사이버 복원력은 어떻게 입증되는가: CTI 기반 보안 의사결정의 전환

PAGO Gartner Security Risk Management Summit 현장 리포트

PAGO는 National Harbor, MD에서 개최되고 있는 2026 Gartner SRM Summit을 참관하고, 현장에서 논의되는 핵심 보안 세션을 리포트로 연재하고 있습니다. 이번 글에서는 Lampis Alevizos가 발표한 「From Cyber Threat Intelligence to Proven Cyber Resilience」 세션을 중심으로, 사이버 위협 인텔리전스가 단순한 위협 정보 수집을 넘어 어떻게 실제 보안 의사결정과 사이버 복원력으로 연결될 수 있는지 살펴봅니다. 

Lampis Alevizos는 세션 초반 두 개의 항아리 실험을 통해 이 점을 보여줬습니다. 그는 이 실험을 사이버 보안 의사결정에 대입하며, 많은 조직이 실제 공격자가 어떤 경로로 들어오고 어디에서 방어가 실패할 수 있는지를 확인하기보다, 컴플라이언스 충족 여부나 보안 기능 적용 여부처럼 이미 확인 가능한 항목을 기준으로 현재 보안 수준을 판단한다고 설명했습니다.

이번 세션에서는 이 익숙한 방식에서 벗어나야 한다고 말합니다. 사이버 복원력(Cyber Resilience)은 공격자가 어떻게 접근하고 움직일 수 있는지를 이해하는 데서 출발하지만, 최종적으로는 탐지와 차단이 어디에서 실패할 수 있는지, 어떤 업무가 영향을 받을 수 있는지, 무엇을 먼저 조치해야 하는지 판단할 수 있을 때 입증됩니다.

컴플라이언스 중심 보안의 한계

Alevizos는 많은 조직이 여전히 컴플라이언스 충족 여부와 보안 기능 적용 여부를 중심으로 보안 상태를 설명한다고 지적했습니다. 이러한 항목은 내부 보고와 감사 대응에는 유용합니다. 조직이 어떤 보안 기능을 갖추고 있는지, 어느 정도의 기준을 충족하고 있는지, 어떤 항목이 개선되었는지를 보여줄 수 있기 때문입니다.

하지만 이러한 자료는 실제 공격이 발생했을 때 탐지와 대응이 어떻게 작동할지까지 보여주지는 않습니다. MFA가 적용되어 있고, EDR이 설치되어 있으며, 로그가 수집되고 있다는 사실은 중요합니다. 그러나 그것만으로 공격자가 어떤 경로로 들어올 수 있는지, 내부에서 어떻게 이동할 수 있는지, 어느 지점에서 탐지나 차단이 실패할 수 있는지는 알 수 없습니다.

Alevizos는 이를 앞서 제시한 A 항아리와 B 항아리의 차이로 설명했습니다. A 항아리는 리스크를 색상이나 점수로 표시한 히트맵(Heat Map), 컴플라이언스 산출물, 보안 평가 결과, 보안 기능 적용 여부처럼 조직이 이미 가지고 있고 설명할 수 있는 자료에 가깝습니다. 반면 B 항아리는 공격자 행동, 공격 경로, 운영상 불확실성처럼 실제 공격 상황에서 확인해야 하는 영역입니다.

Alevizos의 메시지는 컴플라이언스 산출물이나 보안 기능 적용 현황 같은 설명 가능한 자료 자체를 부정하는 것이 아닙니다. 핵심은 이러한 자료만으로는 공격 상황에서 탐지와 차단이 실제로 작동하는지, 그리고 어떤 업무가 영향을 받을지 알 수 없다는 점입니다. 보안 조직이 확인해야 하는 것은 “우리가 무엇을 갖추고 있는가”만이 아니라, “공격이 발생했을 때 그것이 실제로 작동하는가”입니다.

따라서 질문도 바뀌어야 합니다. “필요한 보안 기능이 적용되어 있는가”에서 멈추는 것이 아니라, “공격자가 실제로 어떤 경로로 들어올 수 있는가”, “공격 과정에서 탐지와 차단은 어느 지점에서 실패할 수 있는가”, “이 공격이 성공하면 어떤 업무가 영향을 받는가”를 물어야 합니다. 이러한 질문을 던질 수 있어야, 공격이 성공했을 때 발생할 비즈니스 영향을 기준으로 무엇을 먼저 조치해야 할지 판단할 수 있습니다.

CTI: 위협 정보를 의사결정 근거로 바꾸는 역할

이번 세션에서 사이버 위협 인텔리전스(CTI)는 단순히 최신 위협 정보를 수집하거나 보고서를 작성하는 활동으로 설명되지 않았습니다. Alevizos는 CTI가 모든 위협을 나열하는 데서 멈춰서는 안 되며, 우리 조직과 관련성이 높은 공격자와 공격 경로를 좁혀 의사결정에 필요한 근거를 제공해야 한다고 설명했습니다.

모든 공격자와 모든 위협이 같은 수준으로 중요한 것은 아닙니다. 따라서 CTI는 “최근 어떤 공격이 유행하고 있는가”를 묻는 데서 끝나지 않아야 합니다. “우리 산업과 비즈니스 모델에 중요한 공격자는 누구인가”, “그들은 어떤 방식으로 초기 접근을 얻는가”, “우리 환경에서는 어느 지점에서 탐지와 차단이 실패할 수 있는가”까지 좁혀져야 합니다.

Alevizos는 사이버 방어가 조직 내부의 자산 목록이나 보안 기능 적용 현황만 보는 데서 출발해서는 안 된다고 설명했습니다. 먼저 공격자가 어떤 방식으로 초기 접근을 얻고, 내부에서 어떻게 이동하며, 어느 지점에서 탐지와 차단이 실패할 수 있는지를 봐야 합니다. 이후 다시 내부 관점으로 돌아와 어떤 보안 기능이 중요한지, 어디에 투자해야 하는지, 무엇을 우선적으로 보완해야 하는지 결정해야 한다는 것입니다.

이 관점에서 CTI는 침해 지표를 공유하거나 위협 동향을 요약하는 수준을 넘어, 실제 조사와 대응 우선순위를 정하는 근거가 됩니다. 특정 공격자가 어떤 방식으로 초기 접근을 얻고, 내부에서 어떤 경로로 이동하며, 어떤 통제를 우회하는지 알 수 있다면 그 정보는 고객 환경의 노출 자산, 계정 권한, 탐지 로그와 연결되어야 합니다. CTI의 가치는 정보의 양이 아니라, 조직이 어떤 위협을 먼저 검증하고 어떤 조치를 우선할지 결정하게 만드는 데 있습니다.

위협 정보를 검증과 의사결정으로 연결하는 TiDE

이렇게 좁혀진 위협 정보를 실제 의사결정으로 연결하기 위해 Alevizos는 TiDE를 제시했습니다. TiDE(Threat-Informed Defense Effectiveness)는 위협 정보를 기반으로 방어 효과성을 확인하는 접근입니다. TiDE는 공격자 행동을 기준으로 탐지와 차단이 실제로 작동하는지 검증하고, 그 결과를 바탕으로 조치 우선순위를 정하는 흐름입니다.

Alevizos는 TiDE를 Identify, Prioritize, Validate, Measure, Decide의 다섯 단계로 제시했습니다. 먼저 조직에 중요한 공격자를 식별하고, 우선적으로 다뤄야 할 위협에 집중합니다. 이후 실제 공격자 행동을 기준으로 탐지와 차단이 작동하는지 검증하고, 보안 기능의 효과성을 측정한 뒤, 그 증거를 바탕으로 무엇을 고치고 무엇을 우선순위로 둘지 결정합니다.

이 흐름에서 중요한 것은 “보안 기능이나 대응 절차가 마련되어 있는가”가 아니라, 공격자 행동을 기준으로 탐지와 차단이 실제로 작동하는가입니다. MFA, EDR, 로그 수집, 대응 절차가 있다는 사실은 출발점일 뿐이며, TiDE는 그것들이 실제 공격 상황에서 어떤 역할을 하는지 확인하도록 요구합니다.

특히 Validate 단계는 문서상으로 갖춰진 보안 기능과 절차가 실제로 작동하는지 확인하는 과정입니다. 보안 조직은 정책이나 문서에 적힌 내용을 확인하는 데서 멈추지 않고, 공격자 행동을 시뮬레이션하거나 모사해 실제 방어 효과를 확인해야 합니다. 이 과정에서 실패가 확인되더라도 그것은 단순한 실패가 아니라, 어디에서 탐지가 안됐고 어느 구간에서 대응이 지연되는지 확인하는 학습이 됩니다.

TiDE는 보안 리스크 관리를 문서 중심의 확인에서 실제 공격 상황을 기준으로 한 검증과 의사결정으로 옮기는 방식입니다. TiDE의 목적은 사고 이후에야 부족한 부분을 확인하는 데 있지 않습니다. 사고 이전에 탐지와 차단의 작동 여부를 검증하고, 그 결과를 바탕으로 조치 우선순위를 정하는 데 있습니다.

비즈니스 결과로 설명되는 리스크 의사결정

Alevizos는 세션 후반부에서 사이버 리스크 의사결정이 보안 기능 중심의 언어가 아니라 비즈니스 결과 중심의 언어로 이루어져야 한다고 설명했습니다. 그는 보안 기능 중심의 표현으로 “피싱 보호에 200만 달러 투자”, “SOC 확장에 50만 달러 투자”, “XDR 플랫폼 업그레이드”를 예로 들었습니다.

반대로 비즈니스 결과 중심의 표현은 다릅니다. “2억 유로 규모의 온라인 거래를 보호하기 위해 200만 달러를 투자한다”, “장애 복구 시간을 60% 줄이기 위해 50만 달러를 투자한다”, “사고 중에도 물류 운영을 유지한다”처럼, 보안 투자가 어떤 업무를 보호하고 어떤 손실을 줄이기 위한 것인지까지 설명해야 한다는 의미입니다.

이 차이는 실무에서 중요합니다. 보안팀은 특정 도구나 기능의 필요성을 잘 알고 있을 수 있지만, 경영진과 현업 부서는 그 기능이 어떤 업무 중단을 막고 어떤 손실을 줄이는지 알고 싶어 합니다. 보안 투자가 설득력을 가지려면 “무엇을 도입할 것인가”보다 “무엇을 지킬 것인가”가 먼저 설명되어야 합니다.

이 관점에서 앞서 언급한 TiDE의 의미도 더 분명해집니다. TiDE가 탐지와 차단의 작동 여부를 검증하는 이유는 단순히 보안 기능의 성능을 확인하기 위해서가 아닙니다. 그 결과를 바탕으로 어떤 업무를 우선 보호해야 하는지, 어떤 조치가 비즈니스 영향을 줄이는 데 더 중요한지 판단하기 위한 것입니다.

내일 바로 시작할 수 있는 실행 과제

이러한 전환은 장기 전략으로만 남아서는 의미가 없습니다. Alevizos는 세션 말미에 조직이 바로 시작할 수 있는 실행 과제를 제시했습니다.

먼저 우리 조직에 실제로 관련 있는 세 가지 위협을 식별해야 합니다. 여기서 세 가지 위협은 모든 보안 이슈를 나열하라는 뜻이 아니라, 산업, 비즈니스 모델, 외부 노출 상태를 기준으로 우선 검토해야 할 공격 시나리오를 뜻합니다. 이후 그 위협을 수행할 가능성이 있는 공격자와 주요 공격 방식을 정의하고, 피싱, 계정 탈취, 외부 노출 시스템 악용 같은 초기 접근 지점부터 비즈니스 영향까지 이어지는 흐름을 따라가야 합니다.

그 다음에는 탐지와 차단이 어느 지점에서 실패할 수 있는지 검증해야 합니다. 정책 문서나 점검표에 보안 기능이 적용되어 있는지 확인하는 데서 멈추지 않고, 실제 공격 흐름에서 그 기능이 탐지, 차단, 대응으로 이어지는지 테스트해야 한다는 의미입니다. 마지막으로 각 시나리오마다 무엇을 먼저 조치해야 하는지, 어떤 업무 영향을 줄이는 데 집중해야 하는지 명확한 우선순위를 정해야 합니다.

이 실행 과제는 거창한 전략보다 현실적인 출발점에 가깝습니다. 이미 많은 조직은 자산 목록, 보안 기능 목록, 취약점 목록, 탐지 목록을 가지고 있습니다. 그러나 이러한 목록이 실제 공격 시나리오, 비즈니스 영향, 조치 우선순위로 연결되어 있는지는 별개의 문제입니다.

Alevizos가 강조한 출발점은 새로운 도구를 추가하는 것이 아니라, 질문의 순서를 바꾸는 것입니다. 보안 조직은 “무엇을 보유하고 있는가”에서 출발하는 대신, “어떤 위협이 우리 조직에 실제로 영향을 줄 수 있는가”, “그 공격이 성공하면 어떤 업무가 영향을 받는가”, “그렇다면 무엇을 먼저 조치해야 하는가”를 물어야 합니다.

Conclusion

이번 Gartner 세션의 메시지는 분명합니다. 사이버 복원력(Cyber Resilience)은 새로운 보안 솔루션이나 별도 프로그램을 추가한다고 자동으로 만들어지는 것이 아닙니다. 실제 공격 상황에서 무엇이 작동하고, 어디에서 실패할 수 있으며, 어떤 업무가 영향을 받을 수 있는지를 확인할 때 입증됩니다.

이를 위해 CTI는 더 많은 위협 정보를 쌓는 활동에 머물러서는 안 됩니다. 우리 조직과 관련 있는 공격자와 공격 방식을 좁히고, TiDE와 같은 접근을 통해 탐지와 차단이 실제로 작동하는지 검증해야 합니다. 그리고 그 결과는 비즈니스 영향과 조치 우선순위로 연결되어야 합니다.

MDR Service Provider는 고객사의 보안 위협을 탐지하고 분석하며 대응 판단을 지원하는 보안 운영 서비스 제공자로서, 이번 세션에서 강조한 “탐지 결과를 의사결정으로 연결하는 구조”와도 맞닿아 있습니다. 고객에게 필요한 것은 단순히 탐지된 위협에 대한 알림을 받는 것만이 아닙니다. 해당 위협이 어떤 공격 시나리오와 연결될 수 있는지, 어떤 자산과 업무에 영향을 줄 수 있는지, 어떤 조치가 필요한지를 함께 판단할 수 있어야 합니다. 탐지 결과를 단순히 전달하는 데서 끝나는 것이 아니라, 고객이 제한된 시간 안에서 무엇을 먼저 확인하고, 무엇을 먼저 조치해야 하는지 판단할 수 있는 근거를 제공해야 합니다.

결국 중요한 질문은 “우리가 무엇을 보유하고 있는가”가 아닙니다. 공격이 현실화됐을 때 무엇을 확인할 수 있고, 어디에서 실패할 수 있으며, 어떤 결정을 내릴 수 있는가입니다. 불확실성을 의사결정이 가능한 수준으로 줄여가는 과정이 입증 가능한 사이버 복원력으로 이어집니다.

작성자: 이시우 Threat Analyst | DeepACT MDR Center