‘인수 합병 증가, 신규 카테고리 등장 外’··· 사이버보안 최신 트렌드 7선

가트너에 따르면 기업의 보안 예산은 2025년에 15% 증가해 2024년 예상치인 1,840억 달러에서 2,120억 달러로 늘어날 전망이다. 이는 사이버 공격에 대응하기 위한 추가 리소스를 확보할 수 있다는 점에서 CISO에게 희소식이다.

가트너의 선임 연구 책임자인 샤일렌드라 우파디야이는 “심화되는 위협 환경, 클라우드로의 이동, 인재 부족 현상으로 인해 보안이 최우선 과제가 되고 있으며, CISO는 보안 지출을 늘려야 한다는 압박을 받고 있다”라고 설명했다.

CISO는 투자 대비 최대의 효과를 얻기 위해 보안 예산을 어떻게, 어디에 배정할지에 대한 어려운 결정을 내려야 한다.

현재 약 3,000개의 사이버보안 기업이 제품과 서비스를 제공하고 있으며, 신생 스타트업도 막대한 자금을 조달하고 있다. 또한 현재 플랫폼이 커버하지 못하는 보안 허점을 메우도록 설계된 신규 제품 카테고리가 계속해서 등장하고 있다.

CISO가 사이버보안 시장의 모든 변화를 파악하기는 불가능하지만, 알아둬야 할 몇 가지 주요 트렌드를 소개한다.

플랫폼 지원을 위한 인수 합병(M&A) 증가

포레스터의 분석가 제프 폴라드는 “사이버보안 분야에서 더 많은 인수 합병이 일어날 전망이다. 이는 몇 가지 다른 시나리오로 나타날 것”이라고 전했다. 그는 “먼저 대기업들이 혁신 노력을 가속화하기 위해 계속해서 소규모 벤더들을 인수할 것이며, 플랫폼화 이니셔티브가 주요 동인으로 작용할 것”이라고 분석했다.

폴라드는 또한 “사이버보안 시장이 성장함에 따라 기존 IT 벤더들이 IT 제품 및 서비스에서 벗어나 이 시장에 진입하고 있다. 이로 인해 보안 벤더 인수가 진행될 것으로 예상된다”라고 말했다.

대표적인 예로 시스코(Cisco)는 AI 기반 SIEM 리더인 스플렁크(Splunk)를 280억 달러에 인수했다. 이는 시장에 2가지 메시지를 전했다. 라우터와 스위치는 더 이상 성장 시장이 아니지만, 사이버보안은 그렇다는 것이다. 또한 AI는 단순한 유행어가 아니라 앞으로 사이버보안 기업의 핵심 차별화 요소가 될 것이라는 점이다. AI를 활용해 원시 데이터를 실행 가능한 인텔리전스로 전환하는 기업이 성공할 것으로 전망된다.

시스코와 스플렁크의 거래 직후, 팔로알토 네트웍스는 IBM의 Q레이더(QRadar) SIEM 솔루션을 5억 달러에 인수했으며, Q레이더 고객은 팔로알토의 코텍스 XISAM(확장된 보안 인텔리전스 및 자동화 관리) 플랫폼으로 전환할 계획을 세우고 있다.

지난해 다른 사이버보안 벤더들도 바쁘게 움직였다. 클라우드플레어는 SASE 플랫폼을 강화하기 위해 클라우드 보안 스타트업 키베라(Kivera)를 인수했다고 발표했다. 크라우드스트라이크의 경우 SaaS 보안 스타트업 어댑티브 실드(Adaptive Shield)를 인수했다. 래피드7은 CAASM(사이버 자산 공격 표면 관리)에 중점을 둔 스타트업 노에틱 사이버(Noetic Cyber)를 인수했다.

포티넷은 SASE 제품을 강화하기 위해 넥스트DPL(Next DPL)을 인수했다. 카세야는 SaaS얼럿(SaaS Alerts)을 인수했고, 프루프포인트는 DSPM(데이터 보안 태세 관리) 스타트업 노말라이즈(Normalyze)를 인수했다. 또한 넷스코프는 DSPM 벤더인 다세라(Dasera)를, 지스케일러는 아발로 테크놀로지스(Avalor Technologies)와 에어갭 네트웍스(Airgap Networks)를 포트폴리오에 추가했다.

주요 기업의 점유율 확대

사이버보안 시장에는 수많은 단일 제품 벤더가 있지만, 소수의 대형 플랫폼 업체들이 두각을 나타내며 시장 점유율을 확대하고 있다.

리서치 기업 카날리스에 따르면, 고객이 플랫폼으로의 전환을 위한 초기 단계를 밟으면서 상위 12개 벤더들이 가장 큰 이익을 얻은 것으로 나타났다. 이들은 2024년 2분기 총 지출에서 전년 대비 1.3% 증가한 53.2%를 차지했다.

시장 선두는 팔로알토 네트웍스(9.5%)였으며, 그 뒤를 이어 포티넷(6.9%), 시스코(6%), 마이크로소프트(5.7%), 크라우드스트라이크(3.7%), 체크포인트(3.4%), 옥타(3.3%) 등이 점유율을 차지했다.

카날리스의 수석 분석가 매튜 볼은 시장의 성장과 통합이 계속될 것이라고 예측했다. 그는 “위협 수준이 여전히 높은 상태다. 고객들은 사이버 복원력 향상을 위한 투자를 계속 미룰 수 없다”라고 전했다.

IDC의 최신 보안 어플라이언스(방화벽, IDS/IPS, VPN) 트래커도 비슷한 순위를 보여주고 있다. 팔로알토 네트웍스가 1위를 차지했고, 그 뒤를 포티넷, 시스코, 체크포인트가 따랐다.

벤처 캐피털의 사이버보안 투자 강세

크런치베이스에 따르면 2024년 사이버보안 분야에 대한 벤처 캐피털(VC) 투자가 43% 증가한 것으로 나타났다. VC 지원을 받는 사이버보안 스타트업에 대한 총 자금 조달액은 2023년 81억 달러에서 약 116억 달러로 늘어났다.

총 거래 건수는 감소했지만, 성사된 거래 규모는 과거보다 더 컸다. 예를 들어, 클라우드 보안 스타트업 위즈(Wiz)는 10억 달러를 조달했고, 보안 파일 전송 벤더 카이트웍스(Kiteworks)는 4억 5,600만 달러를, 관리형 보안 서비스 제공업체 I-트레이싱(I-Tracing)은 5억 달러 이상을 조달했다.

대규모 자금을 조달한 다른 스타트업들로는 양자 기술을 AI 개발에 적용하려는 샌드박스AQ, 데이터 보안 벤더 사이에라, 엔드포인트 행동을 분석하는 자산 인텔리전스 플랫폼을 개발 중인 아르미스 시큐리티 등이 있다.

그러나 크런치베이스는 투자자들이 AI 스타트업으로 우선순위를 옮기면서 사이버보안 기업에 대한 VC 자금 조달이 영향을 받을 수 있다고 경고했다. 하지만 현재로서는 시장이 여전히 강세를 유지하고 있다.

플랫폼 vs 포인트 제품

가능한 모든 취약점을 해결하는 광범위한 사이버보안 플랫폼이 있다면 좋겠지만, 적어도 현재로서는 나오지 않았다.

포레스터의 폴라드는 “CISO는 플랫폼화 접근 방식을 계속 추구할 것이다. 통합의 용이성이 높고, 자동화가 가능하며, 생산성을 향상시킬 수 있기 때문이다. 그러나 포인트 제품이 사라지지는 않을 전망이다. 이들은 플랫폼이 해결하지 못한 제어 격차를 보완하는 데 사용될 것”이라고 진단했다.

엔터프라이즈 테크놀로지 리서치(ETR)의 최근 설문 조사에 따르면 응답자의 51%는 향후 12개월 동안 보안 스택의 업체 수가 늘어날 것으로 예상했다. 감소를 예상한 비율은 9%에 불과했다.

ETR의 수석 전략가인 에릭 브래들리는 벤더들이 플랫폼화 전략을 추구하고 있다고 설명하면서도, “이 조사 결과는 최종 사용자들이 여전히 최고의 제품을 구매하고 필요할 때 벤더 수를 늘려 계층화된 방어를 구축하고 있음을 보여준다”라고 설명했다.

이를 통해 알 수 있는 점은 CISO들이 이중 접근 방식을 취하고 있다는 것이다. 한편으로는 도구 남용을 막기 위해 플랫폼을 도입하고 있지만, 다른 한편으로 조직이 즉각적인 위협을 감지했을 때는 플랫폼 벤더의 기능 개발을 기다리기보다 신속하게 구축할 수 있는 최고 수준의 단일 제품을 선택하는 경향이 있다. 플랫폼 벤더의 기능 추가는 대개 인수를 통해 이루어지며, 이후의 통합 과정이 원활할지는 불확실하기 때문이다.

독립형 SIEM의 전망 불투명

시스코의 SIEM 선두 기업 스플렁크 인수, 팔로알토의 IBM Q레이더 인수 및 해당 고객의 플랫폼 전환 계획, 그리고 로그리듬(LogRhythm)과 엑사빔(Exabeam)의 합병으로 인해 분석가들은 독립형 SIEM 시장이 쇠퇴하고 있다고 말했다.

대신 벤더들은 로그 파일 분석이라는 SIEM의 핵심 기능을 확장 탐지 및 대응(XDR)과 같은 더 고급 기능과 패키지로 제공하고 있다.

포레스터의 분석가 앨리 멜렌은 마이크로소프트, 구글 클라우드, 크라우드스트라이크, 센티넬원과의 치열한 경쟁 속에서 남아있는 독립형 SIEM 벤더들이 추가로 통합될 수 있다고 예측했다.

새로운 공격 표면이 된 AI/ML 시스템의 보호

AI는 긍정적(자동화된 위협 탐지 및 대응)이든 부정적(더 교묘한 공격)이든 기업 사이버보안에 큰 영향을 미치고 있다. 그러나 데이터가 풍부한 AI/ML 시스템 자체를 데이터 오염이나 다른 유형의 공격으로부터 보호하려면 어떻게 해야 할까?

이를 위해 AI 보안 태세 관리(AI-SPM)라는 새로운 도구 카테고리가 등장했다. AI-SPM은 AI 시스템의 전체 수명 주기에 걸쳐 보호, 가시성, 관리 및 거버넌스를 제공한다. 해당 분야의 주요 벤더에는 팔로알토, 마이크로소프트, 크라우드스트라이크와 같은 기존 업체들과 프로텍트 AI, 위트니스 AI 등의 신생 기업이 있다.

최근 ‘보안 태세 관리’ 제품 카테고리가 등장 및 발전하고 있는데, 클라우드 보안 태세 관리(CSPM)도 주요 제품군으로 떠올랐다. AI-SPM과 CSPM 두 도구 세트는 상호 보완적이지만 다른 사용 사례를 다룬다. CSPM은 퍼블릭 클라우드 환경의 위험을 평가하고 완화하며, 취약점을 만드는 잘못된 구성을 탐지하고, 규제 정책 준수를 강제하는 데 중점을 둔다.

단일 벤더 SASE의 부상

가트너가 정의한 보안 접속 서비스 엣지(SASE)는 SD-WAN과 제로 트러스트 네트워크 액세스(ZTNA), 보안 웹 게이트웨이(SWG), 클라우드 액세스 보안 브로커(CASB), 네트워크 방화벽을 포함하는 서비스 제공을 의미하며, 벤더는 여러 제품을 단일 제품군으로 결합하는 작업을 수행한다.

초기 단일 벤더 제품은 미성숙하고 통합이 부족했기 때문에 다중 벤더 SASE가 인기 있는 선택이었다. 그러나 이제 상황이 바뀌고 있다.

델오로 그룹의 분석가 마우리시오 산체스는 “2019년 SASE 시장 추적을 시작한 이래, 지금까지는 다중 벤더 솔루션이 단일 벤더보다 시장에서 우세했다. 그러나 앞으로는 단일 벤더 SASE가 시장의 과반수를 차지하게 될 것으로 예상한다”라고 전했다.

산체스는 “단일 벤더 SASE 솔루션의 성숙도가 높아짐에 따라 단일 벤더에서 모든 것을 구매할 수 있다는 편리함도 커지고 있다. 여러 벤더로부터 최고의 제품을 찾아야 한다는 압박은 서서히 줄어들고 있다”라고 설명했다. 델오로 그룹은 기업이 배포와 관리를 단순화하는 통합 원스톱 솔루션을 선호하게 되면서 단일 벤더 SASE 솔루션은 2028년까지 시장의 85% 이상을 차지할 것으로 전망했다.

이 시장은 72%의 점유율을 가진 6개 벤더를 중심으로 통합되고 있다. 델오로에 따르면 지스케일러, 시스코, 팔로알토 네트웍스, 브로드컴, 포티넷, 넷스코프가 여기에 해당된다.
[email protected]