“올해 보안, 이것만은 필수” 글로벌 리더가 꼽은 2026년 우선 과제

2026년을 앞두고 CISO와 끊임없이 진화하는 사이버 공격자 간의 대결이 다시 한 번 격화되는 가운데, 공격자보다 한발 앞서 주도권을 유지하기 위해서는 치밀하게 기획된 강력한 사이버 보안 프로젝트가 효과적인 대응책일 수 있다.

데이터 거버넌스부터 제로 트러스트까지, 향후 1년 동안 모든 CISO가 도입을 검토해볼 만한 핵심 사이버 보안 프로젝트 7가지를 정리했다.

1. AI 시대를 위한 아이덴티티 및 접근 관리 전환

AI와 자동화 기술이 진화하면서 직원의 접근 권한뿐 아니라 AI 에이전트와 머신 프로세스의 아이덴티티까지 관리하는 것이 이제 필수적인 사이버 보안 요소로 자리 잡고 있다. 딜로이트 미국 사이버 아이덴티티 부문 리더인 앤서니 버그는 이러한 변화를 보안의 핵심 과제로 짚었다.

버그는 “특히 에이전틱 AI를 중심으로 한 AI의 빠른 발전이 많은 보안 리더로 하여금 아이덴티티 관리 전략을 다시 생각하게 만들고 있다”라며 “사람과 비인간 아이덴티티를 모두 아우르는 보다 정교한 아이덴티티 거버넌스에 대한 요구가 CISO와 CIO로 하여금 차세대 디지털 전환을 대비한 보안 프레임워크를 재구성하도록 이끌고 있다”라고 설명했다.

그는 생성형 AI와 에이전틱 AI가 새로운 비즈니스 모델과 더 높은 수준의 자율성을 가능하게 하는 만큼, 조직이 아이덴티티 및 접근 관리(IAM) 프로그램을 선제적으로 현대화하는 것이 중요하다고 언급했다. 모든 디지털 아이덴티티 전반의 접근을 보호하는 것은 민감한 데이터 보호와 규제 준수, 운영 효율성 확보를 위해 필수적이라는 설명이다.

버그는 라이프사이클 관리, 강력한 인증, 정밀한 역할 및 정책 기반 접근 제어와 같은 IAM 역량을 고도화하면 비인가 접근을 차단하고 탈취된 자격 증명으로 인한 위험을 줄일 수 있다고 밝혔다.

또한 이러한 통제를 비인간 아이덴티티까지 확장하면 시스템이나 데이터와 상호작용하는 모든 주체를 적절히 관리할 수 있으며, 정기적인 접근 권한 검토와 지속적인 교육을 병행할 경우 정보 보호 수준을 높이고 고도화된 AI 기술을 보다 안전하게 도입하는 데 도움이 된다고 설명했다.

2. 이메일 보안 강화

카네기멜론대학교 CISO인 메리 앤 블레어는 피싱이 여전히 자격 증명을 탈취하고 피해자를 속이는 주요 공격 경로로 활용되고 있다고 설명했다. 그는 위협 행위자들이 메일 서비스 제공업체의 탐지 기능을 효과적으로 회피할 수 있을 만큼 점점 더 정교한 피싱 공격을 만들어내고 있다고 경고했다.

블레어는 “기존의 다중요소 인증 기법은 이제 반복적으로 무력화되고 있으며, 공격자들은 침투에 성공한 이후 이를 빠르게 수익화하는 단계로 이동하고 있다”라고 언급했다.

이처럼 갈수록 대응이 어려워지는 이메일 보안 환경 속에서 블레어는 CISO가 보안 프로젝트를 추진하는 과정에서 외부 전문 조직의 지원을 검토할 필요가 있다고 조언했다. 실제로 그가 접촉한 여러 벤더는 제안요청서(RFP)에 응답하는 한편, 최신 보안 역량을 시험 적용할 수 있도록 테스트 환경을 제공하고 있다고 전했다.

3. AI를 활용한 코드 취약점 탐지

시스코 AI 연구원 아만 프리얀슈는 자원이 제한된 환경에서도 효과적으로 동작할 수 있는 소형 언어 모델(SLM)을 활용해 자율적으로 취약점을 탐색하는 에이전트를 개발하고 있다.

프리얀슈는 사이버 보안이 본질적으로 긴 맥락을 다뤄야 하는 영역이라고 설명했다. 최신 대규모 언어 모델(LLM)이 이를 처리할 수는 있지만, 비용이나 지연 시간 측면에서 상당한 부담이 따른다는 것이다. 그는 “조직의 코드베이스는 보통 수천 개 파일과 수백만 줄의 코드로 구성된다”라며 “특정 취약점을 찾아야 할 때 모든 코드를 대형 모델에 입력하면 감당하기 어려울 정도로 비용이 커지거나, 아예 맥락 한계를 초과하는 문제가 발생한다”라고 밝혔다.

프리얀슈는 이 프로젝트가 대부분의 보안 분석가가 취약점을 찾는 방식과 유사한 접근을 구현하는 데 목적이 있다고 설명했다. 잠재적인 취약 지점을 추론한 뒤 해당 영역을 탐색하고, 관련 코드를 가져와 분석하는 과정을 반복해 약점을 찾아내는 방식이다. 그는 “연구를 통해 이 접근법이 효과적이라는 점은 이미 확인했다”라며 “2026년에는 이를 확장해 실제 환경에서의 적용 가능성을 실질적으로 검증하고자 한다”라고 전했다.

이미 침투 테스터와 보안 연구원들은 생성형 AI를 취약점 탐색에 활용해 왔으며, AI 기반 버그 헌팅은 취약점 발견 속도를 높이는 동시에 그 접근성을 확대하는 흐름을 보이고 있다. 이는 효과적인 버그 바운티 프로그램을 설계하는 기준에도 변화를 주고 있다.

4. 기업 전반의 AI 거버넌스 및 데이터 보호 강화

AI 리스크와 자율형 위협이 사이버 보안 환경을 재편하는 가운데, AI 기반 커뮤니케이션 및 협업 솔루션 기업 고투(GoTo)의 CISO인 아틸라 퇴뢰크는 조직 내 모든 AI 도구를 안전하게 관리·모니터링하는 한편, 승인되지 않은 플랫폼을 차단해 데이터 유출을 방지하는 데 주력하고 있다.

퇴뢰크는 “설계 단계부터 보안을 내재화하는 원칙을 적용하고 사이버 보안을 비즈니스 전략과 정렬함으로써 회복력과 신뢰, 규제 준수를 동시에 구축하고 있다”라며 “이러한 요소는 AI 시대의 핵심적인 차별화 요인”이라고 설명했다. 다만 그는 여느 대규모 보안 이니셔티브와 마찬가지로, 특정 조직이나 부서에 국한된 접근으로는 성공할 수 없다고 경고했다.

그는 “현재와 미래의 성공을 보장하는 실행 방식을 정립하기 위해서는 전사 모든 부서와의 협업이 필요하다”라고 언급했다.

5. 보안 운영 강화를 위한 AI 우선 전략

세일즈 성과 관리 기업 잭틀리(Xactly)의 CISO 매슈 샤프는 수치 분석 결과와 위협 환경 변화 모두가 AI 신뢰를 최우선 과제로 삼아야 함을 보여주고 있다고 설명했다. 그는 자사 보안 운영을 대상으로 크리스텐슨식 분석을 수행한 결과, 증적 수집과 경보 검증, 규제 준수 보고와 같은 업무를 포함해 전체 기능적 작업의 약 67%가 기계적 성격을 띠며 자동화가 가능하다는 점을 확인했다고 밝혔다.

샤프는 “공격자들은 이미 머신 속도로 AI를 활용해 공격하고 있다”라며 “인간의 속도로 대응하는 방식으로는 AI 기반 공격을 방어할 수 없다”라고 지적했다. 이어 “AI 신뢰를 보안 운영에 적용하면, 기계가 더 효율적으로 수행할 수 있는 작업을 인간 분석가가 처리해야 하는 상황을 피할 수 있고, 동일한 방식으로 대응 역량을 끌어올릴 수 있다”라고 설명했다.

AI가 방어 수단으로서 실질적인 도구로 자리 잡으면서, CISO들은 조직 내 보안 팀 운영 방식 역시 AI의 잠재력을 최대한 활용할 수 있도록 재검토하고 있다.

6. 기본값으로서의 제로 트러스트 모델 전환

소프트웨어 개발 기업 유리스틱(Euristiq)의 CTO 파블로 트히르는 2026년 핵심 프로젝트로 자사 내부 개발과 고객 개발 전반에 제로 트러스트 아키텍처를 구현하는 작업을 꼽았다. 그는 “보안이 중요한 기업과 오랫동안 협력해 왔지만, 2026년에는 시장과 규제 요구 수준이 크게 높아지면서 ‘제로 트러스트 기본값’ 모델로의 전환이 전략적 필수 과제가 될 것”이라고 설명했다.

트히르는 이 프로젝트가 단순히 자사 보안을 강화하는 데 그치지 않는다고 밝혔다. 그는 “고부하 엔터프라이즈 시스템부터 데이터 무결성이 중요한 AI 기반 솔루션에 이르기까지, 고객을 위한 보다 안전한 플랫폼을 구축할 수 있게 될 것”이라며 “인프라와 개발, CI/CD, 내부 도구 전반에 제로 트러스트를 적용함으로써 통합된 보안 기준을 마련하고, 이를 고객 아키텍처에도 이전할 계획”이라고 전했다.

이 이니셔티브는 특정 보안 사고를 계기로 시작된 것은 아니라고 트히르는 설명했다. 그는 “위협 모델이 그 어느 때보다 빠르게 변화하고 있다는 점을 확인했다”라며 “공격은 더 이상 경계에서만 발생하는 것이 아니라, 라이브러리 취약점이나 API, 취약한 인증 메커니즘, 잘못 설정된 권한 등 내부 요소를 통해 점점 더 많이 발생하고 있다”라고 분석했다. 이러한 변화가 접근 방식을 근본적으로 재검토하게 만든 계기라고 밝혔다.

7. 전사 차원의 데이터 거버넌스 강화

엔터프라이즈 데이터·AI·데이터 패브릭 솔루션 기업 솔릭스 테크놀로지스(Solix Technologies)의 총괄 배리 쿤스트는 2026년 우선 과제로 모든 전사 시스템에 걸친 통합 데이터 거버넌스 및 보안 프레임워크 구축을 제시했다. 그는 이 이니셔티브가 많은 조직이 여전히 겪고 있는 섀도 데이터 문제와 일관되지 않은 접근 통제, 규제 준수 공백을 해소하기 위한 목적도 함께 담고 있다고 설명했다.

쿤스트는 “모든 환경에서 데이터 분류와 보호, 모니터링 방식을 표준화하면 추적되지 않는 민감 데이터라는 가장 큰 보안 허점을 줄일 수 있다”라며 “이 프로젝트는 가시성을 높이고 정책 기반 통제를 강화해 멀티클라우드 환경에서의 노출을 줄이는 방식으로 보안 수준을 끌어올릴 것”이라고 언급했다.

그는 고객들이 급격한 데이터 증가와 새로운 규제 요구에 압도되는 상황을 목격한 이후 이번 프로젝트를 추진하게 됐다고 밝혔다. 현재 보안 및 클라우드 엔지니어링 팀이 주요 기술 파트너와 협력하고 있으며, 2026년 3분기 도입을 목표로 준비가 진행 중이라고 전했다.
dl-ciokorea@foundryco.com