지난해 발생한 일련의 해킹 사건은 우리에게 불편한 공통점을 남겼다. 피해를 입은 곳들이 모두 24시간 보안 관제를 운영하던 거대 기업이었다는 점이다. 보안 인력도 있었고, 관제 체계도 있었다. 그럼에도 침해는 제때 발견되지 못했고, 실질적인 대응으로 이어지지 못했다.
이 사실은 하나의 질문을 남긴다. 24시간 보안 관제가 있는데도 왜 아무도 막지 못했는가.
정보보안 제품은 관리되지 않으면 한순간에 무너진다. 그래서 보안 관제는 정보보안의 주변 업무가 아니라, 전체 보안 체계를 실제로 작동시키는 중추 기능이다. 어떤 경보가 발생하는지, 어떤 설정이 유지되고 있는지, 패턴과 필터는 최신 상태인지, 현장에서 제품이 제대로 기능하고 있는지를 끊임없이 확인하고 협력해야 한다.
문제는 현실이 그 역할을 감당하기 어렵다는 데 있다. 오늘날 많은 보안 환경은 하드웨어 기반 장비와 복잡한 제품 조합 위에서 운영된다. 각 제품은 제각기 다른 운영 방식과 수백 가지 기능을 갖고 있고, 관제 담당자는 그 구조를 충분히 이해한 채 업무를 수행하기 어렵다. 운영 가이드가 정교하게 전달되지 않는 경우도 많고, 실제로 핵심 기능이 제대로 사용되고 있는지 점검할 시간과 인력도 부족하다.
여기에 또 하나의 구조적 문제가 있다. 정부의 과도한 인증 중심 체계다.
현재의 ISMS 준비와 실행, 대응만으로도 현장의 인력은 이미 번아웃 상태다. 그런데도 정책은 더 강화되고, 점검은 더 늘어나고, 전수 조사 중심의 대응은 반복된다. 문제는 부족이 아니라 과잉이다. 현장은 이미 감당할 수 있는 한계를 넘어섰다.
특히 전수 조사 중심의 현재 체계는 실질적인 보안을 강화하기보다 형식적 대응과 문서 작업, 그리고 인력 소진만 반복하게 만든다. 보안 관제를 강화한다는 명분 아래, 실제로는 관제 인력을 더 지치게 하고 산업의 인력 이탈을 가속화하고 있다. 이런 체계는 과감히 폐기돼야 한다.
결국 24시간 관제가 있다는 사실과, 24시간 제대로 대응할 수 있다는 사실은 같지 않다. 관제의 존재와 관제의 실효성은 전혀 다른 문제다.
2025년의 해킹 사건이 보여준 것은 단순한 개인의 실수가 아니다. 이는 복잡한 제품 구조에 비해 관제 인력과 운영체계가 턱없이 부족한 현실, 그리고 그 불균형이 누적된 결과다. 수많은 기능을 이해해야 하고, 끊임없이 업데이트를 따라가야 하며, 실제 침해가 발생하면 그 책임과 충격까지 감당해야 한다. 이 과정에서 보안 관제 인력은 쉽게 소진된다.
해킹 사고 이후 관제 인력이 큰 충격에 빠지고, 번아웃 끝에 산업을 떠나는 일도 적지 않다. 원래도 부족한 인력인데, 사고가 날수록 이탈은 더 빨라진다. 우리는 보안 사고의 피해만 이야기하지만, 그 뒤에 남겨지는 사람들의 붕괴는 충분히 말하지 않는다. 보안 관제 인력도 우리의 가족이다.
이제 해결책은 분명하다. 더 많은 경보와 더 많은 장비를 쌓는 방식으로는 한계가 있다. 먼저 정확한 로그를 남길 수 있는 시스템이 필요하다. 무엇이 일어났는지 분명히 기록되어야 관제도 가능하다. 다음으로 개별 제품을 제각기 다루는 방식이 아니라, 관제 담당자가 전체 흐름을 한눈에 이해할 수 있는 통합 플랫폼이 필요하다.
여기에 인공지능(AI)을 결합해야 한다. 이상 징후 분석, 설정 점검, 패턴 및 필터 관리, 우선순위 판단을 함께 수행할 수 있어야 한다. 그래야 보안 관제가 단순한 경보 처리 업무가 아니라, 실제 대응으로 이어지는 본연의 역할을 수행할 수 있다.
보안은 사람의 의지에만 기대어 유지되지 않는다. 기록할 수 있는 시스템, 통합적으로 볼 수 있는 구조, 그리고 이를 지속 가능하게 운영하도록 돕는 기술이 함께 갖춰져야 한다. 2025년의 해킹 사건이 남긴 교훈은 분명하다. 우리는 보안 관제를 운영하고 있다고 말해 왔지만, 실제로는 그 관제가 작동할 수 있는 조건을 충분히 만들지 못했다.
이제는 24시간 관제의 역설을 끝내야 한다. 관제 인력의 헌신만으로는 더 이상 버틸 수 없다. 정확한 로그, 통합 플랫폼, AI 기반 운영 지원이 갖춰질 때 비로소 보안 관제는 이름뿐인 체계가 아니라 실제 대응 역량이 될 수 있다.
신승민 큐브트시큐리티 대표 plura@qubitsec.com