1️⃣ 사고는 “미설정”이 아니라 “방치”에서 난다
실제 사고 패턴은 거의 이렇습니다.
- 초기에는 설정돼 있었음
- 담당자 변경
- 프로젝트 종료
- 예외 처리 추가
- 긴급 대응 후 원복 안 됨
👉 보안은 꺼진 게 아니라 ‘잊힌 상태’에서 터집니다.
2️⃣ 보안 설정의 수명은 사람보다 짧다
- 계정 만료 ❌
- 방화벽 규칙 누적
- 임시 포트 상시화
- 테스트용 계정 운영 반영
- 로그 적재 중단
이 중 의도적으로 취약하게 만든 건 거의 없음
대부분은 “나중에 정리하자”입니다.
3️⃣ 그래서 보안은 설정 문제가 아니라 운영 문제
보안이 무너지는 순간은 이때입니다.
- 누가 책임자인지 모를 때
- 왜 이 설정이 있는지 모를 때
- 언제 제거해야 하는지 모를 때
즉,
보안 설정은 기술이 아니라
책임과 시간의 문제다
4️⃣ 살아있는 보안의 최소 조건
✔ 보안은 상태가 아니라 프로세스여야 한다
- 정기 점검 주기
- 변경 이력
- 예외 만료일
✔ “왜 열려 있는지” 설명 가능해야 한다
- 설명 못 하면 취약점
✔ 자동화보다 중요한 건 가시성
- 다 열려 있으면 아무도 안 본다
- “이상”이 보이게 만드는 게 핵심
5️⃣ 현업용 한 줄 번역
- “보안 다 돼 있습니다” ❌
- “이 설정을 누가, 언제, 왜 유지하고 있는지 설명 가능합니다” ⭕
한 줄 결론
보안은 켜는 기술이 아니라
잊지 않게 만드는 구조다.
LIST
'Developer > Security' 카테고리의 다른 글
| 정보보안기사 (0) | 2026.02.09 |
|---|---|
| 보안의 기본 3요소: 공격 유형과 인증 방식, 그리고 SEED 암호 알고리즘 (0) | 2026.02.09 |
| 가장 위험한 취약점은 ‘설마’라는 가정이다 (0) | 2026.02.06 |
| 완벽한 보안은 없다. 대신 탐지와 복구 속도가 있다 (0) | 2026.02.06 |
| 보안은 기능이 아니라 기본값이다 (0) | 2026.02.06 |