진짜 문제는 여전히 ‘기본’
필자의 경험상 많은 조직이 겪는 문제는 전략의 부재가 아니라 실행력 부족이다. 보안 리더는 기본 원칙을 알고 있고, 실무팀도 알고 있으며, 감사기관과 규제기관, 이사회 역시 이를 잘 알고 있다. 문제는 하이브리드 환경, 노후 시스템, 클라우드 플랫폼, 원격 근무 환경, 복잡한 서드파티 생태계 전반에서 이러한 기본 원칙을 일관되게 유지하는 일이다.
이 때문에 AI가 보안 통제의 우선순위를 근본적으로 바꿀 것이라는 전망에는 신중한 입장이다. 대부분의 성공적인 침해 사고는 여전히 이미 알려진 취약점에서 시작된다. 단지 적절히 조치되지 않았거나, 우선순위가 잘못 설정됐거나, 애초에 존재조차 파악하지 못했던 취약점일 뿐이다. 인터넷에 노출된 미패치 시스템, 잘못 구성된 ID 관리 체계, 과도한 권한, 미흡한 네트워크 분리, 수년간 검토되지 않은 서비스 계정, 그리고 일시적 예외로 시작했지만 어느새 영구화된 핵심 업무 예외 등이 대표적이다.
필자는 보안 프로그램이 최신 위협에 지나치게 집중하면서 추진력을 잃는 사례를 여러 차례 봤다. 기존 통제 공백은 그대로 둔 채 새로운 활용 사례에만 예산을 투입하고, 책임 체계와 운영 프로세스, 관리 체계를 바로잡기보다 새로운 보안 도구부터 도입한다. 또한 사이버 보안 성숙도를 운영 모델이 아닌 개별 프로젝트의 집합으로 바라본다. 이러한 접근은 최첨단 AI 이전에도 위험했으며, 이러한 모델이 공격자의 공격 속도를 더욱 앞당긴다면 그 위험은 한층 커질 것이다.