이 글은 AI 시대 한국 보안 거버넌스 시리즈의 3편입니다. 1편은 평가 체계의 문제를, 2편은 그 체계가 유지되는 다행위자 균형을 다뤘습니다. 이 글은 그 균형을 깨기 위한 최소 언어, 즉 측정 가능한 적응 능력 지표를 제안합니다.
왜 도구가 아니라 지표인가
많은 조직은 새로운 기술이 등장하면 먼저 이렇게 묻는다.
- 어떤 제품을 사야 하는가?
- 어떤 AI 도구를 도입해야 하는가?
- 어떤 체크리스트를 추가해야 하는가?
하지만 이 질문은 자주 빗나간다. 도구는 수단일 뿐이고, 정말 중요한 것은 새로운 위험이 들어왔을 때 조직이 얼마나 빨리 판단하고, 얼마나 제대로 검증하고, 얼마나 넓게 다시 탐색할 수 있는가다.
그래서 필요한 것은 제품 목록이 아니라 적응 능력 지표다.
최소 지표 1: MTTA — Mean Time To Analyze
정의: 새로운 취약점 또는 위협 정보가 들어온 뒤, 우리 환경에 미치는 영향을 분석해 1차 판단을 완료하는 데 걸리는 시간.
기존 거버넌스는 “통제가 존재하는가”를 주로 본다. 그러나 AI 시대에는 통제의 보유 여부보다 새로운 위험을 얼마나 빨리 해석하는가가 더 중요해진다.
실무 질문은 다음과 같다.
- 이 취약점이 우리 자산과 관련이 있는가?
- 외부 노출 자산에 해당되는가?
- 악용 가능성이 높은가?
- 임시 완화책이 필요한가?
측정은 단순하게 시작할 수 있다.
- 시작 시점: KEV 등록, 벤더 공지, 내부 탐지 등으로 위험 정보를 수신한 시각
- 종료 시점: 영향 범위와 우선순위를 문서화한 시각
최소 지표 2: MTTP — Mean Time To Patch / Protect
정의: 분석이 끝난 뒤, 패치 또는 임시 완화책 적용까지 걸리는 시간.
여기서 핵심은 “정식 패치 완료”만 보는 것이 아니라, 차단 룰 추가, 노출 서비스 제한, 설정 변경, 임시 우회 같은 현실적인 보호 조치도 포함한다는 점이다.
실제 방어에서는 완벽한 패치를 기다리다 늦는 경우가 많다. 적응형 거버넌스는 “완벽한 조치”보다 “충분히 빠른 보호”를 본다.
최소 지표 3: MTRS — Mean Time To Re-Scan / Re-Search
정의: 새 패턴이 확인된 뒤, 동일한 조건으로 전체 환경을 다시 탐색하고 후보군을 재정리하는 데 걸리는 시간.
이 지표는 AI 시대에 특히 중요하다. 왜냐하면 반복적 재탐색이야말로 자동화와 AI의 가장 강력한 적용 지점이기 때문이다.
실무 질문은 다음과 같다.
- 같은 라이브러리가 다른 서비스에도 쓰였는가?
- 같은 취약 패턴이 다른 코드베이스에 반복되는가?
- 같은 설정 문제가 다른 계정이나 클러스터에도 존재하는가?
속도만으로는 부족하다: 검증 가능성과 학습 반영성
속도만 빠르면 충분한가? 아니다. 잘못된 자동화는 새로운 위험이 된다. 그래서 적응 능력 평가는 속도와 함께 검증 절차를 포함해야 한다.
예를 들면 다음과 같다.
- 자동 분류 결과를 사람이 샘플링 검토하는가?
- 재탐색 결과가 티켓, 예외, 후속 통제로 이어지는가?
- 임시 조치가 영구 조치로 전환되는 절차가 있는가?
새로운 위험에 대한 대응이 다음 통제에 반영되지 않으면 조직은 매번 처음부터 다시 배운다. 따라서 적응 능력 평가는 단발성 대응이 아니라 학습의 반영 여부도 봐야 한다.
예시: 간단한 현장용 스코어카드
| 항목 | 질문 | 예시 결과 |
|---|---|---|
| MTTA | 새 위험을 언제 이해했는가 | 8시간 |
| MTTP | 임시 완화 또는 패치를 언제 적용했는가 | 24시간 |
| MTRS | 유사 자산 전체를 언제 재탐색했는가 | 6시간 |
| 검증 | 자동화 결과를 누가 검토했는가 | 담당 엔지니어 + 팀 리드 |
| 학습 반영 | 무엇이 다음 통제에 반영됐는가 | 탐지 룰, 리뷰 체크리스트 |
핵심은 숫자를 예쁘게 만드는 것이 아니라, 조직이 새 위험을 맞닥뜨렸을 때 실제로 어떻게 움직였는가를 드러내는 것이다.
CISO를 위한 최소 실행 템플릿
정책과 시장이 당장 바뀌지 않아도, 현장은 작게 시작할 수 있다. 아래는 CISO나 보안 리더가 내부적으로 사용할 수 있는 가장 단순한 흐름이다.
- Trigger 정의: 어떤 종류의 위험 정보가 들어오면 측정을 시작할지 정한다.
- 분석 책임자 지정: MTTA의 종료 책임을 명확히 둔다.
- 임시 대응 옵션 사전 정의: 차단, 제한, 분리, 우회 중 무엇을 쓸지 정리한다.
- 재탐색 절차 정의: 새 패턴이 확인되면 어디까지 다시 볼지 자동화 범위를 정한다.
- 검증과 학습 반영: 자동화의 결과를 누가 검증하고, 무엇을 다음 통제에 넣을지 정한다.
이 다섯 단계만 있어도 조직은 “우리는 보안 도구를 샀다”가 아니라 “우리는 새 위험에 이렇게 반응했다”는 언어를 갖게 된다.
이 지표들은 왜 중요한가
이 지표들은 단순히 내부 관리용이 아니다. 나중에는 다음과 같은 용도로 확장될 수 있다.
- 정책기관: 평가 항목의 전환 근거
- 감사기관: 자율 판단의 합리성 판단 근거
- 보험사: 위험 기반 가격 책정 변수
- 고객사: 공급망 보안 요구사항
- 투자자: 운영 리스크의 보조 신호
즉, 적응 능력 지표는 언어이면서 동시에 시장 인터페이스가 된다.
균형을 흔드는 세 가지 정렬 조건
지표만 만든다고 거버넌스가 바뀌지는 않는다. 2편에서 짚은 다행위자 균형이 깨지려면 개인 인센티브와 집단 인센티브가 한 방향으로 정렬되어야 한다. 정렬을 만드는 조건은 다음 셋 중 하나라도 작동하기 시작할 때 보인다.
- 자율 판단의 개인 책임 부담을 줄인다 — 적극행정면책의 사이버보안 영역 적용 근거를 어느 행위자가 만들지 책임을 명시하면, 감사기관이 사후에 “합리적 판단이었다"고 인정할 수 있게 된다.
- 표준 준수의 개인 면책 효과를 약화시킨다 — 사고 시 “표준을 따랐다"는 말만으로 면책되지 않게, 감사·법원·이사회가 “그 시점에서 합리적인 적응 행동을 했는가"를 함께 묻기 시작한다.
- 자율 판단을 가산점으로 보상한다 — 평가·계약·보험 가격 어느 한 곳이라도 적응 능력 지표를 비용으로 환산하면, CISO에게 자율 판단이 더 이상 손해가 아니다.
이 셋 중 어느 하나라도 작동하지 않으면 다른 둘만으로는 균형이 이동하지 않는다. 그러나 셋이 동시에 들어맞을 필요는 없다. 한 곳이 먼저 움직이면 다른 두 곳이 따라가는 사슬은 가능하다. 지표는 그 사슬의 첫 고리다.
결론
준수 능력에서 적응 능력으로 이동하려면 철학만으로는 부족하다. 숫자와 절차가 필요하다. 완벽한 지표는 없다. 그러나 잘못된 행동을 보상하는 구조를 바꾸려면, 최소한 무엇을 측정해야 하는지는 제시할 수 있어야 한다.
다음 글에서는 이 지점에서 한 걸음 더 나아간다. 정책기관이 먼저 움직이지 않아도, 시장이 거버넌스를 끌고 갈 수 있는가를 묻는다.