[가트너 시큐리티 서밋 2025 참관기-13] 보안 관리 최적화로 위협 노출 최소화 전략

#이 기고는 2025년 6월 9일~11일, 메릴랜드주 내셔널 하버 소재 Gaylord National Resort & Convention Center에서 개최된 ‘Gartner Security & Risk Management Summit 2025’에 참가한 파고네트웍스 권영목 대표와 임직원들이 보내온 참관기입니다. 가트너 서밋은 전 세계 CISO(최고정보보호책임자)와 보안 리더들을 대상으로 AI, 사이버 리스크, 회복력, 규제 준수 등 핵심 주제와 보안기술 트랜드에 집중한 최고 권위의 보안 행사입니다. 마지막 열세번째 참관기는 남광해 파고네트웍스 책임이 작성한 내용입니다.#

■보안 관리 최적화로 위협 노출 최소화 with CTEM, ASCA

▲레이스카 환상 : 최고의 장비가 아닌 안정적인 기본기

Gartner의 VP Analyst인 Chris Silva는 복잡한 보안 솔루션에 대한 집착을 “스틱 변속기를 모르는 채 레이스카를 산 격”이라고 비유했습니다. 기업이 실제로 필요한 것은 최고 비싼 장비가 아니라 “안정적으로 달릴 기본기” 라고 강조했습니다. 보안 책임자의 61 %가 최근 12개월 동안 잘못된 보안 관리 때문에 침해를 겪었다는 통계가 이를 뒷받침합니다.

▲잘못된 보안 관리로 인한 대규모 침해 사고 사례

•WannaCry · NotPetya 사태는 SMB v1 활성화, 미패치 OS 등 ‘열린 창문’이 30만 대 감염과 100억 달러 손실로 이어진 사례입니다.

•Midnight Blizzard(Nobelium) 공격은 MFA 비활성화, 과도한 IAM 권한이 임원의 이메일 탈취로 연결되었습니다.

한 번의 기본 방어선 확립했어도 연쇄 피해를 막을 수 있었다는 점이 핵심 교훈입니다.

■보안 관리가 실패하는 네 가지 구조적 원인

▲보안 관리 최적화 Action Plan

1.기술적 목표보단 비즈니스 성과 초점의 목표 설정

•예를 들어 “영업팀이 해외 어디서든 안전하게 프레젠테이션을 실행하도록 보장한다” 같은 비즈니스 관점의 목표 설정

2.컴플라이언스 준수 여부 보다 효과성으로 전환

•단순히 보안 솔루션이 "설치되어 있다"를 넘어, 실제로 위협에 대해 얼마나 효과적으로 작동하는지를 평가.

•공격 기술의 커버리지, 잘못된 구성(Misconfiguration) 탐지 및 수정, 위협 감지 충실도 등을 포함

3.지속적인 실행 필요

•보안 관리를 CTEM(Continuous Threat Exposure Management)과 통합하여, 지속적이고 구조화된 방식으로 접근

■보안 관리 자동화의 핵심 : ASCA (Automated Security Control Assessment)

■CTEM과의 통합: 보안 관리 최적화와 지속적인 실행

ASCA가 제공하는 노출 지표를 CTEM (Continuous Threat Exposure Management) 단계(범위 지정 → 발견 → 우선순위 → 검증 → 조치)에 연계하면 지속적 최적화 루프를 구축할 수 있습니다. 인프라, 보안운영, 리스크, 비즈니스 부서가 KPI를 공동 소유해야 “보안 = 비즈니스 성장 엔진”이라는 네거티브가 완성됩니다.