[Gartner SRM Summit 2025] 보안 관리 최적화로 위협 노출 최소화 with CTEM, ASCA

레이스카 환상 : 최고의 장비가 아닌 안정적인 기본기

Gartner의 VP Analyst인 Chris Silva는 복잡한 보안 솔루션에 대한 집착을 “스틱 변속기를 모르는 채 레이스카를 산 격”이라고 비유했습니다. 기업이 실제로 필요한 것은 최고 비싼 장비가 아니라 “안정적으로 달릴 기본기” 라고 강조했습니다. 보안 책임자의 61 %가 최근 12개월 동안 잘못된 보안 관리 때문에 침해를 겪었다는 통계가 이를 뒷받침합니다.

잘못된 보안 관리로 인한 대규모 침해 사고 사례

• WannaCry · NotPetya 사태는 SMB v1 활성화, 미패치 OS 등 ‘열린 창문’이 30만 대 감염과 100억 달러 손실로 이어진 사례입니다.

• Midnight Blizzard(Nobelium) 공격은 MFA 비활성화, 과도한 IAM 권한이 임원의 이메일 탈취로 연결되었습니다.

한 번의 기본 방어선 확립했어도 연쇄 피해를 막을 수 있었다는 점이 핵심 교훈입니다.

보안 관리가 실패하는 네 가지 구조적 원인

보안 관리 최적화 Action Plan

1. 기술적 목표보단 비즈니스 성과 초점의 목표 설정

   • 예를 들어 “영업팀이 해외 어디서든 안전하게 프레젠테이션을 실행하도록 보장한다” 같은 비즈니스 관점의 목표 설정

2. 컴플라이언스 준수 여부 보다 효과성으로 전환

   • 단순히 보안 솔루션이 "설치되어 있다"를 넘어, 실제로 위협에 대해 얼마나 효과적으로 작동하는지를 평가.

   • 공격 기술의 커버리지, 잘못된 구성(Misconfiguration) 탐지 및 수정, 위협 감지 충실도 등을 포함

3. 지속적인 실행 필요

   • 보안 관리를 CTEM(Continuous Threat Exposure Management)과 통합하여, 지속적이고 구조화된 방식으로 접근

보안 관리 자동화의 핵심 : ASCA (Automated Security Control Assessment)

CTEM과의 통합: 보안 관리 최적화와 지속적인 실행

ASCA가 제공하는 노출 지표를 CTEM (Continuous Threat Exposure Management) 단계(범위 지정 → 발견 → 우선순위 → 검증 → 조치) 에 연계하면 지속적 최적화 루프를 구축할 수 있습니다. 인프라, 보안운영, 리스크, 비즈니스 부서가 KPI를 공동 소유해야 “보안 = 비즈니스 성장 엔진”이라는 네거티브가 완성됩니다.

도구보단 기본기 : ASCA · CTEM으로 완성하는 실전형 보안 최적화

Silva 애널리스트의 메시지는 분명합니다. “초고가 레이스카를 사지 말고, 지금 보유한 차량부터 제대로 운전하십시오.”

• 기본기가 없는 ‘도구 수집’은 위협 노출을 오히려 키웁니다.

• ASCA와 CTEM을 결합하면 ‘측정 → 우선순위 → 자동화’의 데이터 기반 루프를 구축할 수 있습니다.

• 비즈니스 언어로 보안을 설명하면 투자는 자연스럽게 따라옵니다.

작성자 – 파고네트웍스 남광해 책임 (Threat Analyst)