Intro
xhslqndls19780607, 무슨
뜻일까요?
같은 단어, 다른 세계. 세 명이
말하는 '보안'
혹시 이렇게 영어처럼 보이지만
한글 자판 그대로 눌러 만든
비밀번호를 쓰고 계신가요?
예를 들어 xhslqndls19780607. 얼핏
보면 복잡한 영문·숫자 조합 같지만,
한글 자판으로 풀면
‘토니부인19780607’입니다. 만드는
사람 입장에서는 기억하기 쉽지만,
이런 패턴은 공격자에게도 너무
익숙한 방식입니다. 복잡해 보인다고
해서 안전한 것은 아니라는
뜻이죠.
대부분의 사람은 보안 사고를
‘침입’의 문제로 생각합니다. 더
높은 벽, 더 튼튼한 자물쇠가
답이라고 믿죠. 하지만 실제 사고의
시작은 생각보다 훨씬 일상적인
장면에 숨어 있습니다. 추측하기
쉬운 비밀번호, 공용 와이파이 접속,
바쁘다는 이유로 넘긴 보안 알림
하나. 누가 억지로 침입한 것이
아니라, 이미 들어와 있었는데도
아무도 이상하다고 느끼지 못한
순간이 문제의 출발점이 되곤
합니다.
|
|
|
|
Intro
xhslqndls19780607, 무슨
뜻일까요?
같은 단어, 다른 세계. 세 명이
말하는 '보안'
혹시 이렇게 영어처럼 보이지만
한글 자판 그대로 눌러 만든
비밀번호를 쓰고 계신가요?
예를 들어 xhslqndls19780607. 얼핏
보면 복잡한 영문·숫자 조합 같지만,
한글 자판으로 풀면
‘토니부인19780607’입니다. 만드는
사람 입장에서는 기억하기 쉽지만,
이런 패턴은 공격자에게도 너무
익숙한 방식입니다. 복잡해 보인다고
해서 안전한 것은 아니라는
뜻이죠.
대부분의 사람은 보안 사고를
‘침입’의 문제로 생각합니다. 더
높은 벽, 더 튼튼한 자물쇠가
답이라고 믿죠. 하지만 실제 사고의
시작은 생각보다 훨씬 일상적인
장면에 숨어 있습니다. 추측하기
쉬운 비밀번호, 공용 와이파이 접속,
바쁘다는 이유로 넘긴 보안 알림
하나. 누가 억지로 침입한 것이
아니라, 이미 들어와 있었는데도
아무도 이상하다고 느끼지 못한
순간이 문제의 출발점이 되곤
합니다.
|
89% 취약점이 발견된 기업 비율
2023-2025년 KISA 모의침투 점검 결과
10곳 중 9곳에서 실제 해킹 가능한
취약점 확인 주요 위험 유형 5가지 01
외부 노출 상용 제품 취약점 악용 02
DMZ(Demilitarized Zone) 통제 미흡 03
다크웹 유출 계정 재사용 04 여러
취약점의 연쇄 악용 05 LLM(Large
Language Model) 서비스 운영 미흡
|
|
|
|
출처: KISA[모의침투 점검 기업
주요 취약점 사례집]
(2026.03)
|
실제로 KISA(한국인터넷진흥원)가
2023년부터 2025년까지 주요 기업을
대상으로 모의침투 점검을 진행한
결과, 점검 기업의 약 89%에서 취약점이 발견됐습니다. 실제로 반복되는 침해
사고의 원인으로 자주 지목되는 것도
아주 정교한 신종 공격만은
아닙니다. 기본 계정 관리의 공백,
늦어진 패치, 느슨한 접근 권한
통제처럼 ‘기본이지만 계속 미뤄졌던
문제들’이 더 큰 틈이 되기도
합니다. 그래서 보안의 핵심은 더
강한 차단 장치를 하나 더 두는 데만
있지 않습니다. 누가, 어디서, 어떤
기기로, 어떤 권한으로 접속하고
있는지를 평소에 알고 있는가에 더
가깝습니다.
|
|
|
|
출처: KISA[모의침투 점검 기업
주요 취약점 사례집]
(2026.03)
|
실제로 KISA(한국인터넷진흥원)가
2023년부터 2025년까지 주요
기업을 대상으로 모의침투 점검을
진행한 결과, 점검 기업의 약 89%에서 취약점이
발견됐습니다. 실제로 반복되는 침해
사고의 원인으로 자주 지목되는
것도 아주 정교한 신종 공격만은
아닙니다.
기본 계정 관리의 공백, 늦어진
패치, 느슨한 접근 권한 통제처럼
‘기본이지만 계속 미뤄졌던
문제들’이 더 큰 틈이 되기도
합니다. 그래서 보안의 핵심은 더
강한 차단 장치를 하나 더 두는
데만 있지 않습니다. 누가,
어디서, 어떤 기기로, 어떤
권한으로 접속하고 있는지를
평소에 알고 있는가에 더
가깝습니다.
|
|
|
|
그렇다면 우리 회사의 보안은 잘
관리되고 있을까요?
지금 이 순간에도 우리는 집에서
노트북으로 회사 시스템에 접속하고,
카페에서 업무 메일을 확인합니다.
개인 휴대폰으로 팀 메신저에 답장을
보내고, 협력사 직원과 내부 문서
링크를 주고받기도 하죠. 심지어
퇴사한 직원의 계정이 며칠째 살아
있는 경우도 있습니다. 어느
순간부터 보안의 경계가 어디인지,
무엇까지가 안전한 접속이고
어디부터가 관리 사각지대인지
아무도 선뜻 말하기
어려워졌습니다.
보안을 이야기하기에 앞서, 아래
3가지 항목 중 우리 회사에 해당되는
것이 몇 개인지 먼저 확인해
보세요.
|
|
|
|
그렇다면 우리 회사의 보안은 잘
관리되고 있을까요?
지금 이 순간에도 우리는 집에서
노트북으로 회사 시스템에 접속하고,
카페에서 업무 메일을 확인합니다.
개인 휴대폰으로 팀 메신저에 답장을
보내고, 협력사 직원과 내부 문서
링크를 주고받기도 하죠.
심지어 퇴사한 직원의 계정이
며칠째 살아 있는 경우도 있습니다.
어느 순간부터 보안의 경계가
어디인지, 무엇까지가 안전한
접속이고 어디부터가 관리
사각지대인지 아무도 선뜻 말하기
어려워졌습니다.
보안을 이야기하기에 앞서, 아래
3가지 항목 중 우리 회사에 해당되는
것이 몇 개인지 먼저 확인해
보세요.
|
|
|
|
|
몇 개나 해당되셨나요?
체크하다가 잠깐 멈칫한 부분은
없으셨나요?
이번 레터에서는 같은 고민을
마주했던 현업 담당자들에게 같은
질문을 던졌습니다.
“본인이 생각하는 ‘보안’의 가장
중요한 부분은 무엇인가요?”
|
|
|
|
|
|
|
|
Interview #1
“경영진에게 왜 지금 바꿔야 하는지
이해시키는 것이요.”
최민준 | IT
기획자
최민준 씨는 오래전부터 회사의
보안 구조를 바꿔야 한다는 것을
알고 있었습니다. 무엇이 취약하고
어떻게 개선해야 할지에 대한 계획도
이미 갖고 있었습니다. 문제는
경영진 설득이었습니다. 사고가 아직
발생하지 않았다는 이유로, 경영진은
“그래서 지금 당장 무엇이
문제냐”라고 되물었습니다. 문제는 보안의 필요성이 아니라, 왜
지금 투자해야 하는지를 경영진에게
이해시키는 일이었습니다.
하지만 문제는 이미 현장 곳곳에
드러나고 있었습니다.
지사·물류센터·지점마다 접근 권한
관리 방식이 달랐고, 퇴사자 계정이
수개월째 남아 있는 경우도
있었습니다. VPN 승인이 늦어질
때마다 직원들은 개인 메신저나 외부
클라우드로 파일을 주고받았습니다.
규정을 어기려는 의도가 아니라,
느리고 불편한 절차가 비공식 경로를
만들고 있었습니다. 보안의 허점은 특정 사건이 아니라
반복되는 업무 방식 속에
있었습니다.
최민준 씨는 설명 방식을
바꿨습니다. 기술 용어 대신 지금
구조에서 실제로 통제가 끊기는
장면들을 보여주기 시작했습니다.
재택근무자가 집 와이파이로
접속하는 순간, 퇴사자의 계정이
그대로 남아 있는 상태, 승인이
지연돼 외부 도구로 업무가 우회되는
방식들을 하나씩 짚었습니다. 그제야
논의의 초점도 ‘사고가 났느냐’에서
‘이미 통제되지 않는 구조를
언제까지 둘 것이냐’로
옮겨갔습니다.
오랜 설득 끝에 회사는 거점별로
따로 돌아가던 보안 구조를 하나로
통합하는 방향을 택했습니다. 그것은
단지 시스템 하나를 바꾸는 결정이
아니라, 사고 이후 대응이 아닌 사고 이전
통제 중심으로 관리 방식을 전환하는
결정이었습니다.
|
|
|
|
몇 개나 해당되셨나요?
체크하면서 멈칫하지는
않으셨나요? 이번 레터에서는 같은
고민을 했던 분들을 직접 찾아가
한 가지 질문을 드렸습니다.
"본인이 생각하는 가장 중요한
'보안'은 무엇인가요?"
|
|
|
Interview #1
“경영진에게 왜 지금 바꿔야
하는지 이해시키는
것이요.”
IT 기획자 최민준
최민준 씨는 오래전부터 회사의
보안 구조를 바꿔야 한다는 것을
알고 있었습니다. 무엇이 취약하고
어떻게 개선해야 할지에 대한
계획도 이미 갖고 있었습니다.
문제는 경영진 설득이었습니다.
사고가 아직 발생하지 않았다는
이유로, 경영진은 “그래서 지금
당장 무엇이 문제냐”라고
되물었습니다. 문제는 보안의 필요성이 아니라, 왜 지금
투자해야 하는지를 경영진에게
이해시키는 일이었습니다.
하지만 문제는 이미 현장 곳곳에
드러나고 있었습니다.
지사·물류센터·지점마다 접근 권한
관리 방식이 달랐고, 퇴사자
계정이 수개월째 남아 있는 경우도
있었습니다. VPN 승인이 늦어질
때마다 직원들은 개인 메신저나
외부 클라우드로 파일을
주고받았습니다. 규정을 어기려는
의도가 아니라, 느리고 불편한
절차가 비공식 경로를 만들고
있었습니다. 보안의 허점은 특정 사건이
아니라 반복되는 업무 방식 속에
있었습니다.
최민준 씨는 설명 방식을
바꿨습니다. 기술 용어 대신 지금
구조에서 실제로 통제가 끊기는
장면들을 보여주기 시작했습니다.
재택근무자가 집 와이파이로
접속하는 순간, 퇴사자의 계정이
그대로 남아 있는 상태, 승인이
지연돼 외부 도구로 업무가
우회되는 방식들을 하나씩
짚었습니다. 그제야 논의의 초점도
‘사고가 났느냐’에서 ‘이미
통제되지 않는 구조를 언제까지 둘
것이냐’로 옮겨갔습니다.
오랜 설득 끝에 회사는 거점별로
따로 돌아가던 보안 구조를 하나로
통합하는 방향을 택했습니다.
그것은 단지 시스템 하나를 바꾸는
결정이 아니라, 사고 이후 대응이 아닌 사고 이전
통제 중심으로 관리 방식을
전환하는 결정이었습니다.
|
|
|
|
|
*인터뷰 내용 이해를 돕기 위해 AI로
생성한 이미지를 사용했습니다.
|
|
|
|
*인터뷰 내용 이해를 돕기 위해
AI로 생성한 이미지를
사용했습니다.
|
|
|
Interview #2
“어디서 뭐가 돌아가고 있는지
한눈에 파악할 수
있어야죠.”
이도현 | IT/개발팀장
클라우드 기반으로 회사 시스템을
전환하기로 했을 때 이도현 씨의
기대는 컸습니다. 다양한 협업 툴을
활용하고 더 유연한 개발 환경에서
일할 수 있다고 생각했습니다.
실제로 전환 이후 업무 속도는
빨라졌고, SaaS 기반 협업 툴도 10개
이상 도입됐습니다.
하지만 툴이 늘어날수록 관리의 복잡성도
함께 커졌습니다.
SaaS 툴마다 접근 권한을 따로
관리해야 했고, 어떤 서비스에 누가
접근하고 있는지, 데이터가 어디에
저장되는지 한눈에 파악하기
어려워졌습니다.
문제는 특정 사고가 아니라 관리의 사각지대가 점점 넓어지고 있다는
점이었습니다. 이도현 씨는 퇴사한
직원의 계정이 여러 서비스에 그대로
남아 있는 사실을 뒤늦게 발견했고,
해당 계정의 접근 이력을 확인하는
데도 적지 않은 시간이 걸렸습니다.
의도적인 보안 사고가 있었던 것은
아니었지만, 서비스가 늘어나는
속도를 관리 체계가 따라가지 못하고
있었던 것입니다.
그제야 이도현 씨는 문제의 본질이
클라우드 자체가 아니라, 클라우드 환경을 통합적으로
관리하고 통제할 수 있는 체계의
부재에 있다는 사실을 더욱 분명하게
인식하게 됐습니다.
|
|
|
|
|
|
Interview #2
이도현 | IT/개발팀장
클라우드 전환 이후 업무는 훨씬
빨라졌지만, 그만큼 접속 경로도
복잡해졌습니다. SaaS 툴이 10개
넘게 늘어나자, 누가 어느
서비스에 언제 접속하고 있는지
한눈에 파악하기 어려워졌습니다.
문제는 시스템이 많아진 데만 있지
않았습니다. 퇴사자 계정이 살아
있다는 사실을 뒤늦게 발견했을
때, 실제로 어디까지 접근했는지
이력을 추적하는 데도 적지 않은
시간이 걸렸습니다.
보안은 원래 ‘막아내는
기술’이라고 생각했는데,
현장에서는 점점 ‘보이지 않는
접속을 얼마나 빨리 알아차릴 수
있느냐’의 문제에 더 가까워지고
있었습니다.
|
|
|
|
|
*인터뷰 내용 이해를 돕기 위해 AI로
생성한 이미지를 사용했습니다.
|
|
|
|
|
|
Interview #3
김지연 | 총무·운영팀장
처음엔 보안은 IT팀의 일이라고
생각했습니다. 그런데 직원 개인
기기 사용, 외부 네트워크 접속,
협업 툴 사용 같은 문제가 하나둘
운영 이슈로 넘어오기
시작했습니다. 그 순간부터 IT팀과
운영팀 사이에는 아무도 명확히
책임지지 않는 회색지대가
생겼습니다.
누가 잘못해서가 아니었습니다.
일은 점점 더 유연해졌는데, 관리
기준은 그 변화를 따라가지 못했던
겁니다. 결국 현장에서는 무슨
일이 어디서 벌어지고 있는지,
누가 기준을 정해야 하는지조차
흐려지기 시작했습니다. 그때
깨달았습니다. 보안의 문제는
‘기술이 부족한가’보다 ‘경계가
어디까지인지 조직이 함께 알고
있는가’에 더 가까울 수 있다는
것을요.
|
|
|
|
|
*인터뷰 내용 이해를 돕기 위해 AI로
생성한 이미지를 사용했습니다.
|
|
|
|
|
|
이번에 인터뷰한 세 명의 이야기는
달랐지만,
공통점은 분명했습니다.
모두 각자의 자리에서
보안의 경계를 고민하고
있었지만,
정작 그 경계가 어디서 시작되고
어디서 끝나는지
조직 전체의 언어로는 선명하게
설명하기
어려웠다는 점입니다.
그렇다면 우리 조직은
어떨까요?
우리는 경계를 알고 있다고
생각하지만,
막상 말로 꺼내면 흐릿해지는
지점은 없을까요?
누가 어떤 환경에서 접속하든, 어떤
기기를 쓰든,
그 상황을 같은 기준으로 보고
있다고
자신할 수 있을까요?
지금 아래 버튼을 눌러,
우리 회사의 보안 현황을 점검해
보세요.
|
|
|
|
|
|
|
|
보안 점검, 해보셨나요?
점검을 해도 찜찜함이 남는다면,
이유가 있습니다.
경계가 뚫리는 것보다 더 위험한
건, 이미 경계가 흐려졌는데도
우리는 여전히 잘 지키고 있다고
믿는 상태이기 때문입니다.
실제로 많은 조직이 바로 이
구간에서 위험을 키웁니다.
이 흐릿해진 경계를 다시 설계하는
방식 중 하나가
SASE(Secure Access Service
Edge)입니다.
누가, 어디서, 무엇에 접속하든
네트워크와 보안을 하나의 기준으로
연결해
일관된 통제를 가능하게 하는 접근
방식입니다.
새로운 기술을 하나 더 붙이는
이야기가 아닙니다.
지금까지 이야기한 문제를 이제는
구조적으로 풀어보자는 제안에
가깝습니다.
|
|
|
|
보안 점검, 해보셨나요?
점검을 해도 찜찜함이 남는다면,
이유가 있습니다.
경계가 뚫리는 것보다 더 위험한
건,
이미 경계가 흐려졌는데도 우리는
여전히 잘 지키고 있다고 믿는
상태이기 때문입니다.
실제로 많은 조직이 바로 이
구간에서 위험을 키웁니다.
이 흐릿해진 경계를 다시
설계하는 방식 중 하나가
SASE(Secure Access Service
Edge)입니다.
누가, 어디서, 무엇에 접속하든
네트워크와 보안을 하나의
기준으로 연결해
일관된 통제를 가능하게 하는
접근 방식입니다.
새로운 기술을 하나 더 붙이는
이야기가 아닙니다.
지금까지 이야기한 문제를 이제는
구조적으로 풀어보자는 제안에
가깝습니다.
|
|
|
|
+
다음 레터
다음 편에서는 보안 전문가를 직접
만났습니다.
“우리 회사 규모에 맞는 전환
방식이 뭔지 모르겠다”,
“어디서부터 손대야 할지
모르겠다”는 가장 현실적인 질문을
그대로 들고 갔습니다.
답은 의외로 거창한 기술보다, 지금
우리 조직의 상황을 어떻게
진단하고
무엇부터 우선순위에 올릴 것인가에
있었습니다.
다음 편에서는 실무자가 바로
적용할 수 있고,
내부 설득에도 바로 활용할 수 있는
현실적인 전환 방법을
전해드릴게요.
|
|
|
|
+
다음 레터
다음 편에서는 보안 전문가를
직접 만났습니다.
“우리 회사 규모에 맞는 전환
방식이 뭔지 모르겠다”,
“어디서부터 손대야 할지
모르겠다”는 가장 현실적인 질문을
그대로 들고 갔습니다.
답은 의외로 거창한 기술보다,
지금 우리 조직의 상황을 어떻게
진단하고
무엇부터 우선순위에 올릴
것인가에 있었습니다.
다음 편에서는 실무자가 바로
적용할 수 있고,
내부 설득에도 바로 활용할 수
있는
현실적인 전환 방법을
전해드릴게요.
|
|
|
|
|