클라우드 보안 공부하다가 예전 컴퓨터 하우스콜 돌려본 이야기

클라우드 보안 공부를 시작하게 된 계기

최근에 회사에서 클라우드 환경으로 서버를 대대적으로 옮기면서 보안 이슈가 정말 큰 화두가 되었다. CISO님은 맨날 CSPM(Cloud Security Posture Management) 이야기를 하시는데 솔직히 처음에는 이게 무슨 외계어인가 싶었다. 클라우드 보안이 중요하다는 건 알겠는데, 막상 현업에서 어떻게 돌아가는지 감을 잡기가 참 어려웠다. 대기업들이 쓰는 트렌드마이크로 같은 솔루션을 도입해야 한다고 다들 입을 모으는데, 막상 이게 우리 회사에 당장 필요한 건지, 아니면 그냥 트렌드니까 따라가는 건지 헷갈리는 지점들이 있다. OT 보안이나 클라리티(Clarity), 노조미(Nozomi) 같은 산업용 보안 장비들까지 언급되는 걸 보면 보안의 범위가 어디까지 넓어지는 건가 싶어 가끔은 아득해지기도 한다.

집 컴퓨터가 갑자기 불안해진 이유

회사에서 하루 종일 이런 보안 용어들에 시달리다 집에 오니 문득 집에 있는 5년 된 노트북이 생각났다. 평소에 워낙 관리를 안 하고 써서 갑자기 ‘혹시 내 컴퓨터도 어디 좀비 PC로 활용되고 있는 거 아냐?’라는 말도 안 되는 의심이 들기 시작했다. 컴퓨터가 예전보다 조금 느려진 것 같기도 하고, 인터넷 창을 띄울 때마다 묘하게 버벅거리는 느낌이 드니까 괜히 찜찜한 거다. 회사 보안팀 대리님이 지나가듯 했던 말이 생각났다. “요즘 악성코드는 설치되는 게 아니라 그냥 메모리에 상주하거나 스크립트로 동작해서 백신이 잡아내기도 힘들어요.” 그 말을 듣고 나니 당장 뭘 좀 돌려봐야겠다는 생각이 들었다.

무설치 검사 도구의 편리함과 묘한 불신

보안 쪽 일을 공부하면서 예전에 한번 들어봤던 트렌드마이크로의 하우스콜(HouseCall)이 떠올랐다. 이게 예전에도 꽤 유명했던 걸로 기억하는데 아직도 서비스 중이라니 신기했다. 일단 설치 없이 웹에서 바로 실행할 수 있다는 게 제일 마음에 들었다. 요즘 백신들은 설치만 해도 컴퓨터가 무거워지는데, 그냥 브라우저에서 실행해서 검사하는 방식은 참 편하다. 검사를 돌려놓고 거실에서 커피 한 잔 마시면서 멍하니 화면을 봤다. 10년 전인가, 그때는 이런 무설치 도구들이 검출율이 낮다는 인식이 있었는데 요즘은 또 그렇지도 않다고 한다. 한 30분쯤 지났을까. 검사가 완료됐다는 메시지가 떴는데, 다행히 별다른 악성코드는 없었다. 그런데 한편으로는 ‘진짜 아무것도 없는 게 맞나?’ 하는 의심이 가시질 않았다. 내가 너무 예민해진 건지, 아니면 정말 내 PC가 클린한 건지 알 길이 없으니 말이다.

산업 현장의 보안과 개인의 보안 사이의 괴리

현업에서 다루는 CSPM이나 복잡한 클라우드 보안 프레임워크는 수십 페이지짜리 리포트를 쏟아내지만, 막상 내 PC의 보안은 ‘악성코드 없음’이라는 단 한 줄의 결과로 요약된다. 이 괴리가 참 묘하다. 회사에서는 산업보안관리사 자격증이 어쩌고 하면서 거창한 보안 모델을 논하는데, 정작 내 개인 환경에서는 이런 무료 툴 하나 돌리고 마음을 놓으려 하는 내 모습이 조금은 우스웠다. 물론 하우스콜 같은 도구가 나쁘다는 건 아니다. 오히려 일반 사용자 수준에서는 이 정도면 충분히 감사한 거다. 하지만 보안이라는 게 결국 완벽함보다는 ‘어느 정도의 안심’을 사는 행위인 것 같다는 생각이 강하게 들었다.

아직 풀리지 않은 숙제

검사를 끝내고 노트북을 껐다. 사실 며칠 뒤면 또 똑같이 불안해질지도 모르겠다. 보안이라는 건 공부하면 할수록 알아야 할 게 끝도 없이 늘어나는 것 같다. 요즘은 AI로 상장공시를 분석하거나 마이크로 섹터 지수를 개발하는 시대라는데, 그 화려한 IT 기술의 이면에는 항상 ‘누가 이 데이터를 털어가지 않을까’라는 걱정이 그림자처럼 따라붙는다. 회사는 비싼 솔루션을 도입해서 그 그림자를 지우려 하지만, 결국 가장 취약한 건 그 솔루션을 사용하는 사람의 마음가짐이나 습관이 아닐까 싶다. 트렌드마이크로 사이트를 보면서도 나는 여전히 ‘이게 진짜 우리 회사의 완벽한 답이 될까?’라는 의문을 지우지 못했다. 다음 주에는 아마 클라우드 보안 설정 관련 매뉴얼을 읽으며 또 한숨을 쉬고 있겠지.