완벽한 보안 계획이 지켜지지 않는 것보다, 평범한 보안 습관이 매일 지켜지는 것이 낫습니다. 보안은 영웅적 노력이 아니라 지속 가능한 루틴입니다.
들어가며: 보안은 목적지가 아니라 길이다
이 책의 마지막 본문에 도달했습니다. 1부에서 우리는 위협의 지형을 그렸고, 2부에서 공격면을 줄였으며, 3부에서 통신을 보호하고, 4부에서 자신을 검증했으며, 5부에서 침해를 가정하고 사람과 물리를 다뤘습니다. 방대한 내용이었습니다. 그리고 바로 그 방대함이, 이 마지막 장이 답해야 할 질문을 던집니다. 이 모든 것을, 어떻게 지속할 것인가.
이 책의 다섯 번째 원칙은 처음부터 말해 왔습니다. 보안은 과정이지 상태가 아니라고. 이 장은 그 원칙에 정면으로 답합니다. 오늘 이 책의 모든 것을 완벽하게 적용했다 해도, 내일이면 새 취약점이 나오고(4장), 시스템이 변하고(5장), 새로운 공격 기법이 등장합니다(3장). 한 번 완벽하게 설정하고 잊는 보안은 존재하지 않습니다. 보안은 도달하면 끝나는 목적지가 아니라, 계속 걸어야 하는 길입니다.
그런데 여기에 현실적인 어려움이 있습니다. 이 책의 많은 독자는 거대한 보안 팀을 가진 조직이 아닙니다. 1인 개발자, 소규모 스타트업의 유일한 기술 담당자, 한정된 자원으로 많은 것을 책임지는 사람입니다. 그들에게 "이 모든 것을 매일 지속하라"는 말은 비현실적으로 들릴 수 있습니다. 시간도, 인력도, 예산도 부족하니까요.
이 장은 바로 그 현실에 답합니다. 한정된 자원으로 보안을 지속 가능하게 운영하는 법, 무엇을 우선하고 무엇을 자동화할 것인가, 비용 대비 효과를 어떻게 따질 것인가, 그리고 어디까지 직접 하고 어디서부터 외부에 맡길 것인가입니다. 그리고 이 책의 여섯 번째 원칙 — 공격이 자동화되면 방어도 자동화되어야 한다 — 이 여기서 가장 구체적으로 실현됩니다. AI와 자동화가, 부족한 자원의 한계를 메우는 핵심 수단이기 때문입니다.
15.1 지속 가능성의 원칙: 영웅이 아니라 시스템
먼저 지속 가능한 보안의 근본 사고방식을 정리하겠습니다.
영웅적 노력은 지속되지 않는다
보안에 처음 관심을 가진 사람들이 흔히 빠지는 함정이 있습니다. 한꺼번에 모든 것을 완벽하게 하려는 것입니다. 며칠 밤을 새워 모든 설정을 강화하고, 모든 취약점을 점검하고, 완벽한 보안 상태를 만듭니다. 그리고 — 지칩니다. 그 강도를 유지할 수 없어 손을 놓고, 시간이 지나며 보안 상태는 다시 무너집니다.
이것이 영웅적 노력의 함정입니다. 한 번의 거대한 노력은 인상적이지만 지속되지 않습니다. 그리고 보안은 한 번의 노력이 아니라 지속성을 요구합니다(원칙 5). 그래서 지속 가능한 보안의 첫 번째 원칙은 이것입니다. 영웅적 노력에 의존하지 말고, 지속 가능한 시스템을 만들라.
평범하지만 매일 지켜지는 습관이, 완벽하지만 지켜지지 않는 계획보다 낫습니다. 매주 자동으로 돌아가는 점검이, 1년에 한 번 영웅적으로 하는 전면 감사보다 낫습니다. 지속 가능성이 완벽함보다 중요합니다.
우선순위: 모든 것이 똑같이 중요하지 않다
한정된 자원으로 모든 것을 동시에 할 수는 없습니다. 그렇다면 우선순위가 필요합니다. 다행히 이 책 전체가 우선순위의 단서를 제공해 왔습니다.
가장 먼저 해야 할 것은, 가장 흔한 공격을 막는 기본기입니다. 2장에서 보았듯, 대부분의 공격은 무차별·저역량 사분면에 있고, 기본기만으로 막힙니다. 1장의 다섯 표적(노출 설정 파일, .git, CMS·관리 패널, SSH 무차별 대입, n-day)을 막는 것, 즉 포트를 닫고(6장), SSH를 공개키 전용으로 하고(7장), TLS를 제대로 설정하고(8장), 노출된 파일을 차단하고(11장), 신속히 패치하는 것(4장)입니다. 이 기본기가 가장 큰 효과를, 가장 적은 노력으로 줍니다.
그다음은 침해를 가정한 대비입니다. 특히 백업(13장)입니다. 백업은 적은 노력으로 큰 회복력을 주는, 비용 대비 효과가 가장 높은 대비 중 하나입니다.
이렇게 효과가 크고 노력이 적은 것부터 시작하여, 점차 확장하는 것이 현실적입니다. 완벽을 목표로 마비되지 말고, 가장 중요한 것부터 하나씩 하십시오.
작게 시작하여 꾸준히 확장하라
지속 가능성의 또 다른 핵심은 점진성입니다. 처음부터 완벽한 보안 운영 체계를 구축하려 하지 마십시오. 가장 중요한 것 하나를 제대로 하고, 그것이 자리 잡으면 다음을 더하는 식으로 꾸준히 확장하는 것이, 한꺼번에 모든 것을 시도하다 지치는 것보다 낫습니다. 보안은 단거리 경주가 아니라 장거리 여정입니다.
15.2 패치 관리: 가장 중요한 일상 루틴
지속 가능한 보안 운영에서 가장 중요한 일상 루틴 하나를 꼽으라면, 그것은 패치 관리입니다. 4장에서 보았듯, 패치되지 않은 n-day 취약점(이미 패치가 나왔지만 아직 적용하지 않은 곳이 남아 있는 알려진 취약점)이 침해의 압도적 다수를 차지하기 때문입니다.
왜 패치가 핵심인가
4장의 교훈을 다시 떠올리십시오. 당신을 실제로 무너뜨리는 것은 화려한 0-day가 아니라, 패치가 나왔는데도 적용하지 않은 흔한 n-day입니다. "막을 수 있는데 막지 않아서 뚫리는 것"이 현실의 침해입니다. 해마다 전 세계 침해 사고를 집계하는 Verizon 데이터 침해 조사 보고서(DBIR)를 보면, 이미 알려진 취약점의 악용이 매년 침해의 주요 경로로 반복해 등장합니다. 대표적인 예가 Citrix Bleed(CVE-2023-4966)입니다. 패치가 분명히 나와 있었는데도 적용을 미룬 곳들이 대규모로 털렸습니다. 그리고 3장에서 보았듯, AI가 취약점의 무기화를 가속하면서 패치의 골든타임은 점점 짧아지고 있습니다. 2026년 현재, 신속한 패치는 선택이 아니라 생존의 문제입니다.
그런데 패치는 지루하고 반복적인 일입니다. 새 취약점이 나왔는지 확인하고, 그것이 자신에게 해당하는지 판단하고, 패치를 적용하고, 문제가 없는지 확인하는 일을 끊임없이 반복해야 합니다. 이 지루한 반복을 사람의 의지력에만 맡기면, 머지않아 미뤄지고 잊힙니다. 그래서 패치 관리야말로 자동화가 가장 필요한 영역입니다.
패치 관리를 루틴으로
패치 관리를 지속 가능하게 만드는 방법은 다음과 같습니다.
먼저, 인벤토리를 기반으로 합니다(5장). 무엇을 쓰는지 알아야 무엇을 패치해야 할지 압니다. 4장의 우선순위화 5단계가 인벤토리에서 출발했던 것을 기억하십시오.
다음으로, 자동화를 활용합니다. 보안 업데이트를 자동으로 확인하고, 가능한 경우 자동으로 적용하도록 합니다. 1인·소규모 팀이라면 지금 당장 켤 수 있는 것부터 시작하면 됩니다. 운영체제의 보안 업데이트는 자동으로 받아 두고(예: 데비안·우분투 계열의 unattended-upgrades — 보안 패치만 골라 자동 설치하는 기본 기능), 코드 저장소를 쓴다면 의존성 취약점을 자동으로 추적하는 장치를 켜 둡니다. 깃허브라면 Dependabot 경고를, 그 데이터의 원천인 OSV(osv.dev)와 GitHub Advisory Database를 기반으로 자동으로 받을 수 있고, 평소에는 npm audit·pip-audit·composer audit 한 줄이면 지금 쓰는 패키지 중 취약한 것을 즉시 알려 줍니다. 다만 6장의 안전 원칙처럼, 자동 적용이 서비스를 망가뜨리지 않도록 신중해야 합니다. 중요한 시스템에서는 자동 확인과 제안까지는 자동화하되, 적용은 검토 후에 하는 균형이 필요합니다(부록 E의 발견과 적용 분리). 내가 운영하는 서버들에서도, OS 보안 패치는 자동으로 돌게 두지만 애플리케이션 핵심 버전 업그레이드는 항상 점검 시간을 따로 잡아 손으로 확인합니다 — 자동화가 편한 만큼, 되돌리기 어려운 변경은 사람이 봐야 마음이 놓이더군요.
그리고 우선순위를 적용합니다. 모든 패치가 똑같이 급한 것은 아닙니다(4장 4.2). 외부에 노출되고 실제 악용되는 취약점의 패치를 최우선으로, 나머지는 정기 주기로 처리합니다. "실제 악용 여부"는 CISA KEV(실제 악용 취약점 카탈로그)에 올라 있는지로 빠르게 확인할 수 있습니다. 여기 오른 항목 중 당신이 쓰는 제품이 있다면, 점수와 무관하게 "오늘" 처리 대상입니다.
마지막으로, 신속성을 유지합니다. 고위험 취약점은 골든타임 안에 처리해야 합니다. "다음 정기 점검 때"의 여유가 사라졌음을 기억하십시오.
15.3 자동화와 AI: 부족한 자원을 메우는 핵심
이제 이 장의, 그리고 어쩌면 이 책 전체의 가장 중요한 실천적 통찰에 도달합니다. 한정된 자원으로 지속 가능한 보안을 운영하는 핵심 열쇠는 자동화와 AI입니다. 이것이 여섯 번째 원칙의 구체적 실현이며, 부록 E에서 상세히 다룬 내용입니다.
비대칭을 자동화로 되돌리다
3장에서 본 근본적인 비대칭을 떠올리십시오. 공격은 AI로 자동화되어 비용이 0에 수렴하는데, 방어가 사람의 손에만 의존하면 구조적으로 불리합니다. 특히 자원이 부족한 1인이나 소규모 팀에게 이 비대칭은 더욱 가혹합니다. 거대 조직은 인력으로 어느 정도 메울 수 있지만, 1인 운영자는 그럴 수 없으니까요.
여기서 자동화와 AI가 결정적입니다. 부족한 인력의 한계를, 기계가 메웁니다. 사람이 매일 할 수 없는 반복적 점검을 자동화가 대신하고, 사람이 다 읽을 수 없는 로그를 AI가 1차 분류하며, 사람이 일일이 따라갈 수 없는 취약점 정보를 자동화가 추려 줍니다. 자동화는 1인 운영자를 여러 명처럼 일하게 만들어, 비대칭의 일부를 되돌립니다.
무엇을 자동화할 것인가
부록 E에서 다룬 자동화의 영역들을 지속 가능한 운영의 관점에서 다시 정리합니다.
정기 점검의 자동화. 10장에서 다룬 자가 진단(TLS, 헤더, 포트, 취약점)을 정기적으로 자동 실행합니다. 사람이 매번 손으로 돌리는 대신, 예약된 점검이 알아서 돌아가고 결과를 보고합니다.
취약점 추적의 자동화. 4장에서 다룬 의존성과 소프트웨어의 취약점을 자동으로 점검하여, 새 위협이 자신에게 해당하는지를 추려 줍니다.
로그 분석의 자동화. 13장에서 다룬 모니터링을 자동화와 AI로 처리하여, 사람이 검토할 것만 추려 알립니다.
설정과 코드 검토의 자동화. 서버 설정과 프로젝트 코드의 보안 상태를 정기적으로 점검합니다.
모델 업그레이드를 재점검 신호로
부록 E와 3장에서 특별히 강조한 통찰을 여기서 다시 새깁니다. AI 모델은 계속 발전하며, 더 나은 모델은 같은 자산에서 더 많은 것을 발견합니다. 그러므로 AI 모델이 새 버전으로 올라갈 때마다, 그것을 전체 보안 자산을 다시 점검하는 신호로 삼으십시오. 어제는 보이지 않던 격차를 오늘 더 나은 모델이 보여 줍니다. 이것은 지속 가능한 보안 운영에 자연스러운 재점검 트리거를 제공합니다. 정기 일정, 새 CVE 공개, 그리고 모델 업그레이드 — 이 세 가지를 점검의 신호로 삼으면, 보안이 정체되지 않고 계속 갱신됩니다.
자동화의 한계를 잊지 말라
다만 부록 E의 한계선(E.5)을 다시 강조합니다. 자동화와 AI는 강력하지만 만능이 아닙니다. 민감 정보를 함부로 외부에 보내지 말고, AI의 출력을 맹신하지 말며, 되돌리기 어려운 변경을 검토 없이 자동 적용하지 말고, AI를 유일한 방어선으로 삼지 마십시오. 자동화는 사람을 대체하는 것이 아니라, 사람이 더 중요한 판단에 집중할 수 있도록 반복 작업을 덜어 주는 것입니다. 자동화 위에서, 사람은 여전히 최종 판단과 중요한 결정을 책임집니다.
15.4 직접 할 것과 맡길 것: 현실적 경계
한정된 자원의 또 다른 현실적 질문은, 무엇을 직접 하고 무엇을 외부에 맡길 것인가입니다.
모든 것을 직접 할 수는 없다
1인이나 소규모 팀이 보안의 모든 측면을 직접, 전문가 수준으로 다루는 것은 불가능합니다. 그리고 그럴 필요도 없습니다. 어떤 것은 직접 하는 것이 낫고, 어떤 것은 전문 서비스나 도구에 맡기는 것이 낫습니다. 그 경계를 현실적으로 판단하는 것이 지속 가능성의 일부입니다.
맡기는 것이 합리적인 경우
전문성이 매우 깊이 필요하거나, 24시간 운영이 필요하거나, 직접 구축하는 것이 비효율적인 영역은 외부에 맡기는 것이 합리적입니다. 6장에서 본 Cloudflare 같은 서비스가 좋은 예입니다. DDoS 완화나 대규모 트래픽 필터링을 직접 구축하는 것보다, 그것을 전문으로 하는 인프라에 맡기는 것이 1인 운영자에게는 훨씬 합리적입니다. 마찬가지로, 깊은 전문성이 필요한 정기적인 보안 점검이나, 직접 운영하기 어려운 영역은 신뢰할 수 있는 도구와 서비스를 활용하는 것이 낫습니다.
여기서 14장에서 다룬 서드파티 위험을 기억하십시오. 외부에 맡기는 것은 그 대상을 신뢰하는 것이므로, "신뢰하되 검증하라"는 원칙이 적용됩니다. 맡기는 대상의 신뢰성을 확인하고, 그들에게 주는 접근을 최소화해야 합니다.
직접 해야 하는 것
반대로, 외부에 온전히 위임할 수 없는 것들이 있습니다. 자신의 시스템과 데이터에 대한 근본적인 이해와 통제, 자신의 위협 모델에 대한 판단(2장), 그리고 무엇이 중요하고 무엇을 우선할지에 대한 결정입니다. 이런 것들은 외부 서비스가 대신해 줄 수 없습니다. 자신의 자산을 가장 잘 아는 것은 자신이며, 그 보안에 대한 최종 책임도 자신에게 있습니다.
핵심은, 외부에 맡기는 것이 책임을 면제해 주지 않는다는 것입니다. 도구와 서비스는 당신을 돕지만, 보안의 최종 책임은 여전히 당신의 것입니다. 맡길 것을 현명하게 맡기되, 자신이 책임지는 부분에 대한 이해와 통제를 놓지 마십시오.
15.5 보안 문화: 지속의 토대
기술과 자동화를 넘어, 지속 가능한 보안의 가장 깊은 토대는 문화입니다. 혼자 일하든 팀으로 일하든, 보안을 대하는 태도와 습관이 모든 것을 떠받칩니다.
보안을 일상의 일부로
지속 가능한 보안의 핵심은, 보안을 특별한 이벤트가 아니라 일상의 일부로 만드는 것입니다. 새 기능을 만들 때 보안을 처음부터 고려하고(12장의 비즈니스 로직 검토처럼), 새 시스템을 띄울 때 기본 보안을 함께 적용하고(부록 A의 체크리스트처럼), 정기적으로 점검하는 것을 당연한 습관으로 만드는 것입니다. 보안이 나중에 덧붙이는 것이 아니라 처음부터 함께하는 것이 될 때, 그것은 지속 가능해집니다.
팀이 있다면: 비난하지 않는 문화
14장에서 강조한 것을 다시 새깁니다. 팀으로 일한다면, 비난하지 않는 문화가 보안의 지속에 결정적입니다. 사람은 실수하고, 정교한 공격 앞에서는 누구나 속을 수 있습니다. 실수를 처벌하면 사람들은 실수를 숨기고, 그러면 침해가 늦게 발견됩니다. 실수를 비난하지 않고 빠른 보고를 장려하는 문화가, 빠른 탐지와 대응의 토대입니다(13장의 체류 시간). 보안은 한 사람의 완벽함이 아니라, 모두가 함께 만드는 안전망입니다.
겸손과 지속적 학습
마지막으로, 보안에는 겸손이 필요합니다. 위협은 끊임없이 진화하고(1~4부), 어제 안전했던 것이 오늘 취약해지며, 자신이 모르는 것이 항상 있습니다. "우리는 안전하다"는 확신이 가장 위험하다는 것을, 이 책은 여러 번 강조했습니다(1장, 2장). 겸손하게, 자신의 방어가 완벽하지 않을 수 있음을 인정하고, 계속 배우고, 계속 점검하고, 계속 개선하는 태도가 지속 가능한 보안의 정신입니다. 보안은 도착하는 것이 아니라 계속 나아가는 것입니다.
15.6 이 장이, 그리고 이 책이 남기는 것
이 장에서 확인한 것을 압축합니다.
첫째, 보안은 목적지가 아니라 길입니다. 한 번 완벽하게 설정하고 잊는 보안은 없습니다. 지속 가능한 루틴만이 시간을 견딥니다(원칙 5).
둘째, 영웅적 노력이 아니라 지속 가능한 시스템을 만드십시오. 평범하지만 매일 지켜지는 습관이, 완벽하지만 지켜지지 않는 계획보다 낫습니다. 효과가 크고 노력이 적은 것(기본기, 백업)부터, 작게 시작하여 꾸준히 확장하십시오.
셋째, 패치 관리가 가장 중요한 일상 루틴입니다. n-day가 침해의 다수이고, AI가 골든타임을 줄이고 있습니다. 인벤토리 기반으로, 자동화하고, 우선순위를 적용하고, 신속히 처리하십시오.
넷째, 자동화와 AI가 부족한 자원을 메웁니다. 공격의 비대칭을 방어 자동화로 되돌리십시오. 점검·추적·분석을 자동화하고, 모델 업그레이드를 재점검 신호로 삼되, 자동화의 한계를 잊지 마십시오(원칙 6, 부록 E).
다섯째, 맡길 것은 현명하게 맡기되 책임은 놓지 마십시오. 모든 것을 직접 할 수는 없습니다. 그러나 외부에 맡기는 것이 책임을 면제하지 않으며, 자신의 자산에 대한 이해와 통제, 최종 판단은 자신의 것입니다.
여섯째, 문화가 지속의 토대입니다. 보안을 일상의 일부로 만들고, 비난하지 않고 빠른 보고를 장려하며, 겸손하게 계속 배우고 개선하십시오.
이제 이 책을 마칩니다. 우리는 긴 길을 함께 걸었습니다. 인터넷에 연결되는 순간 시작되는 위협을 보았고(1부), 공격면을 줄이고 접근을 단단히 했으며(2부), 통신을 보호하고(3부), 자신을 검증했으며(4부), 침해를 가정하고 지속 가능하게 운영하는 법을 배웠습니다(5부).
서문에서 던진 질문을 기억하십니까. "당신이 아직 털리지 않은 이유는 무엇인가." 이제 우리는 압니다. 그것은 안전해서가 아니라, 아직 충분히 노려지지 않았을 뿐일 수 있다는 것을. 그러나 이제 당신은 다릅니다. 당신은 위협의 지형을 알고, 공격면을 줄이는 법을 알고, 자신을 검증하는 법을 알고, 뚫려도 회복하는 법을 압니다. 그리고 무엇보다, 보안이 한 번의 완벽함이 아니라 끝없는 과정임을 압니다.
완벽한 보안은 없습니다. 그러나 당신을 다음 사람보다 어려운 표적으로 만들 수는 있습니다. 침해의 확률을 낮추고, 일어났을 때 빠르게 알아채고, 피해를 가두고, 회복할 수는 있습니다. 그것이 현실적인 보안이 약속할 수 있는 전부이며, 동시에 그것으로 충분합니다.
이 책의 여섯 가지 원칙을 마지막으로 다시 새기며 마칩니다. 공격면을 줄여라. 침해를 가정하라. 깊이로 방어하라. 검증 없는 보안은 희망일 뿐이다. 보안은 과정이지 상태가 아니다. 공격이 자동화되면 방어도 자동화되어야 한다. 이 여섯을 기억한다면, 개별 기술을 잊더라도, 당신은 안전한 길을 걸을 수 있습니다.
부록에서, 이 책의 모든 실행 항목을 한곳에 모은 체크리스트와 빠른 참조를 제공합니다. 본문을 다시 펼치지 않고도 핵심을 실천할 수 있도록.
이 장의 실행 항목
- 영웅적 노력 대신 지속 가능한 루틴을 만드십시오. 효과가 크고 노력이 적은 것부터, 작게 시작해 꾸준히 확장하십시오. (15.1)
- 패치 관리를 핵심 루틴으로 자동화하십시오. 인벤토리 기반, 우선순위 적용, 신속한 처리. (15.2)
- 정기 점검·취약점 추적·로그 분석을 자동화하십시오. 부족한 자원을 자동화로 메우십시오. (15.3, 부록 E)
- 모델 업그레이드를 재점검 신호로 삼으십시오. 정기·새 CVE·모델 업그레이드를 트리거로. (15.3)
- 맡길 것과 직접 할 것을 현명하게 나누되 책임은 놓지 마십시오. 외부 위임이 책임을 면제하지 않습니다. (15.4)
- 보안을 일상의 일부로, 비난하지 않는 문화로, 겸손한 학습으로 만드십시오. 문화가 지속의 토대입니다. (15.5)
다음: 부록 A — 통합 보안 체크리스트. 이 책의 모든 실행 항목을 신규 서버 구축 순서로.