[보안칼럼]기술은 시작일 뿐…보안의 진짜 승부는 '운영'에서 갈린다

권영목 파고네트웍스 대표

Preemptive. Proactive. Containment.

지금 이 순간, 전 세계 보안 전략은 이 세 단어로 수렴되고 있다. 기술의 종류나 성능보다 중요한 것은, 위협을 얼마나 먼저 감지하고(Preemptive), 능동적으로 대응하며(Proactive), 피해 확산을 얼마나 효과적으로 차단할 수 있는지(Containment)다. 핵심은 결국 '운영'이다.

이 같은 흐름은 올해 4월 미국 샌프란시스코에서 개최된 RSA 콘퍼런스 2025와 6월 워싱턴D.C.에서 열린 '가트너 시큐리티 & 리스크 매니지먼트 서밋 2025'에서도 명확하게 확인됐다. 두 행사 모두 인공지능(AI) 기반 탐지, 자동화, 통합 플랫폼 등 기술 트렌드를 다뤘다. 또 실제 보안 효과를 논하는 다수 세션에선 “기술 도입만으로는 위협을 막을 수 없다”는 메시지가 반복됐다. RSAC 2025 기조연설에서는 보안 대응의 핵심 요소로 맥락(Context), 연결성(Connection), 협업(Collaboration)을 제시했고, 가트너는 CTEM(Cyber Threat Exposure Management) 모델을 통해 지속적인 위협 노출 평가와 운영 중심 대응 전략의 중요성을 강조했다.

국내 보안 환경도 크게 다르지 않다. 엔트포인트탐지·대응(EDR), 네트워크탐지·대응(NDR), 확장형탐지·대응(XDR) 등 첨단 솔루션이 도입됐지만, 여전히 탐지 이후의 대응 흐름은 자주 끊긴다. 로그는 쌓이지만 해석은 이뤄지지 않고, 기술은 존재하지만 이를 실행으로 연결하는 구조가 부족하다. 문제는 기술의 성능이 아니라 그 기술을 실제로 운영하고 연계할 수 있는 체계 부재에 있다.

이 같은 현실은 최근 열린 국내외 보안 실무자 대상 콘퍼런스에서도 공통적으로 지적됐다. 단편적인 기술의 조합만으로는 지속적이고 신뢰할 수 있는 보안을 기대하기 어렵고, 탐지 기술과 인력, 정책, 의사결정 체계가 유기적으로 연결된 실행 구조 없이 실질적 대응은 불가능하다는 인식이 확산하고 있다.

바로 여기서 관리형탐지·대응(MDR)의 전략적 가치가 분명해진다.

오늘날 MDR은 보안 자산과 탐지 기술, 인력과 대응 정책을 통합하고, 이를 자동화 기반의 일관된 운영 체계 위에서 구현하는 실행 중심 보안 모델로 진화하고 있다. 예를 들어 엔드포인트보호플랫폼(EPP), EDR, NDR, 오픈(Open) XDR, 다크웹 인텔리전스, 공격표면관리(ASM), 침투 테스트(Pen Test) 등 다양한 보안 스택을 전술적으로 통합하고, 조직별 위협 시나리오에 따라 설계된 대응 전략을 전문 분석가들이 24/7(하루 24시간 일주일 내내)로 운영하는 구조가 대표적이다. 이러한 방식은 단순한 기술 연계가 아니라, 보안 실행력을 끌어올리는 실제 운영 역량의 구현이다.

결국, 보안의 진짜 경쟁력은 기술을 얼마나 갖췄느냐가 아니라 그 기술을 얼마나 유기적이고 일관되게, 맥락에 맞게 운영할 수 있느냐에 달려 있다.

무엇을 도입하느냐보다 어떻게 실행하느냐, 그리고 기술보다 운영, 탐지보다 대응이 중요하다.

보안의 본질은 변하지 않았지만 그 무게중심은 분명히 이동하고 있다. 기술은 출발선일 뿐이다. 진짜 승부는 운영이라는 트랙 위에서 갈린다.

권영목 파고네트웍스 대표 paul.kwon@pagonerworks.com