체르노빌 사태로 빗대어 생각해본 파고 MDR의 철학

“사고가 나면 막는 게 보안이 아니라, 사고가 날 수 있다는 전제하에 구조를 만드는 게 보안입니다.”

파고네트웍스 권영목 대표의 이 말은 이번 파고 서밋 전체를 관통하는 메시지였습니다.

첫 번째 글에서는 MDR이 무엇이며 파고 MDR은 어떤 차별점이 있는지, 두 번째 글에서 파고 MDR이 실제로 어떻게 작동하는지를 확인했다면, 이제 MDR이 왜 존재해야 하는지, 그리고 파고가 이 시장에서 어떤 철학을 갖고 움직이고 있는지를 짚어볼 차례입니다.

특히 권 대표는 단순히 '기술'이 아니라 '책임'의 관점에서 조직과 보안의 관계, 탐지 체계의 본질, 사고 후보다 사고 전이 중요한 이유를 강조했는데요. 이 이야기 속에는 왜 기존 보안 구조로는 충분하지 않은지, 보안의 역할은 시스템이 아니라 사람이 주도해야 하는지, 파고가 어떤 기준으로 고객과의 신뢰를 쌓아가는지가 고스란히 담겨 있었습니다.

이제 기술은 충분히 진화했습니다. 남은 건, 그것을 어떻게 쓰느냐입니다.

파고는 이제 자신들을 “사이버 위협의 최전선에서 싸우는 조직”이라 부릅니다. 이는 단순 기술 공급자가 아닌, 위험이 발생하기 직전에 개입해 고객을 보호하는 ‘프론트라인’ 역할을 수행하겠다는 선언이죠. 그래서 이번 마지막 글에서는 권 대표가 공유한 다양한 비유와 메시지를 따라가며 선제적 보안이 필요한 이유, MDR의 존재 이유, 그리고 파고네트웍스가 지향하는 ‘진짜 보안’을 위한 그들의 철학을 함께 정리해보겠습니다. 목차는 아래와 같습니다.

​

1. 체르노빌의 교훈 – 보안에서 절대 놓쳐선 안 되는 질문

<이미지 출처: HBO Youtube, Chernobyl (2019) | Official Trailer>

뜬금없이 체르노빌 원전 사고 이야기로 시작하는 것이 이상해 보일 수 있는데, 그렇지 않습니다. 파고의 철학과 관련성이 높거든요. 1986년 4월 26일, 체르노빌 원전에서 발생한 폭발 사고는 ‘운영자의 실수’라는 단순한 문장으로 설명되곤 합니다. 하지만 2019년에 방영된 HBO 드라마 <체르노빌>은 그 비극의 진짜 원인이 사람의 실수가 아닌 시스템의 구조적 실패였음을 알 수 있는데요. 그럼, HBO 드라마 <체르노빌>의 속으로 가볼까요?

• ■사이버 보안에도 ‘체르노빌 모멘트’는 있다

<이미지 출처: vox.com, Chernobyl’s stellar finale makes a case for the show as science fiction>

드라마 마지막 화의 법정 장면에서 밝혀진 체르노빌 원전 사고의 핵심은 이렇습니다.

이 사고는 단순히 버튼을 잘못 눌러서 일어난 것이 아닙니다. 잘못된 구조, 단절된 정보, 허술한 지침, 그리고 위기 상황에서 누구도 결정을 내릴 수 없던 책임 회피 체계가 만든 참사였습니다.

• ■사이버 보안 사고도 다르지 않다

많은 기업은 보안 사고가 발생하면 누가 실수했는지, 어떤 시스템이 탐지를 못했는지, 무엇을 새로 도입해야 할지를 묻습니다. 우리가 체르노빌 원전 사고에서 얻을 수 있는 보안 관점에서의 3가지 교훈은 아래와 같습니다.

체르로빌 원전에서 사고가 난 이후, 소련은 동일한 원전 수십 곳의 설계를 다시 검토했습니다. 한 번의 실패를 전체 시스템 관점에서 되짚고, 구조를 바꾸려 한 것이죠. 물론 바로 이렇게 된 것은 아니고, 우여곡절이 있긴 했습니다. 드라마 내용의 스포가 될 수 있으니, 궁금하신 분들은 HBO 드라마 체르노빌을 시청해 보세요. 쿠팡 플레이에서 보실 수 있습니다.

아무튼, 사이버 보안도 마찬가지입니다. 사고 하나하나를 ‘단건 처리’하는 것이 아니라, 그 원인을 구조 차원에서 다뤄야만 재발을 막을 수 있을테니까요.

그래서 우리가 던져야 할 질문은 이것입니다:

• ●누가 책임지는 구조인가?

• ●정보가 실시간으로 공유되고 있는가?

• ●경고가 발생했을 때 움직일 수 있는 체계가 있는가?

• ●알림이 없더라도 의심할 수 있는 문화가 있는가?

이 질문들은 파고의 기술 철학과도 맞닿아 있습니다. 권영목 대표가 반복적으로 강조한 “책임지는 보안”, 그 철학이 MDR이라는 서비스 구조로 구현된 것이라 볼 수 있겠죠.

체르노빌은 “정보가 있었지만 공유되지 않았을 때 어떤 일이 벌어지는가”를 보여줍니다. 그래서 우리는, 오늘날 보안 사고는 “위협이 있었지만 책임지는 체계가 없을 때” 반복된다는 사실을 명심해야 합니다.

​

2. 조용한 침투는 왜 발견되지 않는가 – ‘정상처럼 보이는 위협’을 포착하는 법

진짜 위험한 공격은, 아무 알림도 남기지 않습니다.

많은 기업들이 최신 보안 솔루션을 갖추고 있음에도 불구하고 여전히 랜섬웨어 피해를 입는 이유, 그 실체는 조용하게 움직이는 침투, 즉 정상처럼 보이는 위협 행위가 감지되지 않기 때문입니다.

• ■경고, 알람이 없는 조용한 침투 – 이것이 진짜 ‘체르노빌 모멘트’

<이미지 출처: IndieWire, Chernobyl’: HBO Series Never Hides From History’s Physical and Psychological Horror>

체르노빌 사고에서 AZ-5 버튼을 누른 사람은 매뉴얼대로 행동했을 뿐입니다. 그러나 버튼의 진짜 작동 방식은 공유되지 않았고, 그 결과는 재앙이었습니다.

※ AZ-5 버튼: 원전 긴급 정지 시스템 버튼

오늘날 사이버 보안에서도 마찬가지입니다. 체르노빌 원전 사고와 오늘 날의 보안 사고를 비교해 볼까요?

조용한 침투란, 감지되지 않고 내부에 들어오는 것입니다. 그리고 우리가 알게 됐을 땐, 이미 늦은 상태란거죠.

• ■조용한 침투는 이렇게 작동한다 - 랜섬웨어 사례

대부분의 랜섬웨어 공격은 아래의 단계로 행해집니다.

이 공격 체인의 앞부분, 초기 단계에서는 대부분의 EDR이나 SIEM이 아무런 알림도 발생시키지 않습니다. 그래서 기업의 보안 담당자들은 아무 일도 벌어지지 않은 것이니 안심하게 되는 거죠. 하지만, 이미 해커의 공격은 시작됐고, 방치하면 조만간 랜섬웨어가 내부에 퍼질겁니다.

• ■그래서 파고는 ‘알림’보다 ‘흐름’을 본다

PAGO Security Summit 2025에서 파고 기술팀은 탐지는 알림을 기다리지만, 헌팅은 의심을 쫓는다고 언급했습니다. 지난 글에서 언급했던 사례를 다시 가져와 핵심만 요약해 볼까요?

그렇다면, 기존 보안 체계가 이러한 보이지 않는 위협을 놓치는 근본적인 이유는 무엇일까요? 첫 번째, 두 번째 글을 꼼꼼히 읽은 분들이라면 이제 금방 떠오르실 것 같은데요. 그래도 한번 더 강조해 보면 아래와 같습니다.

• ●보안 솔루션 간 연동 부족 (사일로화)

• ●24시간 대응 어려움 (휴일, 야간 무방비)

• ●알려진 시그니처 위주 탐지

• ●경영진의 보안 이해도 부족 → 위임 체계 미비

즉, 체계는 존재하지만 반응할 수 없는 구조라는 것이고, 이 구조는 체르노빌의 “매뉴얼은 있었지만 사고는 발생했다”는 교훈과도 일맥상통합니다.

• ■파고의 대응 방식: 프론트라인 모델의 핵심 요약

첫 번째 글에서 다뤘듯, 파고는 이를 ‘프론트라인’ 개념으로 정리하고 있는데요. 그 핵심 내용은 아래와 같습니다. 위 장표에서 4번으로 기재된 Preemptive Response가 과거에는 네 번째 단계에 시행됐었으나 이제는 두 번째 단계로 앞당겨진 것이 포인트입니다.

이 모델은 사고가 나야 움직이는 구조가 아니라, 사고가 ‘날 수도 있는 흐름’을 먼저 끊는 보안 구조입니다. 그리고 이렇게 할 수 있는 핵심은 바로 사람, 파고의 분석가들의 역량 덕분이죠.

그럼 이어서, 파고는 왜 기술보다 사람을 더 중요하게 여기는지에 대해 알아봅시다.

​

3. 사람의 판단과 책임이 기술보다 앞설 수 없다

“탐지는 자동화할 수 있어도, ‘탐지되지 않은 것을 찾아내는 일’은 결국 사람의 몫입니다.”

• ■AI만으로는 충분하지 않다 – 체르노빌의 또 다른 교훈

체르노빌 원전에는 다양한 자동 안전 시스템이 있었습니다. 하지만 그 시스템은 전체 상황을 종합적으로 해석하거나,
정보를 공유하거나, 인간 판단을 대체하지 못했죠. AI가 고도화된 오늘날 사이버 보안도 마찬가지입니다. 기술은 빠르지만, 맥락을 이해하고 행동을 결정하는 것은 결국 사람의 몫입니다.

• ■AI 기반 공격은 더 정교해졌고, 탐지는 더 어려워졌다

파고는 AI 기반 위협이 어떻게 기존 탐지를 무력화하는지 분석해왔습니다. 다음과 같이 말이죠.

이제는 “이상한 행동”이 아니라, “너무나 정상적인 위협”을 감지해야 하는 시대가 되었습니다. 그래서 파고의 AI 방어 전략은 다음 네 가지 원칙을 따릅니다.

이 원칙이 파고의 프론트라인 운영 전략의 핵심입니다.

• ■AI는 경고를 띄우고, 사람은 맥락을 본다

파고의 새로운 운영 원칙에서는 AI와 사람이 명확한 역할을 갖고 공존합니다. 아래와 같이 말이죠.

• ■SentinelOne CTF에서 증명된 ‘사람의 실력’

파고의 분석가는 SentinelOne 주관의 글로벌 해킹 대회 ‘포세이돈 CTF’에서 전 세계 40개 기업 중 Top 10에 전원 진입,
일부 팀은 1~2점 차로 1위에 육박하는 성과를 냈다고 첫 번째 글에서 언급했었죠? 이 사실은 파고가 단순히 도구, 솔루션을 잘 쓰는 기술자가 아닌, 공격자의 시각으로 방어를 설계할 줄 아는 전문가 집단임을 보여줍니다.

그리고, 이 분석팀이 파고의 실전 위협 헌팅과 IR을 담당하고 있습니다. 이러한 판단 영역이야말로 AI가 대체할 수 없는, 사람 고유의 영역이라고 할 수 있겠습니다.

하지만, 이건 어디까지나 사고가 발생할 위험을 조기에 차단하고 막는 것에 그칠 수 있습니다. 보다 근본적으로 필요한 것은 사고를 야기할 수 있는 위험조차 사전에 예방할 수 있는 구조가 필요하죠. 즉, 사고가 발생한 후가 아니라, ‘왜 그 사고가 가능했는지’까지 파고드는 구조, 어떻게 패턴을 추적하고 재발을 막는 보안을 만들어가야 하는지에 대한 방안이 필요합니다. 그 내용을 이어서 살펴봅시다.

​

4. 사고 이후 복구보다 중요한 것 – 재발을 막는 구조 확립

“데이터를 복구했다고 해서, 그 사고가 끝난 건 아닙니다.”

<이미지 출처: IMDb, Chernobyl" Vichnaya Pamyat (TV Episode 2019)>

체르노빌 원전 폭발 이후, 소련 정부는 겉으로 보이는 피해만 복구하려 했습니다. 원인을 규명한 주인공을 협박해 원전 사고의 진짜 원인은 은폐했고, 소련 정부는 정보 공유를 철저히 통제했죠. 물론 결국에 원인이 밝혀지긴 했습니다. 어떻게 밝혀진 것인지는 뒤에서 다시 언급할게요.

아무튼, 사이버 보안도 마찬가지입니다. 많은 기업이 랜섬웨어 복구, 운영 복구, 가용성 확보에만 집중하지만, 그 사고가 왜 가능했는지에 대한 질문은 뒷전이라는 거죠.

• ■파고는 사고 이후 '재현'부터 시작한다

PAGO Security Summit 2025 조찬 세션에서는 한 제조업체의 사례가 언급됐습니다. 해커가 협력사의 VPN 계정을 탈취해 초기 침투에 성공했고, 이후 보안 솔루션이 설치되지 않은 시스템을 감염시킨 것인데요. 파고는 이를 자사의 MDR 플랫폼인 DeepACT를 통해 탐지하고, 해당 자산을 격리했으며, 관련 사용자 계정과 C2 서버 통신을 모두 차단했습니다. 복구가 아니라, 공격 재현과 공격자 루트 분석을 통해 재공격 가능성을 완전 차단한 사례였습니다. 

그래서 파고는 보안 사고가 발생하면 단순 복구나 로그 분석에서 끝내지 않고, 그 사고가 어떤 흐름으로 발생했는지를 정밀하게 재구성합니다. 이렇게 말이죠.

즉, 한 번 털린 곳은 다시 털릴 가능성이 높기에, '재공격’의 가능성을 인정해야만 내부적으로 보안 방침을 바꿀 수 있다는 겁니다.

• ■복구로 끝내면, 다음 공격이 기다리고 있다

많은 기업이 사고 이후 대응을 다음과 같이 마무리합니다.

• ●백업 데이터 복원

• ●시스템 정상화

• ●사용자 비밀번호 초기화

하지만 파고는 여기에 멈추지 않고 “이 사고의 근본 원인이 완전히 제거되었는가?”를 질문합니다.

• ●VPN 로그가 남아 있는가?

• ●초기 침입 IP는 어디까지 이동했는가?

• ●비정상적인 계정 생성이나 UAC 우회가 있었는가?

• ●사고 발생 이전의 알림 누락 시점은 없었는가?

이렇게 함으로써 재공격 가능성을 사전에 봉쇄하는 것이 핵심입니다.

• ■파고가 존재하는 이유: 사이버보안의 프론트라인이 되자

복구는 누구나 할 수 있습니다. 하지만 재발을 막을 수 있는 구조를 만들 수 있는 조직은 많지 않죠. 파고가 말하는 ‘프론트라인’은 단지 공격을 막는 첫 번째 방어선이 아니라 재공격이 반복되지 않도록 하는 구조까지 설계하는 조직입니다.

그래서 파고는 묻습니다.

• ●지금 이 사고는 왜 발생했는가?

• ●이 공격자는 무엇을 노렸는가?

• ●다시 공격이 들어올 수 있는 조건은 남아 있는가?

• ●이 위협은 시스템이 아닌 ‘사람의 판단’으로 감지될 수 있었는가?

이 질문에 답하지 못하면, 다음 공격은 더 빨리, 더 정교하고 치밀하게 찾아올겁니다.

​

5. 사고를 막는다는 것의 진정한 의미 – 진실을 보고, 먼저 움직이는 사람들

<이미지 출처: Metro, Will there be a second series of Sky Atlantic/HBO drama Chernobyl?>

HBO 드라마 체르노빌의 마지막 장면에서 주인공 레가소프는 법정에서 폭발의 진짜 원인을 밝힙니다. 

설계 결함이 있었고, 정보가 공유되지 않았고, 모두가 눈을 감았다.

그는 경고합니다. 

다른 원전도 똑같은 문제를 안고 있다. 지금 바로 조치를 취해야 한다.

고 말이죠.

하지만 그는 쫓겨납니다. 발언권을 박탈당하고, 연구소에서 배제된 채 사실상 고립됩니다. 그래서 그는 자신이 알고 있는 진실을 녹음기로 남긴 후 스스로 생을 마감합니다. 그 녹음은 세상에 공개되고, 뒤늦게서야 다른 원전에 대한 예방 조치가 이루어졌습니다. 진실은 희생 끝에 세상에 닿았고, 그제야 변화가 시작됐습니다.

사이버 보안도 다르지 않습니다. 많은 조직이 사고가 터진 뒤에야 ‘왜 이런 일이 가능했는가’를 되묻습니다. 하지만 그때는 너무 늦었습니다. 골든타임은 지나고, 데이터는 암호화됐으며, 고객의 신뢰는 다시 회복하기 어려운 상태가 될 것이 자명하죠.

파고는 자신을 프론트라인이라 부릅니다. 이는 단지 '제일 앞에 서겠다'는 선언이 아닌, 위험이 오기 전에 막아야 하는 책임을 자처하겠다는 약속입니다. 실제 PAGO Security Summit 2025 조찬 세션에서 파고 네트웍스 권영목 대표는 아래와 같이 언급했습니다.

응급실은 병을 고치지는 않습니다. 하지만 생명을 잃는 걸 막을 수는 있습니다.

일반적으로, 우리 몸의 상처를 완전히 치유하는 데는 어느정도 시간이 필요합니다. 그리고 이 완치의 영역은 병원의 각 전문 과목이 담당하죠. 반면, 응급실의 역할은 상태가 악화되기 전에 빠르게 개입해 위기를 막는 것입니다. 응급실에서 응급 처치를 받은 다음에야 비로소 입원 치료든 외래 진료든 시간을 들여 본격적인 치료가 시작되잖아요? 파고의 역할은 바로 그 ‘응급실’에 해당합니다. 

위험이 더 커지기 전에 즉시 개입해 확산을 억제하고, 상황을 통제하는 것. 이것이 바로 파고가 말하는 프론트라인 보안의 핵심입니다.

• ■단순한 복구가 아닌, 구조의 재설계

파고는 사이버 사고가 발생했을 때 단순히 시스템만 복원하지 않습니다. 진짜 중요한 것은 '왜 그 사고가 가능했는가'를 분석하고, 다시는 같은 경로로 침투할 수 없도록 구조를 재설계하는 것인데요. 이를 위해 파고는 다음과 같은 4가지 사항을 제안합니다.

• ●데이터 복구 및 시스템 가용성 정상화
  

• ●내부에 잔존한 위협 제거 및 클리닝
  

• ●외부에서 여전히 진행중인 위협 차단
  

• ●위협의 근본 원인 분석, 재발 가능성 제거, IOC 및 룰셋 강화

이 4가지 프로세스를 통해, 파고는 단 한 건의 사고도 모든 고객의 위협 대응 체계를 고도화하는 계기로 삼고 있습니다. 결국 파고가 지향하는 것은 ‘사고가 없는 보안’이 아니라, 사고를 통해 더 빨리 배우고, 더 빨리 막을 수 있는 보안 구조의 진화라고 할 수 있겠죠. 그래서 파고 권영목 대표는 이렇게 말합니다.

한 명의 사고는 모든 고객의 수업료가 되어야 한다.

이 수업료를 탐지 룰로, 대응 프로세스로, 그리고 선제 전략으로 전환해 모든 고객의 보안 수준을 한층 끌어올리는 데에 집중하고 있다는 것입니다.

​

6. 결론: 진실을 감추지 않는 보안이 진짜 보안

체르노빌 사고는 거짓말이 만든 참사였습니다. 경고는 무시됐고, 결함은 숨겨졌으며, 진실은 은폐됐죠. 드라마 결말 부분에서 이런 대사가 나옵니다.

모든 거짓말에는 대가가 있습니다. 그리고 그 대가는 단지 거짓말을 한 사람만이 아니라, 우리 모두에게 부과됩니다.

 파고는 사이버 보안에서 가장 중요한 덕목 중 하나를 '진실을 직시하는 태도'라고 말합니다. 사고가 발생했을 때 사실을 감추거나 축소하는 것이 아니라, 그 원인을 명확히 밝히고 구조적으로 개선할 방법을 찾는 것이야말로 진짜 보안이라는 철학이죠. 그래서 파고는 

• ●한 고객에게서 확인된 위협 정보를 다른 고객 환경에도 빠르게 적용합니다. 

• ●위협을 은폐하거나 과소평가하지 않고, 재발을 막기 위한 룰 강화와 프로세스 개선까지 이어갑니다. 

• ●무엇보다, 기술이 전부가 아니라는 점을 인정하며 ‘판단’, ‘책임’, ‘경계’라는 사람의 역할을 보안의 핵심에 둡니다. 

파고는 자신들의 역할이 사고 이후에 복구하는 마지막 방어선이 아니라, 사고 직전에 움직이는 가장 앞선 방어선이라고 말합니다. 위협이 아직 현실화되지 않았더라도, 그 가능성이 감지되면 먼저 움직입니다. 이게 바로 파고가 추구하는 프론트라인 보안의 본질이라는 것을 기억해 주시기 바랍니다.

최근 발생한 굵직굵직한 보안 사고로 인해 기업은 막대한 피해를 입었고, 많은 사람들이 불안에 떨고 있습니다. 사고가 발생한 다음 취하는 조치는 이미 늦은 겁니다. 사고가 발생하기 전에 막아야 하죠. 그리고 사고를 일으킬 위험을 조기에 차단할 수 있어야 합니다. 이건 기술이, AI가 할 수 없습니다. 사람이 해야 합니다. 그런데 모든 기업이 보안 전문가를 보유할 수 없고, 보유했다 하더라도 그들이 24시간 해커의 공격을 탐지하며 모니터 앞을 떠나지 않기란 불가능에 가깝습니다.

그래서 파고가, MDR 서비스가 필요합니다. 여러 보안 솔루션을 활용해 데이터를 수집해서 위험을 조기에 감지하고, 선제적으로 조치해 위험을 차단해야 대형 보안 사고를 막을 수 있지 않을까요?

'Your Frontline Against Cyber Threats'

이제, 이 슬로건이 어떤 의미인지 잘 아시리라 생각합니다.

그럼 이쯤에서 이런 의문이 들 수 있습니다.

"우리 회사도 보안 솔루션 많은데 왜 조용한거지? 이거 괜찮은건가?"

"파고의 MDR 서비스 한번 받아보고 싶은데, 저 많은 솔루션들 다 도입해야 하나?"

만약 이런 궁금증이 생긴 분들이라면, 파고의 Freemium Threat Cleaning, Incident Response 서비스를 받아보시기 바랍니다. 말 그래도 무료 서비스이며, 최대 3개월까지 파고가 제공하는 MDR 플랫폼, DeepACT는 물론, SentinelOne, Stellar Cyber, StealthMole까지 모두 체험해 보실 수 있습니다.

파고 권영목 대표의 말에 따르면, 실제로 이 무료 서비스를 체험해 보시고 유료 고객으로 전환되는 확률이 80%에 달한다고 합니다. 우리 회사의 보안 상태가 걱정되신다면, 지금 바로 파고네트웍스의 전문가에게 연락하셔서 Freemium 서비스를 신청해 보시기 바랍니다.

• ●파고네트웍스 MDR 서비스 문의하기

여기까지 총 3개에 걸쳐 파고 네트웍스가 진행한 PAGO Security Summit 2025의 주요 내용, 그리고 파고만의 보안 운영 철학을 심도있게 정리했고요. 사내 보안 담당자 분들, 특히 끊임없이 시도되는 보안 위협으로 고민이 많은 분들께 조금이나마 도움이 되었기를 바랍니다. 3개 글 모두 꼼꼼히 읽어 주신 여러분께 진심으로 감사드립니다.

끝!