취약점 점검과 실제 공격은 목적도, 방식도, 시각도 다릅니다. 그 차이가 곧 점검의 빈틈입니다. 실무에서 반복적으로 확인되는 여섯가지를 짚어보겠습니다.

1. 점검 받는 범위와 실제 공격자의 범위는 다릅니다.

취약점 점검은 범위가 정해집니다. 일정이 공지되고, 대상 시스템이 합의되며, 운영에 영향을 줄 만한 민감한 자산은 종종 범위에서 제외됩니다. 점검을 안정적으로 수행하기 위한 합리적인 선택입니다.

그러나 실제 공격자에게는 그런것들이 존재하지 않습니다. 점검 대상에서 빠진 레거시 서버, 외주 개발 후 인수인계가 끊긴 시스템, 임시로 띄워두고 잊어버린 서비스, 잠시 열어 두었던 포트까지 이 모든 것이 실제 침투 경로가 됩니다. 엔키화이트햇의 레드팀 프로젝트에서도 정작 침투의 시작점이 된 자산은 취약점 점검 범위 어디에도 속해있지 않았던 경우가 많습니다. 점검은 우리가 보여주려는 곳을 보고, 공격자는 우리가 잊은 곳을 봅니다.

2. 점검은 ”체크리스트”, 공격은 “시나리오”입니다.

취약점 점검은 본질적으로 한계가 존재합니다. 알려진 취약점 목록과 시스템을 항목별로 맞춰보고 그 결과를 정리합니다.

레드팀은 항목을 채우는 것이 아니라 목표를 달성합니다. 고객 데이터 탈취, 영업기밀 접근, 결제·이체 조작, 서버 장악이라는 목표를 가지고 실제 공격자의 전술·기법·절차(TTP)를 그대로 재현하며 개별적으로는 낮음으로 판정된 취약점들을 하나의 공격으로 엮습니다. 서비스 정보가 조금 노출되는 결함, 권한 검증이 느슨한 지점, 내부망에서 불필요하게 열려있는 포트를 순서대로 연결하면 외부에서 핵심 데이터까지 도달하는 경로가 완성됩니다. 체크리스트는 구조적으로 이 조합을 찾지 못합니다. 항목 하나하나는 모두 “양호” 또는 “낮음” 이였는데 시나리오로 엮으면 “치명”이 되는 것, 이것이 점검과 공격의 가장 큰 차이입니다.

3. 점검은 한 시점이고, 공격은 지속입니다.

분기·반기 점검은 본질적으로 순간의 사진 한 장과 같습니다. 그러나 오늘날의 시스템은 하루에도 여러번 배포되고 설정이 운영중에도 조금씩 변합니다.

지난 점검과 다음 점검 사이의 긴 공백동안 생긴 업데이트와 새 자산은 사실상 무방비 상태입니다. 변화의 주기는 분 단위가 되었는데 검증의 주기는 여전히 분기 또는 반기 단위입니다. 점검 직후 추가된 API 하나, 급하게 연 방화벽 정책 하나가 다음 점검까지 수개월간 검증없이 노출되는 구조이지요. 이 간극이 치명적인 취약점이 발생하는 시작점입니다.

4. 취약점 점검은 시스템만 보고, 사람과 프로세스는 보지 않습니다.

취약점 점검은 시스템을 봅니다. 그러나 실제 침해사고의 시작점은 피싱 메일 한 통, 권한 관리가 허술한 협력업체 계정, 신뢰를 악용하는 사회공학인 경우가 많습니다.

이는 데이터로도 확인됩니다. 매년 발표되는 글로벌 침해 분석 보고서들은 침해사고의 상당수가 피싱, 도용된 자격증명, 내부자 권한 관리 미흡처럼 “사람”을 경유한다는 사실을 반복적으로 보여주고 있습니다. 그러나 이런 경로는 어떤 시큐어코딩 가이드에서도 “취약”으로 잡히지 않습니다. 레드팀은 사람, 프로세스, 시스템 모든 것을 하나의 공격 표면으로 통합해 검증합니다.

5. '막을 수 있는가'는 보지만 '알아챌 수 있는가'는 보지 않습니다

취약점 점검은 "구멍이 있는가"를 묻습니다. 그러나 더 중요한 점은 "누군가 침입했을 때 우리가 그것을 알아챌 수 있는가"입니다.

많은 기업이 취약점 점검을 통해 초기 침투는 차단합니다. 그런데 일단 한 발이 들어온 뒤에는 내부에서 옆으로 이동하고, 권한을 상승하고, 데이터를 모아 외부로 유출하는 과정에서 탐지에 실패하는 경우가 대부분입니다. 한 건의 침해를 식별하고 대응하기까지 여전히 평균 수십, 수백 일이 걸린다는 것은 많은 조직이 '막기'에 투자한 만큼 '알아채기'에는 투자하지 못했음을 드러냅니다. 실제로 공격자가 며칠에 걸쳐 내부를 휘젓는 동안 보안관제에 단 한 건의 알람도 발생하지 않는 일이 대다수 입니다. 침투 가능성과 탐지·대응 역량을 동시에 검증하는 것 이것이 레드팀의 핵심 가치입니다.

6. “양호 리포트”가 만드는 안심의 함정

마지막은 기술이 아니라 조직의 문제입니다. 매년 “양호” 리포트가 쌓이면 "우리는 점검을 받는 회사"라는 안전의 서사가 생깁니다. 더 근본적인 원인은 평가의 방향에 있습니다. 윗선과 상위 기관이 “얼마나 심각한 취약점을 찾았는가”보다 “체크리스트를 모두 만족했는가”를 먼저 묻는 한, 조직 전체는 위험을 찾아내는 쪽이 아니라 “양호”를 받아내는 쪽으로 최적화됩니다. 점검 벤더 역시 관계를 이어가야 하는 입장에서 불편한 결론을 강하게 제시할 동기가 크지 않습니다.

레드팀이 독립적이고 적대적인 시각으로 존재하는 이유가 여기에 있습니다. 관계가 아니라 결과로 평가받는 검증만이 보고서에 가려진 진짜 위험을 드러냅니다.