it

닭장을 지키는 여우: 사이버 보안 비즈니스 모델이 스스로 최악의 악몽을 만드는 방법

발행: (2025년 12월 31일 오전 11:05 GMT+9)
21 min read
원문: Dev.to

Source: Dev.to

Cover image for 여우가 닭장을 지키다: 사이버 보안 비즈니스 모델이 스스로 만든 최악의 악몽

ZB25

두 명의 사이버 보안 전문가가 자신들이 보호하도록 훈련받은 기업들을 대상으로 BlackCat 랜섬웨어 공격을 저질렀다는 혐의로 유죄를 인정했을 때, 업계의 반응은 예측 가능했다: 충격, 비난, 그리고 이것이 고립된 악성 행위자들의 사례라는 확신. 그러나 이는 더 깊고 불편한 진실을 놓치고 있다.

사이버 보안 산업은 내부 위협이 번성할 수 있는 조건을 체계적으로 만들는 비즈니스 모델을 구축했다. 공격 기술을 윤리적 검증보다 우선시하는 채용 관행, 범죄 방법론에 대한 깊은 지식을 보상하는 보상 구조, 은행 보안 담당자를 비웃게 할 정도의 접근 제어까지, 우리는 왜곡된 인센티브의 완벽한 폭풍을 만들어냈다.

Ryan Goldberg와 Kevin Martin의 사례는 이례적인 사건이 아니다. 이것은 우리가 이 산업을 구조화한 방식의 필연적인 결과이다.

사고 대응 산업 복합체

Goldberg‑Martin 사건의 세부 사항은 사이버 보안 전문가의 열병 같은 악몽처럼 읽힌다. Sygnia의 전 사고 대응 매니저였던 Goldberg와 DigitalMint의 랜섬웨어 협상가였던 Martin은 내부 지식을 이용해 본래 그들이 고용된 바로 그 공격을 직접 수행했다. 2023년 5월부터 11월 사이에 그들은 여러 미국 기업을 표적으로 삼아 $300 k와 $10 M 사이의 몸값을 요구했다.

아이러니는 거의 시적이다: 랜섬웨어 공격 후 정리를 하며 생계를 이어온 사이버 보안 전문가들이 중간자를 배제하고 직접 공격을 시작하기로 결정한 것이다.

하지만 이를 읽는 모든 CISO가 두려워해야 할 점은 이들이 산업에 침투한 외부인이 아니라는 것이다. 이들은 사고 대응이 어떻게 작동하는지, 기업이 복구에 얼마를 지불하는지, 그리고 가장 중요한 조사 과정이 어떻게 전개되는지를 정확히 이해하고 있던 완벽한 내부자였다. 그들은 사이버 보안 무대 전체를 앞좌석에서 바라보고 있었다.

이는 개인의 인성 문제가 아니라 구조적인 불가피함이었다.

사이버 보안 전문성의 왜곡된 경제학

경제적 인센티브를 고려해 보세요. 선임 사고 대응 컨설턴트는 랜섬웨어 복구 작업에 시간당 $300–$500을 청구할 수 있습니다. 고압적인 프로젝트를 주당 60시간씩 수행한다면, 상위 기업에서 일할 경우 연간 $200 k–$300 k를 벌 수 있습니다.

한편, 같은 전문가들은 랜섬웨어 조직이 단일 공격으로 수백만 달러를 챙기는 모습을 지켜봅니다. 기업들이 $10 M 규모의 몸값을 눈 하나 깜빡이지 않고 지불하는 것을 보게 됩니다. 그들은 실제로 중요한 보안 통제와 단순히 보안 연극에 불과한 통제를 명확히 구분할 수 있습니다. 가장 중요한 점은 대부분의 조직이 탐지 능력이 형편없고 포렌식 준비도 더 못한다는 사실을 잘 알고 있다는 것입니다.

수학은 간단합니다: 수년간 컨설팅 사업을 구축하는 대신, 단 한 번의 성공적인 공격으로 합법적인 일 10년보다 더 많은 수익을 올릴 수 있다면 왜 그렇게 해야 할까요?

우리는 방어자가 공격이 얼마나 수익성이 높고 상대적으로 위험이 낮은지 정확히 알게 되는 지식 비대칭을 만들었습니다. 그런 다음 일부 방어자가 합리적인 경제적 선택을 할 때 우리는 놀라움을 표합니다.

Source:

채용 모순

사이버보안 산업은 우리가 인정하기를 거부하는 근본적인 채용 모순에 직면해 있습니다. 효과적인 방어를 구축하려면 공격자처럼 사고하는 인재가 필요합니다. 이는 범죄 수법에 대한 방대한 지식을 보유하고 있거나 이를 빠르게 습득할 수 있는 능력을 가진 사람을 채용한다는 의미입니다.

하지만 문제는 다음과 같습니다. 침투 테스트 담당자나 사고 대응자가 효과적이게 만드는 동일한 심리적 특성—시스템에 대한 호기심, 규칙을 깨는 데 대한 의지, 모호한 윤리적 경계에 대한 편안함—이 바로 내부 위협 위험과 상관관계가 있는 특성입니다.

전통적인 배경 조사로는 여기서 별 도움이 되지 않습니다. 대부분의 사이버보안 전문가들은 전과 기록이 없습니다. 그들은 컴퓨터 과학 학위, 전문 인증, 이전 고용주들의 좋은 추천서를 가지고 있습니다. 표준 채용 프로세스는 과거의 나쁜 행동을 탐지하도록 최적화돼 있으며, 경제적 유혹에 대한 미래의 취약성을 감지하지 못합니다.

한편, 우리는 사이버 범죄 연구를 전례 없는 수준으로 전문화했습니다. 위협 인텔리전스 분석가들은 하루 종일 공격 방법론을 분류합니다. 사고 대응자는 랜섬웨어 배포 기술에 대한 깊은 지식을 개발합니다. 협상가는 공갈 심리를 학습합니다.

우리는 본질적으로 사이버 범죄를 위한 대학원 과정을 운영하고 있는데, 일부 학생들이 배운 것을 실제로 적용한다는 사실에 충격을 받는 겁니다.

Source:

포트녹스를 부끄럽게 만들 접근 제어

아마도 가장 치명적인 문제는 업계가 자체 전문가들의 접근 제어를 다루는 방식일 것입니다. 주니어 회계사에게 재무 시스템에 대한 무감독 접근을 절대 허용하지 않을 기업들이 사이버 보안 컨설턴트에게는 가장 중요한 인프라에 대한 관리자 권한을 일상적으로 부여합니다.

사고 대응 팀은 정기적으로 도메인 관리자 자격 증명, 민감한 네트워크에 대한 VPN 접근, 그리고 핵심 비즈니스 데이터 사본을 받습니다. 그 정당화는 언제나 동일합니다: “그들이 업무를 효과적으로 수행하려면 이 접근이 필요합니다.” 그러나 이는 기본적인 보안 원칙을 무시하는 것입니다: 접근은 필요성과 위험에 비례해야 합니다.

사이버 보안 전문가에 대한 위험 계산은 다른 역할과 근본적으로 다릅니다. 부패한 회계사는 수십만 달러를 횡령할 수 있습니다. 반면 부패한 보안 컨설턴트는 방어 체계를 무력화하고, 데이터를 유출하며, 랜섬웨어 배포를 촉진할 수 있어, 단일 침해로 조직에 수천만 달러에 달하는 손실을 초래할 수 있습니다.

이 기사 나머지 부분에서는 해결책, 정책 권고 사항, 그리고 업계가 인센티브를 재정비하고, 채용 관행을 강화하며, 더 엄격한 접근 제어 체계를 시행하도록 촉구하는 내용을 계속 탐구합니다.

최고 수준의 사고 대응 컨설턴트는 전체 회사를 인질로 잡을 수 있습니다

그럼에도 불구하고 우리의 접근 제어 프레임워크는 이들을 동일하게 취급합니다. 우리는 잠재적으로 재앙적인 내부 위협을 가장 많이 일으킬 수 있는 역할에 가장 제한이 적은 접근 제어를 부여하고 있습니다.

신뢰 기반 망상

사이버 보안 산업은 자체 실무자들에 대해 제가 **“신뢰 기반 보안”**이라고 부르는 방식을 운영합니다. 사이버 보안 교육과 인증을 받은 사람이라면, 중요한 시스템에 대한 전례 없는 접근 권한을 신뢰할 수 있다고 가정합니다.

이 가정은 기본적인 위험 관리 원칙에 어긋납니다. 금융, 방위, 제약 등 다른 모든 고위험 산업에서는 접근이 초기 신뢰가 아니라 지속적인 검증을 기반으로 합니다. 투자 회사는 트레이더가 내부자 거래를 하지 않을 것이라고 단순히 믿지 않고, 모든 거래를 모니터링하고, 냉각 기간을 적용하며, 상세한 감사 로그를 유지합니다.

하지만 사이버 보안 업체들은 최소한의 감독, 제한된 모니터링, 그리고 시스템 관리자를 부러워할 정도의 접근 권한을 가진 컨설턴트 팀을 고객 환경에 정기적으로 파견합니다. 우리는 이해관계가 그 어느 때보다도 큰 산업에 대해 명예 제도를 구축해 왔습니다.

Goldberg‑Martin 사건은 이 신뢰 기반 모델이 근본적으로 깨졌음을 보여줍니다. 두 사람 모두 고객 시스템에 접근할 정당한 이유가 있었고, 랜섬웨어 방법론을 이해했으며, 협상 목적을 위해 범죄 조직과 관계를 유지했습니다. 그들을 귀중한 직원으로 만든 동일한 접근 권한과 지식이 바로 완벽한 내부 위협으로 만들었습니다.

반론: 시장 힘과 전문 표준

비평가들은 시장 힘이 자연스럽게 이 문제를 방지한다고 주장할 것입니다. 내부 위협을 겪는 사이버 보안 기업은 고객을 잃고 사업을 접게 됩니다. 전문 인증과 산업 표준은 대부분의 실무자가 존중하는 윤리적 프레임워크를 만듭니다. 압도적인 다수의 사이버 보안 전문가들은 윤리적인 행위자이며, 범죄 활동으로 넘어가는 것을 결코 고려하지 않을 것입니다.

이러한 주장은 일리가 있습니다. 사이버 보안 산업에는 전문 표준이 존재하고, 대부분의 실무자는 시스템을 방어하는 데 진심으로 전념하고 있습니다. 사이버 보안 기업에게 평판은 실제로 매우 중요하며, 큰 내부 위협 사건은 사업을 종결시킬 수 있습니다.

하지만 이 반론은 문제의 규모를 간과하고 있습니다. 사이버 보안 산업은 실무자를 적절히 검증하고 감시할 수 있는 능력보다 더 빠르게 성장하고 있습니다. 인재 부족으로 기업들은 인성 평가보다 기술 역량을 우선시하고 있습니다. 범죄 활동에 대한 경제적 유인은 산업이 상쇄할 수 있는 윤리적 프레임워크를 구축하는 속도보다 더 빠르게 증가하고 있습니다.

가장 중요한 점은, 시장 힘은 문제가 눈에 보인 뒤에야 작동한다는 것입니다. 사이버 보안 분야의 내부 위협 문제는 성공적인 공격이 외부 행위자로 귀속되는 경우가 많아 대체로 눈에 띄지 않습니다. 얼마나 많은 “정교한 외부 공격”이 실제로는 우리가 탐지하지 못한 내부자의 작업일까요?

보안 파트너십에 대한 의미

이 분석의 함의는 조직이 사이버 보안 파트너십에 접근하는 방식에 깊은 영향을 미칩니다. **“최고의 사이버보안 회사를 고용하고 완전히 신뢰한다”**는 전통적인 모델은 더 이상 지속될 수 없습니다.

조직은 자체 인프라에 적용하고 있는 zero‑trust 원칙을 사이버 보안 공급업체에도 적용해야 합니다. 이는 다음을 의미합니다:

  • 컨설턴트 활동에 대한 지속적인 모니터링
  • 제한된 기간 동안만 접근 권한 부여
  • 보안 파트너로부터 발생할 수 있는 내부 위협을 탐지하기 위한 포렌식 준비

보다 근본적으로, 조직은 내부 위협 위험을 사이버 보안 투자에 가격에 반영해야 합니다. 가장 저렴한 사고 대응 업체가 내부 위협 관점에서 가장 위험할 수도 있습니다. 기업은 다음과 같은 어려운 질문을 해야 합니다:

  • 초기 채용 이후 직원들을 어떻게 검증합니까?
  • 어떤 지속적인 모니터링을 수행합니까?
  • 컨설턴트가 고객 네트워크에 무단 지속 접근을 유지하지 못하도록 어떻게 방지합니까?

업계는 또한 내부 위협 가능성이 높은 역할을 위해 특별히 설계된 새로운 전문 표준이 필요합니다. 가능한 조치에는 다음이 포함됩니다:

  • 랜섬웨어 사건을 다룬 후 업계에서 떠나는 사이에 필수적인 냉각 기간 적용
  • 금융 부문에 존재하는 것과 유사한 지속적인 재무 모니터링
  • 범죄 방법론과 밀접하게 작업하는 실무자를 위한 공식적인 윤리 검토 절차

Source:

불편한 진실

사이버보안 산업은 스스로를 디지털 경제의 면역 체계라고 자리매김하고 싶어합니다. 하지만 면역 체계도 자신이 보호해야 할 시스템을 공격하는 자가면역 질환을 겪을 수 있습니다.

Goldberg‑Martin 사건은 나쁜 개인이 잘못된 선택을 한 이야기가 아닙니다. 이는 산업 자체가 보안 요구사항과 근본적으로 호환되지 않는 비즈니스 모델을 구축한 이야기입니다. 우리는 범죄 기술에 대한 깊은 지식을 필요로 하는 역할을 만들고, 그 역할에 중요한 시스템에 대한 전례 없는 접근 권한을 부여한 뒤, 전문 윤리와 시장 메커니즘에 의존해 남용을 방지하려 했습니다. 이 접근 방식이 통했던 이유는 산업이 비교적 젊고, 범죄 활동에 대한 경제적 유인이 다른 기회에 비해 미미했기 때문입니다. 랜섬웨어 지불액이 계속 증가하고 사이버보안 전문가들이 공격 방법론을 더 정교하게 이해하게 되면서, 구조적 문제는 더욱 악화될 것입니다.

다음 Goldberg‑Martin 사건은 if가 아니라 when의 문제입니다. 사건이 발생하면, 우리는 그런 배신을 가능하게 할 뿐만 아니라 필연적으로 만들었던 시스템을 만든 우리 자신을 비난할 수밖에 없습니다.

문제는 사이버보안 전문가를 신뢰할 수 있느냐가 아니라, 그들을 관리하기 위해 우리가 만든 시스템을 신뢰할 수 있느냐입니다.

Tags

  • cybersecurity
  • insider‑threats
  • ransomware
  • incident‑response
  • security‑industry
Back to Blog

관련 글

더 보기 »