한국의 사이버 보안에 대한 나의 시선
이 글을 전적으로 나의 주관적인 견해이고 사실과 다를 수 있다. 내가 어떻게 바라보는지 지속적으로 업데이트를 하고 그것들에 대한 해결 방안을 모색하고자 기록하는 곳이다.
결론먼저 이야기하자면 미국에 비해 15년 이상 뒤쳐져 있는 상황이다. 그것을 설명하기 위해 3가지 주체가 있다. 법, 경영인, 그리고 소비자.
대한민국의 법은 사이버 보안에 있어서 그리 강하지 않은 것 같다. 내가 알기로 2025년 SKT 사건이 터지기 전까지만 하더라도 기업의 순 이익에 1% 미만의 과징금 정도만 나왔었다. 그렇기에 보안에 투자하는 것보다 벌금을 내는 것이 더 싸게 먹혔다. 그리고 소비자들은 보안사건이 터져도 딱히 큰 신경을 쓰지 않았고 그냥 기분 나쁜 정도로 보안 사건들을 대했다. 탈팡이라는 용어와 움직임도 2025년 말이 되어서야 겨우 그런 보안 사건에 대한 움직임이 있었고 그마저도 쿠팡의 영업이익에 큰 영향을 미치지는 못했다. 따라서, 경영인들이 굳이 보안에 투자를 하지 않아도 되는 것이었고 그것이 오히려 경영인으로 현명한 선택이었다고 생각한다. 그러한 일련의 이유들로 보안 업계는 규모가 커질 수 없었고 그 중요성은 미비했다. 모두가 말은 보안이 중요하다고 하지만 정작 그곳에 제대로 된 투자를 진행하기 어려웠고 그것은 교육 시스템에도 미쳐 보안 교육을 제대로 하는 기관이 국내 몇군데 되지 않는다. 이러한 보안에 대한 접근, 교육, 인력, 법, 소비자, 환경들이 모두 합쳐 미국과는 15년 이상 뒤쳐졌다고 판단이 되고 쉽게 말해서 미국에서는 한국의 홈플러스와 같은 격인 ‘타겟’에서도 내부 보안팀이 제대로 갖춰져있고 스타벅스, 맥도날드에서도 자체 보안팀이 어느정도 규모가 있는데 한국에서 홈플러스, 백다방과 같은 곳에서 자체 보안팀이 생기려면 15년 이상은 걸리지 않을까라고 생각도 하는 것이다. 지금 당장 경영인들이 막대한 자금을 투자를 한다고 하더라도 그만한 인력도 존재하지 않는 실정이다.
사이버 보안이은 기존 ‘사회 안전 혹은 보안’과 같은 속성을 지니고 있다. 보안은 투자를 잘 했을 때, 역할이 잘 작동할 때에는 아무 것도 눈에 보이지 않는다. 그래서 사람들은 사고가 터졌을 때, 너는 왜 지금까지 아무것도 안 했냐라는 비판을 하게 된다. 그것은 보안의 속성을 제대로 이해하지 못하기에 그런 말을 하는 것이다. 지금의 한국에서는 몇가지 특징들이 존재하는 것 같다.
GRC 중심 보안
우선 보안에는 내가 볼 때 크게 2가지가 있다. 첫 번째로는 GRC로 불리는 법, 규제, 정책과 관련된 부분이고 다른 부분은 proactive하게 asset을 지키는 보안이다. GRC는 최소한의 가이드라인이라고 생각한다. 그것을 온전히 지킨다고 보안 사건들이 안 일어 나는 것은 아니다. 보안 사건들을 막기 위해서는 GRC도 잘 해야하지만 그 외의 보안 중심의 제품 개발 및 관리가 필요하다. 미국은 법이 워낙 강하고 GRC를 지킨다고 해서만 법적 패널티를 피할 수 있는 것은 아니고 고객들로부터 소송도 빈번히 일어나기에 철저히 GRC와 proactive security를 잘 병행한다. 하지만 한국에서는 법에서 하라는 대로만 하면 최소한의 벌금을 받을 수 있고 고객들의 소송은 크게 걱정하지 않아도 되는 상황이기에 대다수의 기업들은 딱 법에서 하라고만 하는 보안들만 신경쓰는 경향이 크다. 한국은 GRC 중심으로 보안을 신경쓸 수 밖에 없었고 심지어 그쪽 관련 종사자 혹은 리더들도 제대로 된 cybersecurity를 이해하기보다 정치학 박사, 혹은 법 관련 박사를 따신 분들이 리더로 채택이되고 모든 정보보안팀을 관리하다보니 제대로 된 균형을 맞추기 쉽지 않았던 것 같다.
시스템이 없는 보안
Proactive security를 제대로 하지 못하다보니 그것에 대한 시스템을 제대로 갖춘 곳이 없다. 예를 들어, IAM, GRC, Red team, Pentesting(Web/Mobile/Thick client/IoT/API), M&A만 책임지는 Security team, Security Architect, DLP, Cloud security, AI security, Threat Intelligence, Crypto, Security engineer, Source code review, 3rd party risk, Inside Threat team과 같은 세부적인 부분들을 각각의 팀으로 이루어진 기업이 그리 많지는 않다. 내가 알기로는 5개도 안 되는 것 같다. 내가 나열한 것은 정말 예시일뿐 더 많은 부서들이 존재해야하지만 대기업에서도 그 조직들을 갖추고 있기가 쉽지 않다. 이것은 아마 이러한 시스템에 대해 아는 사람 혹은 중요성도 많이 없을 뿐더러 있더라도 거기서 일할 인력도 없는 상황이기 때문이다.
한 포지션이 여러개의 책임을 요구 - 개인정보보안 담당자 중심
인재부족으로 대다수의 기업들이 한 사람이 엄청난 역할을 하는 것을 기대하면서 채용하고 있다. 한국의 정보보안 담당자를 뽑는데 보는 역할들을 바라보고 있자면 미국에서 몇개의 팀이 해야 할 일을 한 사람에게 다 요구하는 것 처럼 보인다. 그렇기에 한 역할을 제대로 하기도 힘들고 더 잘 성장하기가 쉽지 않은 상태이다. 관제만 보더라도 충분한 인력이 없다보니 제대로 된 관제를 하기 쉽지 않고 그렇기에 여러 공격을 선제적으로 탐지하고 대응하는것에는 정말 현존 하는 인력들의 고단한 수고 덕분에 그나마 가능하다고 생각한다. 그러한 수고는 미국에서 요구하는 수고에 비해 월등히 높은 역량 및 에너지를 요구하고 나는 이러한 점을 봤을 때 한국의 인력의 질이 정말 좋다고 생각한다. 감당하기 힘든 것들을 감당하고 있는 사람들이 한둘이 아닌 것 같다.
어찌보면 Security Engineer의 부재를 말할 수 있겠다. Security Architect도 거의 없다. 관제 중심은 결국 규제 법적 요구사항 중심이지 진정한 의미를 갖추기는 힘든 것 같다. 미국과 같이 공격,엔지니어링으로 넘어가려면 클라우드 AI 규제가 변화가 필요하다 한 명이 수만 로그를 처리하지만 결국 탐지도 제대로 못하고 탐지 이후의 반응 및 그 탐지를 예방하는 것이 약하다. 고도 공격에는 무용지물이다. 적은 인력으로 인한 번아웃이 지속 가능한 관제를 못하게 만든다.
미국과의 비교
시장 규모의 차이는 한국과 15배로 규모 + 공고의 차이가 있다. 평균 연봉의 차이는 3배 격차가 난다. 한국 3-7천, 미국 112-170k. 한국은 SOC,관제,인프라 운영,컴플라이언스 중심 미국은 DevSecOps,클라우드 엔지니어링,펜테스팅,AI 위협 분석 주류 한국의 인력은 해외 이직이 잦고 기업 92%가 보안 인력을 안 뽑는 실정
그래서 해결책
리더쉽의 인식 변화도 필요하다. 그리고 이러한 해결책 안에는 아마 꽤나 많은 창업의 기회가 도사리고 있다. 과도기적인 면에서 아웃소싱에 도움을 받을 수 밖에 없어보이는 한국이다. 아웃소싱은 한국에서도 주로 이루는 이유가 인력 부족 + 예산 절감 + 책임 전가 정도로 보인다.
오펜시브 시큐리티중 CTF에 특화된 보안
한국의 인력 중 미국과 견주어 강한
