경험 기반 구체화
보안 시스템 구축 과정에서 가장 흔히 발생하는 문제점은 기술보다 사람과 프로세스에서 생기는 허점이라고 생각합니다. 최신 보안 솔루션을 도입해도 직원의 피싱 메일 클릭 한 번으로 시스템이 뚫리는 경우가 많습니다. 학교 정보보안 수업에서 취약점 분석(Vulnerability Assessment) 사례를 공부했는데, 기술적 취약점보다 사회공학적 공격이 실제 침해 사고의 더 큰 비중을 차지한다는 것이 인상적이었습니다. 두 번째로 흔한 문제는 권한 관리 부실인데, 최소 권한 원칙이 지켜지지 않아 불필요한 사용자가 민감 데이터에 접근하는 상태가 방치되는 경우입니다. 세 번째는 보안 로그 모니터링 부재인데, 침해가 발생해도 로그가 없으면 원인 파악과 대응이 늦어집니다.
보안은 한 번 설정하고 끝나는 것이 아니라 지속적인 점검과 업데이트가 필요한 운영 활동이라고 생각합니다.