사이버 보안 분야에서 패러다임 전환이 진행되고 있다. 최근까지의 상식이었던 '공격자의 침입을 전제로 한 사후 감지 및 대응' 트렌드가 '침입 예방'으로 돌아가고 있다. 그 이유와 주목받고 있는 접근 방법을 살펴보자.
사이버 보안은 세 가지 요소로 구성된다. 1) 컴퓨터의 방어(Protection), 2) 방어가 뚫렸을 경우 해커의 감지(Detection), 3) 시스템 내 해커를 제거하기 위한 대응(Response)이다. 이들 요소는 모두 중요하지만, 최근 방어에 대한 기대가 낮아지면서 감지와 대응에 중점을 두고 있었다.
사이버 보안 개념이 정립된 초기에는 방어에 초점이 맞춰졌으나, 2000년대 초반부터 감지 및 대응으로의 전환이 일어났다. 그 배경에는 국가 수준의 공격 능력을 가진 해커의 부상이 있었다. 국가가 적대국을 공격하기 위해 직접 해킹에 나서는 경우가 증가하면서 민간에서는 따라잡기 어려운 수준의 해킹이 일상화되었다.
이로 인해 사이버 보안에서는 해커의 침입을 전제로 한 신속한 감지와 대응에 초점이 맞춰졌다. 직원의 PC나 서버에 설치하는 감시·방어 툴인 EDR(Endpoint Detection and Response)과 회사 전체의 네트워크 상황을 전문 팀이 24시간 감시하는 SOC(Security Operation Center)가 발전하였다. 기업은 '침입되어도 즉시 알아차리고 피해를 확산시키지 않는다'는 목표를 실현하며, 고도화된 해킹에 대처할 수 있는 체제를 갖추었다고 믿었다.
그러나 감지 및 대응 접근법도 한계에 도달하고 있다. 주요 이유는 다음 세 가지이다.
