AI 솔루션 중견기업의 보안 현황을 7개 도메인에 걸쳐 진단했습니다. 방화벽 전 포트 오픈, SIEM 부재, MFA 미적용 — DREAD 위협 분석으로 13개 위협의 우선순위를 매기고, 보안 성숙도 Level 1에서 Level 3까지 끌어올릴 12개월 로드맵을 수립한 IT 팀장의 실전 경험을 공유합니다.
SERIES
중견기업 통합 보안 아키텍처 설계 실전기
1편. 보안 진단에서 드러난 민낯 ← 현재 글
2편. Zero Trust와 Defense in Depth — 현실에 맞는 보안 아키텍처 설계
3편. 48시간 긴급 대응부터 12개월 로드맵까지
4편. ISO 27001 인증, 12개월 만에 가능할까
"우리 회사 보안, 괜찮은 거 맞죠?"
경영진으로부터 이 질문을 받았을 때, 저는 자신 있게 "네"라고 대답할 수 없었습니다. 방화벽이 있고, VPN으로 거점을 연결하고 있으니 "기본은 하고 있다"고 생각했지만, IPO를 앞두고 체계적인 보안 진단을 처음으로 수행했을 때 그 "기본"이 사실상 무방비 상태였다는 걸 알게 되었습니다.
매출 수백억 규모의 AI 솔루션 기업에서 통합 보안 아키텍처를 설계하면서 수행한 보안 현황 진단 경험을 공유합니다. "우리 회사도 비슷하지 않을까?" 생각이 드시는 분이 있다면 — 아마 맞을 겁니다.
왜 보안 진단을 하게 되었는가
계기는 세 가지였습니다. IPO 준비(ISMS/ISO 27001 인증 필요인데 보안 정책서 한 장 없는 상태), 고객사의 보안 요구 강화("너네가 해킹당하면 우리 생산 데이터도 유출되는 거 아니냐"), 그리고 보안 담당자로서의 직감 — 다수의 거점과 GPU 서버를 운영하면서도 방화벽 정책을 제대로 검토한 적이 없었습니다.
그래서 NIST, CIS Controls v8, ISO 27001을 프레임워크로 삼아 7개 보안 도메인의 전수 진단을 시작했습니다.
7개 도메인 진단 결과: 충격적 현실
보안 현황 진단 결과 — 7개 도메인 중 Critical 2개, High 4개
7개 도메인 중 Critical 2개, High 4개, Medium 1개. 사실상 보안 체계가 없는 상태였습니다.
네트워크 보안 (Critical)
거점마다 배치된 FortiGate 방화벽이 인바운드/아웃바운드 전 포트 오픈 상태였습니다. 물리적으로는 존재하지만 논리적으로는 없는 것이나 마찬가지. 네트워크 세그멘테이션도 전무해서 VLAN 구분 없는 플랫 네트워크 구조였습니다. 사무실 PC 한 대가 감염되면 GPU 서버까지 한 번에 도달 가능한 상태. DMZ도 없어서 외부 서비스 추론 API가 내부 네트워크와 직접 연결되어 있었습니다.
핵심 발견
방화벽 전 포트 오픈 + 세그멘테이션 부재 + DMZ 없음 = 인터넷에서 내부 GPU 서버까지 직행 가능
모니터링 & 탐지 (Critical)
SIEM 없음. IDS 없음. NDR 없음. 탐지 역량 약 5%. 누군가 지금 이 순간 데이터를 빼가도 알 수 있는 방법이 없었습니다. 방화벽 로그가 저장은 되고 있었지만 아무도 보지 않았고, 서버 로그는 각각 분산되어 상관 분석이 불가능했습니다.
그 외 도메인 (High)
| 보안 영역 | 현재 상태 | 핵심 문제 |
|---|---|---|
| 엔드포인트 | Windows Home, EDR 미배포 | AD 미사용, 패치 관리 부재 |
| IAM & 접근제어 | MFA 전직원 미적용 | Super Admin조차 비밀번호만 |
| 데이터 보호 | 분류 체계/암호화 없음 | 백업 체계 전무 |
| 앱 보안 | SDLC/WAF/SAST 없음 | 코드 저장소 외부 노출 |
DREAD 위협 분석: 어디부터 손대야 하는가
현황 파악 다음은 우선순위입니다. STRIDE 모델로 위협을 식별하고, MITRE ATT&CK에 매핑한 뒤, DREAD 방법론(Damage, Reproducibility, Exploitability, Affected Users, Discoverability — 각 1~10점, 평균이 위협 점수)으로 정량화했습니다.
DREAD 위협 우선순위 분석 — 상위 6개가 모두 Critical(8.0 이상)
1위 — 방화벽 전 포트 오픈 (9.4점): Shodan에서 검색하면 열린 포트가 바로 드러나고(D=10), 누구나 접근 가능하고(E=9), 전체 인프라가 영향권(A=10). Nmap 한 번이면 내부 서비스 목록이 노출되는 상태였습니다.
2위 — 소스코드 관리 시스템 외부 노출 (9.2점): 진단에서 가장 등골이 서늘했던 발견. 지방 거점의 GitLab이 VPN 없이 인터넷에 직접 노출. AI 모델 소스코드, 학습 파이프라인, 고객 프로젝트 코드가 전부 이 서버에. 발견 즉시 48시간 내 긴급 차단했습니다.
3위 — 플랫 네트워크 측면이동 (9.0점): PC 1대 장악 → 추가 공격 없이 GPU 서버, DB, 파일 서버 전부 접근 가능. Lateral Movement 방어가 제로.
위협 행위자 분석에서는 랜섬웨어 그룹(백업 없는 상태에서 사업 자체가 멈춤), 국가 지원 APT(AI 모델/학습 데이터 탈취), 내부자 위협(DLP 부재로 탐지 불가)이 주요 위협으로 식별됐습니다.
위협 행위자 리스크 맵 — 영향도 vs 발생가능성
4가지 설계 전제: "이미 뚫렸을 수 있다"
진단 결과를 종합한 뒤, 보안 아키텍처 설계 전에 4가지 전제를 세웠습니다.
전제 1
Assume Breach
방화벽 전 포트 오픈 기간 불명. 이미 침해되었을 가능성을 배제하지 않는다.
전제 2
Zero Barrier
세그멘테이션 없음. 1개 시스템 침해 = 전체 인프라 침해.
전제 3
Blind Defense
SIEM/IDS/NDR 전무. 진행 중인 공격을 탐지할 수단 없음.
전제 4
Supply Chain Risk
고객사에 솔루션 공급 중. 우리 침해 → 고객사 공급망 공격 확대.
경영진에게 보안 투자의 당위성을 설명할 때, "이미 뚫렸을 수 있다"는 Assume Breach 전제는 매우 효과적이었습니다.
현재 vs 목표: 12개월의 여정
보안 핵심 지표 — As-Is(적색) vs 12개월 후 To-Be(청색)
| 항목 | 현재 | 12개월 후 목표 |
|---|---|---|
| 보안 성숙도 | Level 1 | Level 3 |
| 탐지 역량 | 5% | 85% |
| 보안 통제 수 | ~3개 | 47개 |
| 위협 커버리지 | ~10% | 95% |
이 간극을 전담 보안팀 없이, 보안 담당자 1인이 주도해서 좁혀야 합니다. "모든 것을 한꺼번에 할 수 없다"는 현실을 인정하고, 4단계 로드맵(Phase 0: 48시간 긴급 → Phase 1: 3개월 기초 → Phase 2: 6개월 고급 → Phase 3: 12개월 고도화)을 수립했습니다.
이 진단에서 배운 것
"장비가 있다 ≠ 보안이 되고 있다"
방화벽이 있었지만 정책이 없었고, VPN이 있었지만 접속 후 내부는 무방비였고, EDR을 구매했지만 배포하지 않았습니다. 보안은 장비를 사는 것이 아니라 정책을 수립하고 운영하는 것입니다.
그리고 진단하지 않으면 문제를 모릅니다. 수년간 IT를 운영하면서도 방화벽 전 포트 오픈이나 코드 저장소 외부 노출 같은 치명적 문제를 인지하지 못했습니다. 체계적 프레임워크(NIST, CIS, DREAD)를 적용해서야 비로소 전체 그림이 보였습니다.
중견기업 IT 담당자분들에게 권합니다. 지금 당장 방화벽 정책부터 확인해보세요.
NEXT
2편: Zero Trust와 Defense in Depth — 중견기업 현실에 맞는 보안 아키텍처를 설계하다
이 진단 결과를 바탕으로 어떤 보안 아키텍처를 설계했는지 — 8계층 방어 체계, 그리고 예산·인력 제약 속에서 내린 설계 결정들을 다룹니다.
이 글이 도움이 되셨다면 댓글로 여러분의 경험도 공유해주세요.
"우리 회사도 이랬다"는 이야기, 분명 있으실 겁니다. 구독하시면 시리즈의 다음 편을 놓치지 않으실 수 있습니다.
'Security Architecture' 카테고리의 다른 글
| ISO 27001 인증, 12개월 만에 가능할까 — 보안 성숙도 Level 1에서 시작한 인증 여정 (0) | 2026.03.23 |
|---|---|
| 47개 보안 통제를 12개월에 구현하다 — 48시간 긴급 대응부터 로드맵까지 (0) | 2026.03.22 |
| Zero Trust와 Defense in Depth — 중견기업 현실에 맞는 보안 아키텍처를 설계하다 (0) | 2026.03.22 |