1. 백신의 한계: '알려지지 않은 위협'과 생산 중단의 리스크
이 철강 그룹은 여러 자회사와 다양한 생산 시설, 그리고 외부에 절대 노출되어선 안 될 핵심 기술 데이터를 한데 묶어 운영하는 글로벌 기업입니다. 수십 개국에 걸친 사업장, 수만 명의 임직원, 그리고 오랜 시간 축적해 온 공정 노하우가 이 기업의 경쟁력을 이루고 있습니다. 국가 핵심 인프라로 지정된 만큼, 요구되는 보안 수준이 일반 기업과는 다를 수밖에 없습니다.
상황을 더 어렵게 만든 건 위협의 변화 속도였습니다. 랜섬웨어 하나, 데이터 유출 한 건, 또는 내부자의 작은 실수 하나가 단순 보안 사고로 끝나지 않고 생산 중단으로 이어지는 구조였습니다. 실제로 철강 업계에서는 사이버 공격 한 번으로 생산 라인이 수일간 멈춘 사례가 보고된 바 있습니다. 라인이 멈추면 매출 손실과 재무 타격은 물론, 납기를 맞추지 못한 고객사와의 신뢰 관계도 흔들릴 수 있습니다. 한 번 떨어진 신뢰를 다시 쌓기까지 얼마나 오랜 시간이 걸릴지는 아무도 장담할 수 없습니다.
이런 환경에서 오랫동안 써온 안티바이러스는 한계를 드러내기 시작했습니다. 등록된 악성코드는 막아내더라도, 아직 알려지지 않은 위협 앞에선 사실상 손을 놓을 수밖에 없었습니다. 시그니처 기반 방어가 '알고 있는 것'만 막는 방식이라면, 공격자는 이미 '모르는 것'을 활용하는 쪽으로 움직인 지 오래였습니다. 결국 이 기업에 필요한 건 더 나은 백신이 아니었습니다. 기존 도구가 보지 못하는 위협까지 감지하고, 전 세계에 흩어진 사업장 전체를 능동적으로 방어할 수 있는, 완전히 다른 차원의 보안 체계였습니다. 사고가 터지면 수습하는 방식에서, 위협이 커지기 전에 먼저 막는 방식으로. 이것이 변화의 출발점이었습니다.
2. 글로벌 철강 그룹이 직면했던 4대 보안 과제
(1) 안티바이러스를 비웃는 신종 위협
기존 보안 도구의 사각지대가 너무 넓었습니다. 파일 흔적을 남기지 않는 파일리스 공격, 시스템 자원을 몰래 갉아먹는 악성코드, 쉬지 않고 변종을 만들어내는 랜섬웨어. 이런 위협들은 알려진 패턴을 비교하는 방식으로는 잡아내기 어렵습니다. 공격자 입장에서는 탐지를 피하기 위해 매번 새로운 방식을 시도하는데, 방어 쪽은 항상 한발 늦게 대응할 수밖에 없는 구조입니다. 더 큰 문제는 그 탐지 공백이 만들어내는 시간입니다. 감염된 단말이 수개월간 발견되지 않는 사이, 자원이 조용히 소진되고 데이터는 밖으로 빠져나가고 있었습니다. 발견했을 때는 이미 피해가 깊숙이 진행된 뒤였습니다.
(2) 계열사마다 따로 노는 보안 운영
그룹 전체에 흩어진 엔드포인트가 2만 대를 넘었습니다. 각 자회사가 IT 팀을 별도로 꾸려 운영하다 보니, 그룹 차원에서 보안 현황을 통합해서 볼 수 있는 방법이 없었습니다. 어느 한 곳에서 위협을 발견해도 다른 자회사로 공유되지 않으니, 같은 공격에 여러 곳이 차례로 당하는 일이 벌어져도 막을 방법이 없었습니다. 사실상 각 자회사가 개별 전선에서 따로따로 싸우는 형국이었고, 본사는 그룹 전체의 보안 상황을 파악하지 못한 채 관리 사각지대를 안고 있었습니다.
(3) 유출되면 되돌릴 수 없는 수십 년의 기술력
이 그룹이 보유한 공정 데이터와 생산 설계도는 그 자체로 경쟁력입니다. 수십 년에 걸쳐 쌓아온 제조 노하우가 집약된 자산으로, 한 번 밖으로 새어 나가면 되돌릴 방법이 없습니다. 외부 침입을 막는 것만큼이나, 내부자의 실수나 고의적 유출을 빠짐없이 잡아내는 일이 중요했습니다. USB 하나, 파일 업로드 한 번이 회복하기 어려운 손실로 이어질 수 있는 환경이었습니다. 그런데도 내부 경로를 통한 데이터 유출은 기존 보안 체계의 감시망 바깥에 있었습니다.
(4) 멈추면 안 되는 생산 라인
가장 까다로운 조건이었습니다. 철강 생산 현장에서는 단말 하나의 문제가 라인 전체를 세울 수 있습니다. 이 때문에 새로 도입하는 솔루션이 설비 성능이나 가동률에 조금이라도 영향을 줘선 안 됐습니다. 24시간 돌아가는 생산 시스템 특성상, 에이전트 설치나 업데이트를 위해 단말을 재시작하거나 잠깐이라도 운영을 멈추는 것도 현실적으로 허용되기 어려웠습니다. 2만 대가 넘는 단말에 무거운 에이전트를 하나씩 새로 설치하면서 현장에 부담을 주는 방식은 처음부터 검토 대상이 아니었습니다.
3. 탐지하는 '눈(EDR)'과 차단하는 '손(NAC)'의 시너지
여러 EDR 솔루션을 검토한 끝에 이 그룹이 선택한 건 Genian Insights E였습니다. 단순히 기능 비교에 그치지 않고, 기존 인프라와 얼마나 자연스럽게 연결되는지, 대규모 환경에서 실제로 운영 가능한지를 함께 따졌습니다. 본사에 먼저 적용한 뒤 주요 자회사로 순차적으로 확대했고, 현재는 2만 대가 넘는 엔드포인트를 하나의 플랫폼으로 관리하고 있습니다.
(1) 안티바이러스가 보지 못하던 것을 보다
Genian Insights E의 EDR은 머신러닝, IOC 매칭, 행동 기반 분석(XBA)을 함께 활용하는 다층 탐지 방식을 씁니다. 이미 등록된 악성코드를 거르는 데 그치지 않고, 최초 침투 경로부터 실행 이후의 움직임까지 단말에서 일어나는 모든 과정을 추적합니다. 프로세스가 어떤 파일을 건드렸는지, 어떤 네트워크 연결을 시도했는지, 어떤 레지스트리 값을 바꿨는지까지 실시간으로 기록하고 분석합니다. 랜섬웨어가 파일 암호화나 확산을 시작하기 전, 행동 패턴이 수상해지는 단계에서 먼저 잡아낼 수 있었던 것도 이 덕분입니다. '어떤 악성코드냐'보다 '어떻게 행동하고 있냐'를 보는 방식이 탐지의 기준 자체를 바꿔 놓았습니다.
(2) 흩어진 보안을 하나의 화면으로
자회사마다 따로 굴러가던 보안 운영은 통합 모니터링으로 해결됐습니다. 이제 본사 보안 팀이 대시보드 하나로 전 사업장의 엔드포인트 현황을 실시간으로 확인하고, 각 자회사에서 올라오는 보안 이벤트를 한자리에서 처리하며, 그룹 전체에 동일한 정책을 일괄 적용할 수 있습니다. 어느 자회사에서 이상 징후가 포착되면 본사 보안 팀이 먼저 알아채고 해당 자회사 IT 팀에 바로 연락을 취하는 협업 구조도 자연스럽게 만들어졌습니다. 따로 놀던 보안이 하나의 체계로 묶인 것입니다.
(3) 외부 공격만큼 위험한 내부의 빈틈
지니언스의 EDR은 외부 공격 탐지에 그치지 않고 내부 움직임도 꼼꼼히 살핍니다. USB 사용 내역, 파일 이동 경로, 비인가 소프트웨어 실행까지 추적하고 통제할 수 있습니다. 민감한 데이터가 어떤 경로로 이동하는지 흔적을 남기고, 이상한 흐름이 감지되면 즉시 알림을 보냅니다. 실제로 보안 정책 우회 시도를 잡아냈고, 내부 문서를 외부로 빼내는 데 사용된 도구를 발견한 사례도 있었습니다. 이전에는 그냥 넘어갔던 일들입니다.
(4) 현장 부담 없이 강화환 보안
운영 연속성 문제는 기존에 쓰던 Genian NAC와의 연동으로 풀었습니다. EDR이 별도 에이전트 없이 NAC 에이전트의 플러그인으로 배포되기 때문에, 2만 대가 넘는 단말에 새 설치 작업을 할 필요가 없었습니다. 기존 에이전트에 기능을 얹는 방식이라 현장 운영에 영향을 주지 않으면서 보안을 강화할 수 있었고, 배포에 걸리는 시간도 대폭 줄었습니다.
연동의 효과는 여기서 그치지 않았습니다. NAC이 HR 시스템, Active Directory와 이미 연결되어 있어, EDR이 포착한 위협을 '어떤 사람이, 어떤 기기에서' 일으켰는지 바로 파악할 수 있었습니다. 위협에 사용자와 단말의 맥락이 더해지면서 상황 판단이 빨라지고 대응도 정확해졌습니다. EDR이 위협을 감지하는 순간 NAC이 해당 기기의 네트워크 접근을 즉시 차단하거나 격리합니다. 탐지하는 눈(EDR)과 차단하는 손(NAC)이 함께 움직이되, 먼저 위협을 알아채는 건 언제나 EDR입니다.
4. 통합 가시성이 가져온 단말 보안의 변화
Genian Insights E 도입 이후, 이 기업의 보안 운영 방식은 여러 면에서 달라졌습니다. 기술적인 탐지 성능이 높아진 것은 물론이고, 보안 팀이 일하는 방식 자체도 바뀌었습니다.
가장 눈에 띄는 변화는 가시성입니다. 그룹 전체 단말의 상태를 본사에서 한눈에 파악할 수 있게 되면서, 어느 자회사에서 수상한 파일이 실행되거나 정책이 어긋나는 일이 생겨도 바로 알아채고 대처할 수 있게 됐습니다. 이전에는 각 자회사 IT 팀이 개별적으로 상황을 파악하고 보고하는 방식이었는데, 이제는 본사에서 먼저 이상을 감지하고 해당 팀에 알리는 흐름으로 바뀌었습니다. 기존 안티바이러스가 놓쳤던 악성 스크립트, 채굴형 악성코드, 무단 설치 도구들이 실제로 탐지됐습니다. 이론으로만 이야기되던 행동 기반 탐지의 효과를 현장에서 직접 확인한 셈입니다.
내부 위협에 대한 대응 능력도 생겼습니다. USB 사용과 비인가 통신을 상시 모니터링하면서, 문제가 커지기 전에 이상 징후를 포착할 수 있게 됐습니다. 전 사업장에 동일한 탐지 정책이 적용되면서 자회사마다 달랐던 보안 수준이 하나의 기준으로 맞춰졌고, 이는 컴플라이언스 대응과 내외부 감사 준비에도 직접적으로 도움이 됐습니다.
대응 속도도 크게 달라졌습니다. 며칠씩 걸리던 사고 처리가 이제는 몇 시간, 때로는 몇 분 안에 마무리됩니다. 문제가 된 단말을 즉시 격리하고, 악성 프로세스를 종료하고, 무슨 일이 있었는지 타임라인을 거슬러 올라가 확인하는 게 가능해졌기 때문입니다. 사고 원인을 파악하는 데만 며칠이 걸리던 시절과 비교하면, 같은 사고라도 피해 범위가 현저히 줄어들었습니다. 전체 시스템을 멈추지 않고도 문제를 빠르게 제한할 수 있게 된 것입니다.
5. 사후 대응을 넘어 선제 방어로
지금까지 이 그룹의 보안은 사후 수습이 중심이었습니다. 사고가 나면 원인을 찾고, 자회사마다 제 방식대로 대응해 왔습니다. 그것이 가능한 범위 안에서 최선이었지만, 공격이 정교해질수록 이 방식의 한계는 갈수록 뚜렷해졌습니다.
Genian Insights E는 그 방식을 바꾸어 놓았습니다. 단말에서 무슨 일이 일어나는지 실시간으로 파악하는 가시성, 위협이 퍼지기 전에 막아내는 통제력, 그리고 보안 상태를 객관적으로 확인할 수 있다는 신뢰감까지, 이 세 가지를 갖추면서 지켜야 할 대상이 단말 자체를 넘어, 생산 설비와 핵심 기술, 나아가 회사의 신뢰로까지 넓어졌습니다.
이 사례가 남기는 교훈은 간단합니다. 위협이 날로 정교해지는 환경에서, 이미 알려진 공격만 막는 방식으로는 역부족입니다. 단 한 번의 사고도 용납되지 않는 핵심 인프라 기업일수록, 그리고 다수의 자회사를 아우르는 대규모 그룹일수록 더욱 그렇습니다. 행동을 분석하는 EDR이 방어의 중심에 서고, NAC이 네트워크 단에서 이를 뒷받침할 때, 분산되어 있던 보안은 비로소 하나의 탄탄한 통합 보안 체계로 완성됩니다.
이 철강 그룹은 이제 더 스마트하고, 더 빠르고, 더 촘촘한 보안 체계 위에서 운영되고 있습니다. 보안이 생산을 방해하는 요소가 아니라, 생산을 지키는 기반이 됐습니다. 어떤 위협이 와도 전보다 훨씬 여유 있게, 그리고 강하게 대응할 수 있게 됐습니다.
.png)
.png)
.png)
.png)
