Security Architecture

47개 보안 통제를 12개월에 구현하다 — 48시간 긴급 대응부터 로드맵까지

빌드 피벗(Build Pivot) 2026. 3. 22. 15:07
반응형
47개 보안 통제를 12개월에 구현하다 — 48시간 긴급 대응부터 로드맵까지

47개 보안 통제를 4단계 로드맵으로 구현한 실전 경험 — DREAD 위협 점수와 CIS Controls를 기준으로 Phase 0 긴급 대응(48시간)부터 SIEM·WAF·PAM 도입, ISO 27001 인증까지 보안 담당자 1인이 주도한 12개월의 여정을 공유합니다.

SERIES

중견기업 통합 보안 아키텍처 설계 실전기

1편. 보안 진단에서 드러난 민낯

2편. Zero Trust와 Defense in Depth — 현실에 맞는 보안 아키텍처 설계

3편. 48시간 긴급 대응부터 12개월 로드맵까지 ← 현재 글

4편. ISO 27001 인증, 12개월 만에 가능할까

"설계는 끝났습니다. 근데 이걸 언제 다 하죠?"

2편에서 8계층 방어 체계와 Zero Trust 아키텍처를 설계했지만, 47개의 보안 통제를 한꺼번에 구현하는 건 불가능합니다. 전담 보안팀도 없고, AI 서비스를 멈출 수도 없습니다. 결국 무엇을 먼저 하느냐가 설계만큼이나 중요한 의사결정이었습니다.

DREAD 위협 점수와 CIS Controls Implementation Group을 기준으로 4단계 로드맵을 수립한 과정을 공유합니다.


4단계 로드맵: 위험 감소율이 곧 우선순위

로드맵의 원칙은 단순합니다. 가장 위험한 것부터 막는다. DREAD 점수 8.0 이상인 위협을 먼저 제거하고, CIS Controls IG1(필수 사이버 위생)을 100% 달성한 뒤, IG2, IG3으로 확장합니다.

4단계 보안 로드맵 Phase별 통제 수와 누적 위험 감소율 차트
Phase 기간 통제 수 누적 위험 감소 핵심 목표
Phase 0 48시간~1주 11개 60% 즉시 위험 제거
Phase 1 1~3개월 14개 75% 기초 보안 인프라
Phase 2 3~6개월 17개 88% 가시성 확보
Phase 3 6~12개월 5개 95% Zero Trust 고도화

핵심 메시지: Phase 0~1만 완료해도 누적 위험의 75%가 감소합니다. "완벽하지 않아도 된다. 75%를 3개월 안에 달성하자"는 메시지가 경영진 보고에서 가장 효과적이었습니다.


Phase 0: 48시간 긴급 대응 — "지금 당장"

Phase 0은 DREAD 8.0 이상, 즉 내일이라도 사고가 터질 수 있는 위협을 즉시 제거하는 단계입니다. 모든 작업은 업무 외 시간에 수행하고, 반드시 롤백 계획을 준비한 후 실행했습니다.

1순위 — 소스코드 관리 시스템 외부 차단

1편에서 언급한, 인터넷에 직접 노출된 GitLab. AI 모델 소스코드가 담긴 이 서버를 발견 즉시 방화벽에서 외부 접근을 차단했습니다. DREAD 9.2점, 지체할 이유가 없었습니다.

2순위 — 방화벽 Deny-All 전환

전 포트 오픈이었던 방화벽을 Deny-All + 화이트리스트 기반으로 전환. 사전에 허용 트래픽을 조사하고, 각 거점별로 필요한 포트만 열었습니다.

3순위 — EDR 전사 배포

SentinelOne EDR을 모든 PC와 서버에 배포. Critical 위협 탐지 시 자동 네트워크 격리까지 설정했습니다.

4순위 — MFA 전직원 적용

Google Workspace 전 계정에 MFA를 강제 적용. Super Admin은 FIDO2 물리 보안키를 의무화했습니다.

5순위 — IPS 활성화

FortiGate에 이미 포함된 IPS/UTM 라이선스를 활성화. 추가 비용 0원으로 네트워크 탐지 역량을 확보했습니다.

이 5개 작업으로 누적 위험의 60%를 제거했습니다.


Phase 1: 기초 보안 인프라 (1~3개월)

Phase 0이 "응급 처치"였다면, Phase 1은 "기초 체력 만들기"입니다.

Phase별 예방·탐지·대응 보안 역량 성장 곡선 차트

네트워크 세그멘테이션

데이터센터를 6개 Zone으로 분리, Zone 간 Default Deny + 화이트리스트. 플랫 네트워크에서 "PC 1대 감염 = 전사 침해"였던 구조를 끊어냈습니다.

호스트 방화벽 전면 적용

서버마다 개별 방화벽 규칙 적용. GPU 학습 서버는 SSH(관리망만), Jupyter(개발망만), NFS(스토리지만) 허용, 나머지 전부 DROP.

백업 체계 구축 (3-2-1 + Immutable)

로컬(일일) + 오프사이트(주간) + Immutable(월간, Object Lock 30일)로 3-2-1 원칙 완성. 랜섬웨어 대비 최후의 보루.

데이터 분류 및 RBAC

4단계 분류 체계 + 9개 역할 정의. 입사 시 자동 프로비저닝, 퇴사 시 24시간 내 전 계정 비활성화.

Phase 1 완료 후 탐지 역량은 5% → 30%, 누적 위험 감소는 75%에 도달했습니다.


Phase 2: 가시성 확보 (3~6개월)

Phase 2의 핵심은 한마디로 "보이게 만드는 것"입니다.

SIEM 구축 (Wazuh)

상용 SIEM 대신 오픈소스 Wazuh를 선택했습니다. 서버 1대(4 vCPU, 8GB RAM)로 시작해서, 7개 로그 소스를 단계적으로 연동. 19개 탐지 규칙을 구현했습니다.

WAF + NAC + PAM 도입

추론 API에 WAF를 배치하고(OWASP Top 10 차단), 802.1X NAC으로 비인가 디바이스를 차단하고, PAM(Teleport + Vault)으로 관리자 접근을 통제했습니다. 모든 관리 세션이 녹화되고, 관리자는 실제 비밀번호를 모르는 구조(Vault 자동 주입)를 만들었습니다.

보안 담당자 1명 충원

Phase 2부터는 1인 체제로는 한계가 명확했습니다. SIEM 운영, 탐지 규칙 관리, 위협 헌팅, IR 1차 대응을 담당할 전담 인력을 확보했습니다.

Phase 2 완료 후 탐지 역량은 70%, MTTD(평균 탐지 시간)는 "탐지 불가"에서 약 1시간으로 단축되었습니다.


Phase 3: Zero Trust 고도화 (6~12개월)

마지막 단계는 VPN을 ZTNA(Zero Trust Network Access)로 대체하고, UEBA/SOAR 자동 대응을 구현하며, ISO 27001 인증을 추진하는 것입니다.

🔐

ZTNA 도입

VPN의 "접속 = 내부 신뢰" 모델을 폐기. 리소스별 접근 제어로 전환.

🧠

UEBA

6개월 축적 데이터로 행위 기준선 학습, 비정상 행위 자동 탐지.

📋

ISO 27001

47개 통제를 Annex A 93개 항목에 매핑 → 인증 심사 → 취득.


로드맵 수립에서 배운 것

"100%를 목표로 하면 0%로 끝난다"

47개 통제를 한꺼번에 구현하려고 하면 어디서부터 시작해야 할지 모르고, 진행 상황도 보이지 않고, 결국 아무것도 하지 못합니다. Phase 0의 5개 작업을 48시간 안에 끝내고 "우리가 60%를 잡았다"고 보고하는 것이, 6개월짜리 마스터 플랜을 세우는 것보다 훨씬 효과적이었습니다.

그리고 모든 변경에는 롤백 계획이 필수입니다. 방화벽 Deny-All 전환 후 특정 서비스가 안 되는 상황이 발생했을 때, 5분 안에 원복할 수 있는 준비가 되어 있었기에 업무 중단 없이 넘길 수 있었습니다.


NEXT

4편. ISO 27001 인증, 12개월 만에 가능할까

로드맵의 마지막 마일스톤인 ISO 27001 인증. 보안 성숙도 Level 1에서 시작한 중견기업이 12개월 만에 국제 인증을 취득할 수 있을까? 인증 준비 과정과 현실적인 타임라인을 다음 편에서 다룹니다.

이 글이 도움이 되셨다면 댓글로 여러분의 경험도 공유해주세요.

"우리 회사는 보안을 이렇게 단계적으로 구축했다"는 이야기, 환영합니다.

구독하시면 시리즈의 다음 편을 놓치지 않으실 수 있습니다.

반응형