[ISDP 2025] 홍석범 크래프톤 CISO “기업 보안 위한 핵심 전략” 제시

“공격자들은 끊임없이 새로운 방법 시도…기업도 이에 맞춰 방어 전략 발전시켜야”

2월 11일, 삼성동 코엑스에서 열린 상반기 최대 보안 컨퍼런스 제13회 정보보호&데이터보안 컨퍼런스(ISDP 2025)에서 크래프톤 홍석범 CISO가 '기업 보안을 위한 요구조건과 해결방안'을 주제로 발표했다. 그는 변화하는 IT 보안 환경에서 기업이 직면한 문제와 이를 해결하기 위한 실무적인 전략을 제시하며 보안 강화의 중요성을 강조했다.

홍석범 CISO는 최근 클라우드 환경이 급속히 확산되면서 보안 담당자들이 변화 속도를 따라가기 어려워졌다고 지적했다. 많은 기업이 여전히 온프레미스 환경에 익숙한 반면, 클라우드 보안 전문가들은 전통적인 서버 보안에 대한 이해도가 부족한 경우가 많아 보안 관리의 어려움을 겪고 있다고 설명했다. 특히, 지능형 지속 위협(APT)과 소셜 엔지니어링 공격이 증가하는 상황에서, 기업이 보안 솔루션을 도입했음에도 불구하고 복잡한 UI와 과도한 이벤트 발생으로 인해 실질적인 보안 효과를 얻지 못하는 사례가 많다고 지적했다.

그는 보안과 규제의 균형을 유지하는 것이 또 다른 도전 과제라고 강조했다. 보안 인력이 부족한 상황에서 기업의 IT 환경은 지속적으로 확장되고 있으며, ISMS-P, GDPR, ISO 등의 규제 요구도 강화되고 있다. 따라서 기업이 효과적으로 보안 사고를 예방하려면 체계적인 보안 전략을 수립하고 실효성 있는 대응책을 마련해야 한다고 말했다.

■MITRE ATT&CK 기반의 보안 접근법

홍 CISO는 보안 위협을 효과적으로 분석하고 대응하기 위해 MITRE ATT&CK 프레임워크를 활용해야 한다고 설명했다. 그는 이 프레임워크를 통해 공격 체인의 특정 단계를 탐지하고 차단할 수 있다면 보안 피해를 최소화할 수 있다고 강조했다. 초기 공격 단계를 차단하는 것이 비용 대비 효율성이 높으며, 중기 이후에는 이상 행동 분석을 통해 위협을 탐지해야 하기 때문에 더욱 어려워진다고 말했다.

그는 특히 초기 접근(Initial Access), 계정 탈취(Credential Access), 권한 상승(Privilege Escalation), 명령 및 제어(Command & Control), 데이터 유출(Exfiltration) 등의 주요 보안 위협을 방어해야 한다고 강조했다. 이를 위해 피싱 메일 차단, 다크웹 모니터링, 시스템 보안 패치 적용, NGFW(차세대 방화벽) 활용, DLP(데이터 유출 방지) 정책 시행 등 다양한 방법을 제안했다.

■제로트러스트(Zero Trust) 접근법의 필요성

이어 보안이 점점 더 복잡해지는 상황에서, 홍 CISO는 제로트러스트(Zero Trust) 모델이 필수적인 전략이 되어야 한다고 말했다. 기존의 수동적인 보안 운영 방식에서 벗어나 자동화된 동적 정책을 적용하는 것이 중요하다는 것이다. 그는 사용자 인증 강화, 디바이스 보안 상태 점검, 네트워크 모니터링, 중요 데이터 암호화 등의 요소를 종합적으로 관리해야 한다고 강조했다.

그는 또한 조건부 액세스(Conditional Access)를 통해 사용자 환경을 실시간으로 평가하고, 토르 네트워크를 통한 접속 차단, 다크웹에서 유출된 계정 모니터링 등의 조치를 병행해야 한다고 설명했다. 이를 통해 보안 위협을 사전에 탐지하고 차단할 수 있는 능력을 갖추는 것이 중요하다고 말했다.

■디바이스 및 애플리케이션 보안 전략

그리고 기업 보안을 강화하기 위해서는 직원들이 사용하는 디바이스의 보안 상태를 철저히 점검해야 한다. 홍 CISO는 VPN 접속 시 보안 공지 팝업을 제공하고, 회사 소유 단말기는 MDM(Mobile Device Management)으로, 개인 단말기는 MAM(Mobile Application Management)으로 관리하는 것이 필요하다고 설명했다. 특히, 직원들의 보안 인식을 높이기 위한 피싱 훈련과 이메일 보안 강화가 필수적이라고 강조했다.

그는 또한 기업이 NGFW, SASE, 웹 콘텐츠 필터링을 통해 위험한 웹사이트 접속을 제한해야 한다고 말했다. 기술적으로 가능한 범위에서 최대한 피싱 공격을 차단하고, 탐지된 악성 이메일을 신속히 격리해 대응하는 것이 효과적인 방법이라고 설명했다.

■네트워크 및 클라우드 보안 강화 방안

네트워크 보안에서는 자산 관리(ASM, Attack Surface Management)가 핵심적인 요소로 작용한다고 강조했다. 그는 Censys, Shodan과 같은 검색 도구를 활용해 관리되지 않는 리소스를 탐지하고, 주기적으로 취약점 점검을 수행하는 것이 필요하다고 말했다. 또한, 클라우드 보안에서는 CSPM(Cloud Security Posture Management)을 활용해 기업의 보안 상태를 점검하고, 보안 허브(Security Hub) 및 위협 탐지 솔루션(GuardDuty)을 적극적으로 활용해야 한다고 설명했다.

서버 인프라 보안에서는 Wazuh 기반의 호스트 침입 탐지 시스템(IDS, IPS)을 적용해 실시간 보안 이벤트를 탐지하고 차단할 수 있도록 하는 것이 중요하다고 밝혔다. 또한, 파일 무결성 검사, 패치 관리, 악성코드 탐지 등의 기능을 통해 기업의 서버 환경을 보다 안전하게 보호할 수 있다고 말했다.

홍석범 CISO는 기업 보안을 효과적으로 운영하기 위한 몇 가지 핵심 원칙을 제시했다. 그는 기업이 각자의 환경에 맞는 보안 정책을 수립하고 배포해야 하며, 어디서든 동일한 보안 수준을 유지해야 한다고 강조했다. 또한, 완벽한 보안이 불가능한 현실을 고려해 모니터링을 강화하고 보안 이벤트를 최적화하는 것이 중요하다고 말했다.

그는 특히 서드파티 SaaS, 외주사, 파트너사에 대한 보안 관리도 간과해서는 안 되며, 보안을 공격자의 관점에서 바라보고 지속적으로 방어 전략을 업데이트해야 한다고 강조했다. 마지막으로 “공격자들은 끊임없이 새로운 방법을 시도하고 있다. 기업도 이에 맞춰 방어 전략을 발전시켜야 한다”며 보안 담당자들에게 주의를 당부했다.

보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.