변해가는 방어자 관점의 중요 포인트# 서론 - 공격을 100% 예방할 수 있다는 환상, 변해야하는 사고 방식 오랜 시간 동안 사이버 보안의 핵심 목표는 '단 하나의 위협도 내부로 들이지 않는 것'이었습니다. 촘촘한 방화벽 정책을 세우고, 여러 보안 솔루션을 도입하며, 알려진 취약점을 끊임없이 패치하여 성벽을 높이는 '예방(Prevention)' 중심의 전략이 방어자의 가장 중요한 임무로 여겨졌습니다. 하지만 현장에서 수많은 침해 사고(Incident Response)를 분석하고 대응하다 보면, 이 '100% 예방'이라는 목표가 점차 실현 불가능한 환상에 가까워지고 있음을 뼈저리게 체감하게 됩니다. 오늘날의 IT 환경은 더 이상 폐쇄적인 내부망에 머물지 않습니다. 클라우드 전환과 원격 근무의 보편화, 그리고 수많은 서드파티 솔루션이 거미줄처럼 얽히면서 방어자가 통제하고 지켜내야 할 공격 표면(Attack Surface)은 과거와 비교할 수 없을 정도로 광범위해졌습니다. 방어자는 수만 개의 방어선 중 단 하나의 구멍도 허용해서는 안 되지만, 공격자는 그중 단 하나의 취약점만 찾아내면 내부로 진입할 수 있는 극단적인 비대칭전이 벌어지고 있는 것입니다. 이제 우리는 외부의 모든 공격을 완벽하게 차단할 수 없다는 불편한 진실을 받아들여야 합니다. 현대의 보안 패러다임은 이미 '어떻게 침투를 원천 차단할 것인가'에서, 언젠가는 반드시 방어선이 뚫린다는 현실적인 전제를 둔 '가정된 침해(Assume Breach)'로 넘어왔습니다. 방어자에게 요구되는 새로운 관점은 더 이상 우리의 인프라, 시스템 밖에서 적을 막아내는 것에만 매몰되는 것이 아닙니다. 이미 성벽을 넘어온 위협을 인정하고, 그 이후의 상황을 통제하는 방향으로 시선을 돌려야 합니다. 방어의 진정한 성공은 '단 한 번의 침투도 허용하지 않는 것'이 아니라, '공격자가 내부망에 발을 들이더라도 데이터 유출이나 시스템 파괴와 같은 그들의 최종 목표(Impact)를 달성하지 못하도록 중간에 끊어내는 것'이기 때문입니다. 그렇다면 왜 우리는 가장 첫 단계인 '초기 침투'를 막아내는 데 이토록 뼈저린 한계를 느끼고 있으며, 잔존하는 흔적만으로 사고의 전말을 온전히 규명하는 것이 왜 갈수록 어려워지고 있을까요? 본문에서는 변화하는 최신 위협의 현실을 짚어보고, 방어자가 진정으로 역량을 집중해야 할 새로운 중요 포인트가 어디인지 살펴보겠습니다. # 본론 1 - 통제 범위를 벗어난 초기 침투 (Initial Access) 보안 실무를 하면서 가장 뼈저리게 체감하는 현실은, 외부에서 내부로 들어오는 최초 침투(Initial Access)를 100% 막아내는 것은 이제 사람의 통제 영역을 벗어났다는 점입니다. 시스템을 겹겹이 에워싼 방어선이 무색해진 배경에는 방어자의 속도와 통제력을 훌쩍 뛰어넘은 몇 가지 치명적인 변화가 있습니다. ## 방어의 골든타임을 붕괴시킨 AI 무기화 가장 큰 위협은 사이버 공격에 AI가 본격적으로 도입되면서 공격의 속도와 정교함이 상상을 초월하게 되었다는 것입니다. 과거에는 새로운 취약점(CVE)이 발견되더라도, 공격자가 이를 분석하고 실제 악용하는 데 시간이 걸렸기에 방어자에게 패치를 적용할 최소한의 시간이 존재했습니다. 하지만 최근 앤트로픽이 공개한 '미소스(Mythos)'와 같은 해킹 특화 AI 모델의 등장은 이 방어 타임라인을 완전히 붕괴시켰습니다. 이러한 AI는 타겟의 외부 표면(Attack Surface)을 스캐닝하여 스스로 취약점을 찾아낼 뿐만 아니라, 인간의 개입 없이 단 몇 시간 만에 시스템을 장악할 익스플로잇까지 자동으로 생성하고 실행해 버립니다. 취약점 발견과 동시에 무기화가 이루어지는 상황에서, 보안 담당자가 취약점을 인지하고 정기 패치 일정을 잡는 전통적인 속도로는 AI의 자동화된 공격을 도저히 따라잡을 수 없습니다. ## 사람의 취약점을 파고드는 사회공학적 기법의 한계 게다가 AI가 만들어내는 피싱이나 사회공학적 공격은 어떨까요? 예전처럼 어색한 번역투나 조잡한 첨부파일이 아닙니다. 타겟 기업의 실제 업무 컨텍스트, 내부에서만 쓰는 용어, 특정 직원의 소셜 미디어 활동 내역까지 완벽하게 학습하여 '진짜보다 더 진짜 같은' 메일을 쏟아냅니다. 보안 장비가 아무리 뛰어나도, 결국 권한을 가진 내부자가 완벽히 속아 넘어가 링크를 클릭하거나 정상적인 문서로 위장한 파일을 실행하는 행위 자체를 기술적으로 100% 차단할 방법은 없습니다. 사람의 심리와 실수를 노리는 공격 앞에서는 그 어떤 솔루션도 한계가 명확합니다. ## 신뢰를 무기로 삼는 공급망 공격(Supply Chain Attack) 마지막으로 가장 치명적인 타격은, 우리가 평소 믿고 사용하는 '신뢰 기반의 연결고리'를 타고 들어오는 공급망 공격입니다. 공격자들은 굳이 방화벽이 두터운 타겟 기업의 정문을 힘들게 두드리지 않습니다. 최근 잇따라 발생한 Axios 패키지 오염이나 AI 개발에 필수적인 LiteLLM 의존성 하이재킹 사태가 이를 잘 보여줍니다. 개발자들이 일상적으로 사용하는 오픈소스 저장소나 서드파티 라이브러리에 교묘하게 악성 코드를 심어두는 식입니다. 담당 개발자가 평소처럼 정상적인 모듈 업데이트 명령어를 입력하는 순간, 악성 코드는 어떠한 경고도 울리지 않고 보안 장비들을 프리패스하며 내부망 가장 깊숙한 곳에 곧바로 자리를 잡습니다. 결국 자사의 내부 시스템을 아무리 견고하게 다져놓더라도, 외부 서드파티의 오염과 인간의 피할 수 없는 실수, 그리고 AI의 압도적인 공격 속도를 모두 통제한다는 것은 불가능합니다. 이것이 바로 우리가 '뚫리지 않는 것'에만 집착하는 방어 전략을 버리고, 새로운 관점을 고민해야만 하는 이유입니다. # 본론2 - 지워진 발자국, 전체 행위 규명의 난제 어떻게든 내부망에 발을 들이는 데 성공한 공격자들은 이제 과거처럼 요란하게 움직이지 않습니다. 침해 사고 대응 및 분석 현장에 투입되어 쏟아지는 데이터를 분석하다 보면, 방어자를 가장 좌절하게 만드는 지점이 바로 이 철저한 '흔적의 부재'입니다. ## 디스크를 벗어난 파일리스(Fileless) 공격과 메모리 확보의 현실적 한계 최근의 고도화된 위협들은 디스크에 전통적인 악성 파일(.exe, .dll 등)을 남기지 않고, 메모리 영역에 직접 주입되어 동작하는 파일리스 기법을 기본 옵션처럼 사용합니다. 물리적인 파일이 없으니 디스크 기반의 전통적인 솔루션이나 사후 포렌식 분석은 무용지물이 됩니다.\ 결국 남은 방법은 휘발성 데이터인 메모리를 직접 분석하는 것뿐이지만, 실무 현장에서 이는 또 다른 거대한 장벽에 부딪힙니다. 특히 무중단 서비스가 생명인 대용량 데이터베이스 환경이나 핵심 Linux 운영 서버의 경우, 전체 메모리 덤프를 뜨는 과정에서 치명적인 시스템 프리징이나 서비스 지연이 발생할 수 있습니다. 비즈니스 연속성 관점에서 회사 측의 작업 승인을 얻어내는 것 자체가 매우 어려우며, 기나긴 조율 과정에서 골든타임을 놓치는 사이 메모리 상의 단서들은 허무하게 휘발되어 버립니다. ## 정상 도구라는 완벽한 위장, LOTL(Living off the Land) 외부에서 별도의 해킹 툴을 반입하지 않고, 시스템에 이미 존재하는 정상적인 유틸리티를 무기로 쓰는 LOTL(Living off the Land) 전략 역시 방어자의 시야를 가리는 핵심 요인입니다. 공격자는 PowerShell, WMI 혹은 기본적인 쉘 명령어 등 실제 IT 관리자나 OS가 일상적으로 사용하는 도구들을 활용합니다.\ 이 경우 표면적인 실행 로그 자체는 너무나 '정상적인 프로세스의 동작'으로만 남게 됩니다. 방어자 입장에서는 이 도구가 단순 유지보수 목적으로 쓰였는지, 아니면 악의적인 측면 이동(Lateral Movement)에 쓰였는지 즉, '실제로 무엇을 했는지' 파악하기 위해 깊숙한 시스템 아티팩트를 추가로 뒤져봐야만 하는 상황에 놓입니다. ## 국가 배후 공격자 그룹의 안티 포렌식 하지만 방어자가 아티팩트를 파고들 것이라는 점을 공격자들도 이미 잘 알고 있습니다. 특히 북한 연계 위협 그룹들의 경우, 목적 달성 후 혹은 탐지 움직임이 감지되었을 때 방어자의 추적을 끊기 위해 아예 전용 안티 포렌식 도구나 스크립트를 사용합니다. 이들은 방어자가 들여다봐야 할 핵심 시스템 로그와 아티팩트들을 타겟팅하여 훼손해 분석을 어렵게 만듭니다 ## 목적을 달성하면 스스로 사라지는 악성코드의 자가 삭제(Self-deletion) 안티 포렌식 도구의 사용과는 또 다른 맥락에서 방어자를 가장 암담하게 만드는 것은 바로 악성코드 그 자체의 동작 방식입니다. 최근의 악성코드들은 별도의 스크립트나 도구의 도움을 받을 필요도 없이, 내부망 장악이나 데이터 유출과 같은 자신의 최종 목적을 달성하고 나면 스스로를 시스템에서 완전히 지워버리는 자가 삭제 기능을 내장하고 있습니다. 할 일을 모두 마친 악성 파일이 사라져 버리니, 현장에는 악성코드의 원본을 분석할 기회조차 남아있지 않게 됩니다. 결과적으로 사고가 터진 후 뒤늦게 현장에 도착했을 때 남겨진 것은 악성코드 본체도 없고, 행위를 추적할 시스템 아티팩트마저 소실된 텅 빈 pc와 서버들뿐입니다. 사후에 수집된 데이터만으로는 공격자의 전체 행위를 규명하는 것이 사실상 불가능해졌습니다. 이러한 막막한 상황을 타개하기 위해 업계에서는 흔히 EDR(Endpoint Detection and Response) 솔루션 도입을 이야기합니다. 물론 엔드포인트 단의 프로세스나 메모리 행위를 추적하는 데 EDR이 매우 훌륭하고 효과적인 도구인 것은 사실입니다. 하지만 방어를 위해 '무조건 값비싼 EDR을 당장 도입해야만 한다'는 의미는 결코 아닙니다. 상용 EDR을 활용하든, Sysmon과 같은 무료 도구를 이용해 사내 SIEM으로 자체적인 로그 파이프라인을 구축하든 도구의 형태는 중요하지 않습니다. 진짜 핵심은 솔루션이라는 껍데기가 아니라, 단말과 서버에서 발생하는 프로세스 실행, 메모리 조작, 이상 통신 등의 흔적을 휘발되기 전에 모니터링할 수 있는 '실시간 가시성(Visibility)' 체계를 갖추는 데 있습니다. # 본론3 - 침투 이후의 킬체인(Kill-Chain)과 행위 판별의 딜레마 앞서 이야기한 것처럼 초기 침투를 완벽히 막는 것도, 훼손된 아티팩트를 쥐고 사후 분석을 하는 것도 점점 힘들어지는 것이 실무 현장의 현실입니다. 그렇다면 방어자 입장에서는 자연스럽게 한 가지 고민으로 귀결됩니다. "결국 공격자가 내부에 들어온 직후부터 목적을 달성하기 전까지, 그 중간 과정을 어떻게 끊어낼 것인가?" ## 행위(Behavior) 중심의 탐지, 그리고 정상 행위와의 딜레마 단순한 악성 IP나 해시값(IoC) 차단만으로는 한계가 명확하기에, 이제는 공격자의 '동적인 행위' 자체를 모니터링하고 차단 기준으로 삼아야 합니다. 하지만 실무에서 이 기준을 세우는 것은 말처럼 쉽지 않습니다. 이 딜레마가 발생하는 이유는 단지 앞서 언급한 LOTL 기법과 같은 공격자의 교묘한 위장 전술 때문만은 아닙니다. 보다 근본적인 원인은 오늘날 기업의 IT 환경 자체가 너무나 복잡하게 얽혀 있고, 내부 임직원과 시스템 관리자들이 수행하는 '정상적인 작업'의 스펙트럼이 무한에 가깝게 넓다는 데 있습니다. 실제 현업을 들여다보면, 개발자가 테스트를 위해 출처가 불분명한 외부 스크립트를 수시로 다운로드하여 실행하기도 하고, IT 담당자가 긴급 장애 처리를 위해 PowerShell로 다수의 서버에 동시 접속하여 깊숙한 시스템 설정을 건드리기도 합니다. 또는 솔루션 업데이트 프로세스가 자체적으로 레지스트리를 대량으로 수정하기도 하죠. 단일 이벤트나 행위의 궤적만 놓고 보면, 이러한 정상적인 비즈니스 로직들이 공격자의 악의적인 권한 상승이나 측면 이동과 너무나 유사하게 보입니다. 결국 이를 뭉뚱그려 엄격한 행위 기반 차단 정책으로 묶어버리면 어떻게 될까요? 실제 IT 담당자의 유지보수 작업이나 현업의 핵심 업무 프로세스까지 함께 멈춰버리는 거대한 장애를 초래하게 됩니다. 공격을 쫓아내자고 우리 비즈니스의 숨통을 스스로 끊어버릴 수는 없는 노릇이니까요. ## 솔루션의 환상에서 벗어나, 우리만의 기준을 세우는 일 이러한 노이즈 속에서 맥락을 파악하기 위해, 최근 보안 업계에서는 머신러닝(ML) 기반의 탐지 기능이나 AI를 접목한 자동화 분석을 적극적으로 도입하고 있습니다. 알고리즘이 단말의 수많은 행위 데이터를 학습해 미세한 비정상 행위를 스코어링 해주는 식이죠. 하지만 실무자에게 진짜 필요한 고민은 '고도화된 EDR이나 AI 솔루션을 도입하면 알아서 다 막아주겠지'라는 환상에서 벗어나는 것입니다. 무조건 값비싼 EDR을 쓴다고 해서 현장의 복잡한 행위 판별 딜레마가 마법처럼 해결되지는 않습니다. 벤더사가 제공하는 훌륭한 알고리즘도 결국 우리 회사만의 독특한 IT 환경과 업무 특수성까지 완벽히 이해해 주지는 못하며, 방치하면 수많은 오탐 폭탄만 쏟아낼 뿐입니다. 결국 가장 중요한 것은 어떤 솔루션을 쓰느냐가 아니라, **'우리 조직만의 정상과 악성을 구분하는 기준과 커스텀 정책을 어떻게 깎아나갈 것인가'** 하는 방어자 주도적인 고민입니다. 도구는 그저 우리의 가시성을 넓혀주는 수단일 뿐입니다. 상용 솔루션을 쓰든 오픈소스 도구와 자체 SIEM을 엮어 파이프라인을 구축하든, 진짜 핵심은 우리 환경의 맥락을 정확히 이해하는 것입니다. 사내 관리망의 정상적인 작업 패턴을 파악하고, 신뢰할 수 있는 위협 인텔리전스의 지표를 활용하는 등 독자적인 탐지 임계치를 스스로 설정해 내는 치열한 과정이 필요합니다. 초기 침투를 허용할 수밖에 없고 흔적마저 쉽게 지워지는 지금, 방어자가 짊어져야 할 가장 현실적이고 무거운 숙제는 바로 이 '우리 환경에 대한 완벽한 이해와 통제력'을 갖추는 일일 것입니다. # 결론 - 변화의 바람 속, 방어자가 나아가야 할 방향에 대한 고민 지금까지 이야기한 내용을 요약하자면, '완벽한 예방'이라는 과거의 낡은 패러다임은 이제 정말로 내려놓아야 할 때가 왔습니다. 고도화되는 AI 무기화와 일상화된 공급망 공격 앞에서 초기 침투를 100% 막아내는 것은 불가능에 가깝고, 스스로 흔적을 완벽히 지워버리는 위협들로 인해 훼손된 아티팩트에 의존해야 하는 사후 분석의 난이도 역시 극도로 높아졌습니다. 그렇다면 결국 방어자인 우리는 자연스럽게 두 가지 묵직한 질문을 마주하게 됩니다. 첫째는 **"이미 내부로 들어온 공격자의 행위를 어떻게 식별하고 끊어낼 것인가?**"입니다. 수많은 노이즈 속에서 우리 조직만의 비즈니스 맥락을 어떻게 이해할 것인지, 그리고 정상과 악성을 구분하는 독자적인 판별 기준을 어떤 방식으로 세워나갈 것인지 열린 시각으로 고민해 볼 필요가 있습니다. 둘째는 **"갈수록 어려워지는 사후 분석을 위해 우리는 사전에 무엇을 준비해 두어야 하는가?**"입니다. 아무리 흔적이 지워지고 분석이 힘들어진다 해도, 사고의 원인 규명 자체를 포기할 수는 없습니다. Root Cause를 정확히 찾아내 막지 못하면, 결국 제2, 제3의 동일한 사고를 무기력하게 맞이할 수밖에 없기 때문입니다. 공격자가 안티 포렌식으로 흔적을 날려버리기 전에 핵심 아티팩트와 로그를 안전한 중앙 서버로 실시간 이관하거나 보존하는 등, 제대로 된 원인 규명을 위해 '미리' 어떤 체계와 인프라를 갖춰두어야 할지도 우리가 깊이 고민해야 할 핵심 숙제 중 하나입니다. 요즘 현장에서 실무를 하며 문득 떠오른 생각들과 부딪히며 느꼈던 고민거리들을 쭉 정리해 보았는데, 비슷한 고민을 안고 계신 분들께 조금이나마 도움이 될지 모르겠습니다. 현재 보안 생태계에는 정말 거친 변화의 바람이 불고 있습니다. 기술의 패러다임이 급변하면서 공격자와 방어자 모든 관점에서 이전에는 없던 완전히 새로운 고민거리들이 끝없이 생겨나고 있는 시기인 것 같습니다. 뚜렷한 정답이 없는 길을 개척하며 이 거센 흐름 속에서 매일 고군분투하고 계실 모든 보안 실무자분들, 우리 모두 다 함께 힘냈으면 좋겠습니다.