공격 가치와 방어 강도는 비례해야한다.

핵심 통찰

• 모든 것을 똑같이 보호하려는 시도는 가장 중요한 것을 위험에 빠뜨린다.
• 왜?
  • 공격자는 공평하게 공격하지 않는다.
  • 가장 가치 있는 것을 집중 공격한다.
• 따라서 방어도 불공평해야 한다.

왜 이것이 중요한가

공격자는 합리적이다:

• ROI 계산: (예상 이득) / (시간 + 비용 + 위험)
• 관리자 계정 하나 > 일반 계정 100개
• 노력은 가치가 높은 곳에 집중

방어자는 제한적이다:

• 무한 예산 없음
• 모든 것에 최고 보안 = 비용 폭발 + 사용성 붕괴
• 균등 보호 = 평범한 보호 = 중요한 것에 불충분

수학적으로:

같은 예산:

균등: 모두 중간 수준 → 중요한 것 취약 차등: 중요한 것 강력 + 나머지 적절 → 핵심 보호

역설

"모두에게 공평하게"는 좋은 의도지만 실패한다.

왜냐하면:

• 가치는 균등하지 않다
• 위협도 균등하지 않다
• 자원은 제한적이다

불공평한 방어가 실제로는 더 공평한 결과를 낳는다.
(전체 시스템이 더 안전해지므로)

예시 및 링크

• 브루트포스 공격 - 리터레처
  • 저비용 공격이므로, 고가치 대상은 이를 완벽하게 방어할 수 있어야 함.
• Windows SSH 서버의 보안 정책은 관리자 계정에 대해 키 기반 인증을 강제한다
  • 윈도우는 관리자 계정에 대한 저비용 공격 시도 가능성 자체를 없앰