경험 중심 1인칭 답변
보안 관련 수업 과제에서 중소 규모 조직의 보안 이니셔티브 계획안을 작성하는 프로젝트를 진행했습니다. 저는 현재 보안 위협 표면을 먼저 파악하는 것에서 시작했습니다. 자산 목록, 접근 권한, 취약점 스캔 결과를 조합해 가장 노출도가 높은 영역을 위험 매트릭스로 시각화했습니다. 이 단계에서 중요한 것은 모든 곳을 동시에 강화하려 하면 자원이 분산되기 때문에, 리스크 기반으로 우선순위를 정해야 한다는 것입니다. 실행 단계에서는 기술 통제(접근 제어, 로그 모니터링)와 운영 통제(정기 교육, 인시던트 대응 절차)를 병행했고, 각 조치가 어떤 위협을 완화하는지 매핑해 효과를 측정 가능하게 만들었습니다.
보안 이니셔티브는 기술보다 조직의 행동 변화를 함께 설계해야 지속됩니다. 앞으로도 리스크 기반 우선순위 설정과 기술·운영 통제를 병행하는 방식으로 보안 이니셔티브에 임하겠습니다. 보안은 기술만으로 작동하지 않고, 조직 행동 변화를 함께 설계해야 지속됩니다.