. 사고 대응 계획(Incident Response Plan)을 만들고, 정기적으로 훈련하세요. 화재 대피 훈련처럼 해킹 대응 훈련도 해야 합니다.

방어 중심 사고	회복탄력성 중심 사고
"절대 뚫리면 안 된다"	"뚫릴 수 있다는 전제"
예방에만 집중	탐지와 대응에도 집중
사고는 실패	사고는 학습 기회
완벽한 보안 추구	빠른 복구 추구
MTBF (평균 고장 간격)	MTTR (평균 복구 시간)

결론 보안은 제품이 아니라 문화다

지금까지 왜 비싼 보안 장비를 도입해도 계속 뚫리는지, CISO들이 무엇을 놓치고 있는지 분석했습니다. 핵심을 정리하면 이렇습니다.

첫째, 보안 솔루션이 많다고 안전한 게 아닙니다. 오히려 툴 스프롤 현상으로 가시성이 떨어지고 관리 복잡도만 증가합니다.

둘째, 벤더사가 제시하는 화려한 기능과 실제 효과는 다릅니다. 기능이 아니라 효과를 구매해야 합니다.

셋째, 체크박스 보안은 인증서만 받을 뿐 실제 안전을 보장하지 않습니다. 컴플라이언스가 아니라 실효성에 집중해야 합니다.

넷째, AI 보안보다 패치 관리 같은 기본 위생이 훨씬 중요합니다. 90%의 공격은 기본만 지켜도 막을 수 있습니다.

다섯째, 도구가 아니라 프로세스와 사람에 투자해야 합니다. 보안은 제품이 아니라 문화입니다.

여섯째, 100% 방어를 포기하고 회복탄력성을 키워야 합니다. 뚫렸을 때 얼마나 빨리 복구하느냐가 핵심입니다.

2026년 보안 예산을 수립하는 CISO 여러분, 이번에는 다르게 해보세요. 화려한 세일즈 덱에 속지 말고, 벤더사가 제시하는 만병통치약을 믿지 말고, 기본에 충실하면서 지속가능한 보안 체계를 만드세요. 그게 진짜 보안입니다.