사이버 위협이 계속 진화하면서 CISO들은 점점 더 복잡해지는 위협 환경에 대비해야 한다. AI 기반 공격부터 변화하는 규제 요구사항에 이르기까지, 2025년은 CISO들에게 또 다른 도전의 해가 될 전망이다.
그러나 앞서 나가기 위해서는 최첨단 도구 또는 신기술을 도입 그 이상을 해야 한다. 이제 사이버보안을 단순한 기술적 기능이 아니라 비즈니스 회복력을 강화하는 전략적 수단으로 바라보는 사고방식의 전환이 필요하다.
2025년을 대비하기 위해 모든 사이버보안 리더가 고려해야 할 12가지 전략을 공유한다.
1. AI와 비즈니스의 연관성 파악하기
생성형AI의 부상은 다양한 산업과 사이버보안에 획기적인 변화를 가져왔다. 하지만 장점이 있으면 단점도 있기 마련이다. 기술 및 사이버보안 연구자 에릭 J. 허프먼은 “AI가 매우 유용할 수 있다는 점은 인정하지만, AI가 어떻게 악용될지 우려하고 있다”라며 “좋은 의도로 개발한 모든 것을 공격자는 악의적으로 활용 수 있다. 공격자는 우리보다 훨씬 더 창의적이다”라고 설명했다.
허프먼은 웜GPT(WormGPT)를 사례를 언급하며, 웜GPT 덕에 공격자가 더 쉽게 원하는 프로그래밍을 할 수 있게 됐다고 지적했다. 허프먼은 “웜GPT는 일종의 해커를 위한 챗GPT(ChatGPT)로, 랜섬웨어와 악성 코드, 취약점을 생성해준다”라며 “특히 영어, 중국어, 이탈리아어가 모국어가 아닌 위협 행위자의 코딩 작업을 매우 쉽게 만들어준다. 이제 원하는 언어로 피싱 이메일을 작성할 수 있으며, 상당히 그럴듯한 수준으로 작성된다”라고 경고했다.
허프먼은 CISO가 AI가 비즈니스에 필요한지 시간을 들여 평가해야 한다고 조언했다. 그는 “트렌드에 휩쓸려서는 안 된다”라며 “단순히 CEO가 ‘우리도 AI 솔루션이 필요하다’라고 지시했다고 AI를 곧바로 도입하면 안된다”라고 밝혔다.
2. AI 기술 역량 강화 및 긍정적 활용법 습득하기
보안 기업 세븐룰스 사이버(7Rules Cyber)의 설립자이자 CISO인 치라그 조시는 AI가 공격자만의 도구가 아닌 방어자의 강력한 동반자가 될 수 있다고 확신한다. 조시는 AI를 현명하게 활용하면 보안 침해로 인한 비용과 시간을 절감할 수 있다고 설명했다.
조시는 “기업은 AI 사용법과 위험성을 제대로 교육해야 하고, AI를 사용하는 사람들이 저지를 수 있는 실수나 오용을 방지하기 위한 관리 체계를 개선해야 한다. 이를 반영하지 못하는 교육과 인식 활동은 큰 격차를 초래할 수 있다”라고 조언했다.
그는 또한 “AI를 전략적으로 활용하면 데이터 유출 방지와 사고 대응 및 억제 시간 단축에 상당한 효과를 볼 수 있다”라며 “이러한 요소를 대응 및 탐지 계획에 반드시 포함해야 한다”라고 설명했다.
또한 조시는 CISO에게 위험 평가와 정책 지침 등의 영역에서 AI의 잠재력을 탐색할 것을 권고했다. 조시는 “AI 시스템 운영에는 반드시 인간의 감독이 필요하지만, AI를 활용해 감독 과정의 효율성과 정확성을 높일 수 있는 방안을 찾아야 한다”라고 전했다.
3. ID 중심 보안 강화하기
세이프브리치(SafeBreach)의 CISO인 아비샤이 아비비는 악의적 공격자들이 AI와 딥페이크 기술을 활용하는 사례가 늘어남에 따라, 이에 대한 대응책으로 ID 중심 보안의 중요성이 증대되고 있다고 강조했다.
아비비는 “공격자도 같은 AI 기술을 활용해 공격 능력을 강화하고 있다는 사실 그리고 ID 기반 보안과 딥페이크 기술이 가진 위험성을 제대로 이해하고 있어야 한다”라며 “이런 이해를 바탕으로 위협을 찾아내고 줄이거나 차단하는 보안 대책 마련에 더 많은 노력을 기울일 수 있다”라고 설명했다.
4. 기기 ID 보안 강화하기
아비비는 사람 중심의 신원 보호가 우선순위이긴 하지만, 자체적 위험을 수반하는 API와 기계 간 통신에 대한 의존도가 높아지는 문제 해결도 동등하게 중요하다고 강조했다.
아비비는 “기계 간 연결의 보안은 점점 더 중요해지고 있으며, 이 부분은 앞으로도 계속 주의 깊게 지켜봐야 한다”라고 설명했다.
5. 적정 수준의 보안 투자 보장하기
조시는 조직이 나날이 진화하는 사이버 위협에 대응하기 위해서는 ‘실효성 있고 비용 효율적인’ 보안 투자가 필수적이라고 강조했다. 특히 메디뱅크와 옵터스의 데이터 유출 사고 이후 호주에서 도입된 새로운 규제들이 이러한 투자의 중요성을 더욱 부각시켰다고 설명했다.
조시는 “조직에 실제로 도움이 되는 보안 체계를 구축하려면 현실적이면서도 효과적인 방안을 찾아야 한다. 이를 위해 보안 리더는 필요한 시점에 적절한 규모의 투자를 집행해야 한다. 탄탄한 보안 체계 구축은 이사회와 CISO가 공동으로 책임져야 할 핵심 과제이기 때문에 이사회에서도 높은 우선순위를 두고 함께 검토되야 한다”라고 설명했다.
6. 경영진 책임 보험을 마련하기
FTI 컨설팅의 호주 사이버 보안 책임자이자 수석 전무이사인 바우터 뷔겔렌은 2025년에는 CISO의 개인 책임에 대한 조사가 더욱 강화될 것으로 예측했다. 뷔겔렌은 CISO 관련 법적 소송이 증가하는 추세에 따라 CISO가 이사 및 임원 책임 보험 가입을 검토해야 할 시점이라고 설명했다.
뷔겔렌은 “CISO 직책을 맡은 사람은 앞으로 CEO와 동일한 수준의 조사를 받을 위험이 커진다. 전통적으로 CISO는 조직에서 가입한 보험 혜택을 보통 받을 수 없기에, 따로 보험을 준비해야 한다”라고 부게렌은 조언했다.
7. 사이버 보안 규제 선제적 대응하기
ISG(Information Services Group) 기술 연구 및 자문 회사의 CISO 데이비드 헐(David Hull)은 새로운 사이버보안 법률에 대비하는 것이 중요하다고 강조했다. 그는 “앞으로도 어마어마한 양의 법률이 도입될 예정이지만, 새로 제정된 법률은 추상적인 내용만 제시하는 경우가 많다”고 설명했다.
다만, 헐은 사이버 보안 업계의 특유의 협력 문화로 외부 도움을 받을 수 있다고 언급했다. 그는 “업계 종사가 모여 질문을 공유하고 해석 및 대응 방안을 함께 고민할 수 있다라”며 이러한 공동체의 역할을 높이 평가했다.
8. 경영진 대상 데이터 유출 비용 교육하기
CISO뿐만 아니라 경영진 역시 데이터 유출의 장기적 비용에 대해 더 깊이 이해해야 한다. 대다수 경영진이 데이터 유출의 즉각적 영향은 이해하지만, 장기적 비용은 과소평가하는 경향이 있다. 뷔겔렌에 따르면, 2022년 발생한 한 데이터 유출 관련 소송이 2025년 현재 법정에서 진행 중인 경우도 있다.
뷔겔렌은 “CISO는 경영진에게 이러한 비용의 중요성을 지속적으로 교육해야 한다. 따라서 전반적인 위험 노출과 대규모 사이버 보안 및 데이터 유출 가능성을 줄이기 위해, 선제적 사이버 보안 방어를 위한 예산 최적화를 모색해야 한다”라고 설명했다.
9. 비즈니스 언어로 소통하기
조시는 CISO가 직면한 가장 큰 과제 중 하나로 기술적 위험을 비즈니스 용어로 전환하는 능력을 꼽았다. 조시는 비즈니스 전반에서 이러한 간극을 좁히기 위한 CISO의 역할을 강조했다.
조시는 “비즈니스가 어떻게 수익을 창출하는지 반드시 이해해야 한다. CISO로서 이를 알지 못하면 비즈니스 상황과 동떨어질 수밖에 없다”고 말했다. 이어 “C레벨 경영진이 관심을 가지는 신규 사업, 신제품, 또는 새로운 전략과 관련된 내용을 어느 정도 전문성과 권위를 가지고 이야기할 수 없다면, 위험 관리에 대한 논의 자체가 불가능하다”고 설명했다. 그는 “사이버 리스크는 비즈니스 리스크를 통합하지 않고는 제대로 논의할 수 없다”고 강조했다.
10. 타 부서와 협력하기
사이버보안이 독립적으로 운영되던 시대는 지났다. 2025년에는 법무, 조달, 마케팅, 운영 등 여러 부서와 장기적인 관계를 구축하는 것이 효과적인 사이버보안의 핵심이 될 것이다.
뷔겔렌은 “사이버보안 목표가 비즈니스 경영진의 목표와 일치하도록 해야 한다”라고 강조했다. 그는 “물론 아직 많은 기업이 사이버보안을 장애 요소나 프로젝트 지연 요인으로 보곤 한다”라며 “사이버보이 디지털 혁신을 실현하는 비즈니스 촉진 요소로 인식 될 수 있게 만들어야 한다”라고 강조했다.
11. 서드파티 리스크를 적극적으로 대응하기
조시는 서드파티 공급업체가 많은 조직의 사이버 보안 전략에서 가장 취약한 고리 중 하나라고 지적하며, 크라우드스트라이크 중단 사태를 대표적 사례로 제시했다. 조시는 CISO에게 “공급망 위험, 특히 공급업체 위험 평가를 관리하는 더 나은 방법을 모색해야 한다”고 조언했다.
조시는 “평가 설문지에만 의존하지 말고, 더 나은 적극적인고 다양한 방식을 도입해야 한다”고 말했다. 이어 “협력은 단순히 원탁회의에 참여하는 것을 의미하지 않는다. 벤더와의 대화에서 실제로 그들에게 어떤 의미인지 맥락을 부여하고, 개인화된 논의를 진행하는 것이 중요하다”고 설명했다.
12. 사이버 복구를 최우선 과제로 삼기
사이버 공격을 당했을 때 시스템을 복구하는 능력의 중요성은 예전부터 알려져 있었지만, 최근 발생한 여러 사이버 공격 사례들을 통해 두 가지가 모두 중요하다는 것이 더욱 분명해지고 있다. 데이비드 헐은 “CISO들은 복구 능력을 재점검하고, 이 부분에 더 많은 관심을 기울여야 한다”라고 말했다.
허프먼도 이에 동의하며 공격 후 고객 유지를 위해서는 복구 속도가 중요하다고 지적했다. “복구에 2-3주가 소요된다면 이는 이제 비정상적인 상황이다. 현재는 3일 또는 1주일 이내 복구 가능 여부가 핵심이다. 사이버 공격에 얼마나 대비하고 있는가? 사회적으로 수용 가능한 시간 내에 복구할 수 있는가?”라고 전했다.
Read More from This Article: 2025년 CISO가 주목해야 할 12가지 사이버 보안 과제
Source: News