사이버 보안 리더는 조직의 안전을 지키기 위해 고려해야 할 요소가 매우 많다. 다만 그중에는 다른 사안보다 더 두드러지게 중요하거나, 반대로 아직 충분히 주목받지 못한 과제도 존재한다.
새해를 맞아 2026년 CISO가 결코 소홀히 해서는 안 될 핵심 요소 6개를 짚어보았다.
AI 에이전트 확산 속 아이덴티티 통제 소홀
기업이 자동화와 효율성을 활용하기 위해 AI 에이전트 도입을 본격화하면서, 관련 기술은 빠른 속도로 확대되고 있다. 그랜드뷰리서치에 따르면 전 세계 AI 에이전트 시장 규모는 2024년 54억 달러로 추산됐으며, 2030년에는 503억 1,000만 달러까지 성장할 것으로 전망된다.
AI 에이전트 활용이 늘어나면서 기업은 새로운 사이버 보안 과제에 직면하고 있다. 특히 아이덴티티 통제 측면에서의 부담이 크다. 아이덴티티 스푸핑이나 과도한 권한 부여가 대표적인 위협이다. 사이버 범죄자는 프롬프트 인젝션이나 악성 명령을 활용해 에이전트를 악용하고, 보안 통제를 우회해 시스템과 애플리케이션에 무단 접근할 수 있다.
PwC의 사이버·데이터·기술 리스크 부문 부책임자인 모건 아담스키는 AI 에이전트를 포함한 아이덴티티를 제대로 관리하면, 누가 무엇을 할 수 있는지를 기계 속도로 통제할 수 있다고 설명했다.
아담스키는 공격자가 점점 더 침입이 아닌 로그인 방식으로 접근하고 있으며, AI 에이전트가 실제로 시스템과 데이터를 변경하는 단계에 이르렀다고 분석했다. 그는 리더가 놓쳐서는 안 될 핵심으로 모든 사람, 워크로드, 에이전트를 관리 대상 아이덴티티로 취급하는 점을 꼽았다. 각각에 개별 계정을 부여하고, 피싱에 강한 다중요소인증을 적용하며, 필요한 최소 권한만 필요한 기간 동안 부여하고, 비밀번호나 키를 자동으로 변경하는 체계를 갖춰야 한다는 설명이다. 아울러 비정상적인 권한 변경이나 세션 탈취 여부를 지속적으로 모니터링해야 한다고 강조했다.
아담스키는 기업이 통제력을 잃지 않으면서도 민첩하게 대응하려면, 일상적인 업무 흐름에 AI 에이전트 거버넌스를 내재화해야 한다고 설명했다. 예를 들어 관리자에게 하드웨어 기반 다중요소인증을 의무화하고, 상승된 권한은 기본적으로 만료되도록 설정하며, 신규 에이전트는 각각의 정책을 가진 애플리케이션으로 등록하는 방식이 필요하다고 언급했다.
글로벌 기술 리서치·자문 기업 ISG의 디렉터 제이슨 스타딩은 AI 에이전트와 AI 플랫폼에 대한 아이덴티티 및 접근 통제가 CISO에게 가장 중요한 우려 영역 중 하나라고 평가했다. 그는 현재 AI 관련 권한과 접근 권한은 많은 영역에서 여전히 블랙박스에 가깝다며, 향후 몇 년간 이 분야에서 투명성과 통제를 강화하기 위한 도구와 방법을 도입하려는 움직임이 본격화될 것이라고 전망했다.
공급망 리스크 관리 미흡
디지털 비즈니스 확산과 글로벌 시장에서의 공급망 복잡성 증가는 기업의 공급망을 주요 위험 영역으로 만들고 있다. 공급망은 이미 많은 기업에서 사이버 보안 리스크가 빠르게 커지고 있는 분야다.
이 문제는 특히 제조, 유통, 물류 산업에서 더욱 중요하다. 금속 제품과 부품을 공급하는 AMFT의 CTO 그렉 젤로는 2026년에 복잡한 공급망과 제조 환경에서의 사이버 보안을 간과하는 CISO는 치명적인 결과에 직면할 수 있다고 설명했다.
젤로는 현대 제조 환경이 더 이상 단일 공장에 국한되지 않는다고 분석했다. 상호 연결된 공급업체, 사물인터넷 기반 설비, 클라우드 중심 생산 시스템이 얽힌 구조로 진화하면서, 하나의 취약한 연결고리만으로도 전체 운영이 마비될 수 있는 광범위한 공격 표면이 형성됐다는 설명이다.
최근 발생한 사건은 이러한 위험을 분명히 보여준다. 젤로에 따르면 2025년 9월 재규어 랜드로버는 공급망을 겨냥한 사이버 공격을 받아 영국, 슬로바키아, 인도, 브라질 전역에서 수주 동안 생산이 중단됐고, 추정 피해액은 25억 달러에 달했다. 그는 이 침해 사고가 수백 개 협력사로 확산되며 구조조정과 파산으로 이어졌다고 설명했다. 이는 단순한 IT 장애가 아니라, 글로벌 제조업이 얼마나 깊이 상호 의존적인지를 드러낸 운영 위기였다고 평가했다.
공격자는 로봇, 조립 라인, 품질 검사 등을 제어하는 운영기술(OT) 시스템을 점점 더 많이 노리고 있다. 생산을 멈추게 하면 기업이 신속하게 몸값을 지불할 수밖에 없다는 점을 악용하고 있다는 설명이다.
젤로는 재무적 손실을 넘어 지식재산권 탈취, 규제 처벌, 국가 안보 문제까지 위험이 확대된다고 지적했다. 그는 CISO에게 주는 교훈은 분명하다며, 전통적인 경계 기반 보안은 이미 한계에 도달했다고 설명했다. 복잡한 공급망을 보호하려면 IT와 OT 전반에 걸친 제로 트러스트 아키텍처 적용, 펌웨어와 소프트웨어 업데이트를 포함한 제3자 리스크의 지속적 모니터링, 핵심 시스템을 격리하기 위한 신속한 패치와 세분화, 공급업체와 계약자를 포함한 사고 대응 훈련이 필요하다고 강조했다.
지정학적 긴장에 대한 과소평가
CISO가 조직을 외부와 내부 위협으로부터 보호하는 데 지나치게 집중한 나머지 지정학적 긴장을 놓치기 쉽다. 혹은 이러한 요소를 자사 사이버 보안 이슈와 직접적인 관련이 없다고 판단해 중요성을 낮게 평가할 수도 있다. 그러나 어느 쪽이든 이는 중대한 판단 오류로 이어질 수 있다.
글로벌 기술 리서치·자문 기업 ISG의 디렉터 제이슨 스타딩은 조직의 사이버 회복탄력성 계획에 시스템적 시나리오를 반영하는 것이 매우 중요하다고 설명했다. 여기에는 비즈니스에 영향을 미칠 수 있는 글로벌 정세 변화와 지정학적 갈등도 반드시 포함돼야 한다는 것이다.
스타딩은 기업의 비즈니스와 자산에 영향을 줄 수 있는 침해 지표를 제공하기 위해 산업별 맞춤형 위협 인텔리전스에 대한 요구도 커지고 있다고 언급했다. 그는 이러한 위협 가운데 일부는 악의적인 국가 행위자로부터 비롯되는 고도 지속 공격과 연관될 수 있다고 설명했다.
IT 컨설팅 기업 노스도어의 최고상업책임자(Chief Cmmercial Officer) AJ 톰슨은 사이버 보안과 지정학의 결합이 이미 현실로 자리 잡았다고 평가했다. 그는 국가 행위자가 주도하는 사이버 공격이 핵심 인프라와 글로벌 공급망을 겨냥한 더 큰 분쟁의 일부라고 설명했다. 지정학적 인텔리전스를 위협 모델링에 반영하지 않으면, 조직은 파급력이 큰 국가 지원 사이버 공격에 과도하게 노출될 수 있다고 지적했다.
아울러 톰슨은 의도치 않게 이러한 지정학적 사건에 연루될 경우, 규제 측면과 기업 평판 측면에서 모두 심각한 후과를 초래할 수 있다고 설명했다.
조직의 클라우드 활용 통제 부재
클라우드 서비스 사용이 계속 확대되면서, 이에 수반되는 보안과 개인정보 보호 위험도 함께 커지고 있다. CISO가 이 영역을 소홀히 할 경우 조직은 각종 사이버 공격에 그대로 노출될 수 있다.
글로벌 기술 리서치·자문 기업 ISG의 디렉터 제이슨 스타딩은 클라우드 서비스와 AI 도구가 서로 긴밀하게 결합돼 활용되는 경우가 많다는 점에서 이 문제가 더욱 중요하다고 설명했다. 그는 역할과 책임에 연계된 적절하고 현대적인 보안 인식 교육이 핵심이며, 현재 업무 환경 전반에 확산된 AI 도구와 기술 사용까지 고려해야 한다고 언급했다.
스타딩은 클라우드 관리자와 엔지니어를 대상으로 한 올바른 클라우드 보안 관행과 절차에 대한 교육이 부족한 경우가 많다고 지적했다. 또한 클라우드 팀 다수가 보안 도구 도입과 활용 측면에서 개선을 시도하고 있지만, 실제로는 많은 조직이 클라우드 보안을 위해 투자한 도구를 충분히 활용하지 못하고 있다고 설명했다.
IT 컨설팅 기업 노스도어의 최고상업책임자 AJ 톰슨은 멀티클라우드 환경 확산과 함께 전통적인 보안 경계는 이미 사라졌다고 분석했다. 그는 사후 대응 중심의 클라우드 보안에 의존하는 조직은 정교한 위협을 놓치기 쉽다고 지적했다.
톰슨은 사전 대응형 클라우드 보안 태세 관리(CSPM)와 명확한 사용자 보안 가이드라인이 비용이 큰 침해 사고와 운영 중단을 예방하는 데 핵심적인 단계라고 설명했다. 복잡한 클라우드 환경에서 인적 오류로 인한 위험을 최소화하려면, 안전한 사용자 행동을 지속적으로 조직 문화에 내재화해야 한다고 강조했다.
강화되는 규제 환경에 대한 대응 부족
금융 서비스나 헬스케어처럼 규제가 엄격한 산업에 속한 일부 기업은 오래전부터 금융정보보호법(GLBA)이나 의료정보보호법(HIPAA)과 같은 데이터 보안·프라이버시 규제를 준수해야 했다.
그러나 최근에는 거의 모든 산업이 전 세계적으로 증가하는 데이터 프라이버시 및 보호 법규를 준수해야 하는 상황이다. 이러한 규제를 간과하거나 중요성을 낮게 평가할 경우, 벌금과 추가적인 제재로 이어질 수 있다.
스타딩은 규제가 많은 조직이 컴플라이언스 활동으로 인해 상당한 추가 부담을 안고 있으며, 이로 인한 피로감도 적지 않다고 설명했다. 다만 최근 몇 년간 CISO 역할이 컴플라이언스에 대한 책임과 권한까지 확대된 만큼, 이를 소홀히 하거나 과소평가할 여지는 없다고 강조했다.
특히 글로벌 기업의 CISO는 최신 규제 동향을 면밀히 파악해야 한다. 톰슨은 영국과 유럽에서 사이버 보안 규제 환경이 빠르게 강화되고 있다고 설명했다. 그는 GDPR(General Data Protection Regulation)과DORA(Digital Operational Resilience Act)과 같은 프레임워크가 문서화된 통제뿐 아니라, 실증적으로 검증 가능한 사이버 보안 효과를 조직에 요구하고 있다고 분석했다.
톰슨은 규제 당국이 사이버 보안과 운영 회복탄력성이 단순한 규정 준수 항목이 아니라, 비즈니스 프로세스 전반의 모든 계층에 깊이 내재화돼 있는지를 확인하려 한다고 설명했다.
그는 제3자 리스크 관리 역시 그에 못지않게 중요하다고 지적했다. 공급망이 점점 더 복잡하고 분산될수록 외부 제공업체로 인한 취약점은 심각한 규제 및 보안 책임으로 이어질 수 있다는 것이다. 이러한 규제 요구를 보안 전략에 선제적으로 반영하지 않을 경우, 막대한 재무적 제재는 물론 운영 중단과 장기적인 평판 훼손으로 이어질 수 있다고 경고했다.
AI 챗봇 도입에 따른 법적 책임 인식 미흡
사이버 보안 보험 제공업체 코얼리션의 수석 연구원 다니엘 우즈는 AI 챗봇이 데이터 프라이버시 측면에서 새롭게 부상한 위험 요소라고 설명했다. 코얼리션이 약 200건의 프라이버시 관련 청구 사례와 5,000개 기업 웹사이트를 분석한 결과, 전체 청구의 5%가 챗봇 기술을 겨냥한 것이었다.
우즈는 이들 청구가 AI 도구가 등장하기 훨씬 이전에 제정된 주(州) 도청 방지법을 근거로, 고객 대화를 불법적으로 가로챘다고 주장한 사례라고 설명했다. 모든 챗봇 관련 청구는 대화 시작 시 해당 대화가 녹음되고 있다는 사실을 고지했어야 한다는 동일한 구조를 따랐다는 분석이다.
해당 청구는 수십 년 전에 제정된 플로리다 통신 보안법 위반을 주장한 것이었다고 우즈는 전했다. 그는 전체 웹사이트 가운데 약 5%가 챗봇 기술을 도입하고 있으며, 이 비율이 챗봇을 중심으로 제기된 웹 프라이버시 청구 비중과 정확히 일치한다고 설명했다.
우즈는 IT 산업과 금융 산업에서 챗봇 활용이 특히 두드러졌다고 설명했다. 해당 산업 웹사이트의 각각 9%와 6%가 챗봇을 사용하고 있었으며, 향후 챗봇 활용이 늘어날 가능성이 큰 만큼 관련 청구 역시 증가할 수 있다고 전망했다.
그는 챗봇을 잘못 설계하거나 운영할 경우의 위험으로, 프롬프트 인젝션과 같은 기법을 통해 시스템이 쉽게 조작될 수 있다는 점을 꼽았다. 이러한 방식으로 고객 데이터가 유출된 사례가 이미 수십 차례 문서화돼 있다고 경고했다.
클라우드 보안 체계 관리 공백
이제는 거의 모든 기업이 최소한 일부 운영을 클라우드 서비스에 의존하고 있다. 이러한 서비스의 보안을 소홀히 하는 것은 문제를 자초하는 것과 다름없다.
PwC의 아담스키는 클라우드와 SaaS 확산이 계속될 것이라며, 아이덴티티, 암호화, 로깅, 외부 통신을 위한 가드레일을 갖춘 표준 랜딩 존을 사전에 설계해야 한다고 설명했다. 또한 정책을 코드로 구현해 규정 준수 설정이 기본값이 되도록 하는 접근이 필요하다고 언급했다.
아담스키는 CISO가 자산을 지속적으로 파악하고, 설정 오류를 식별하며, 이상 행위를 탐지하고, 필요할 경우 자동으로 조치할 수 있는 도구를 활용해야 한다고 설명했다.
그는 모든 방향에서 쏟아지는 경고에 일일이 대응하는 방식으로는 멀티클라우드 확산과 아이덴티티 중심 공격을 따라가기 어렵다고 지적했다. 클라우드 전반의 신호를 연계하고 경고 소음을 줄이기 위해 자동화와 AI를 활용해 보안 관제 센터를 현대화해야 한다고 강조했다.
사이버 보안에서 인적 요인 경시
다양한 사이버 보안 도구와 서비스가 구축돼 있다 보니, 사이버 보안에서 사람의 역할을 간과하기 쉽다. 그러나 이러한 인식은 여러 형태의 보안 사고로 이어질 수 있다.
로펌 CM로의 기술·사이버 보안 파트너인 베스 펄커슨은 실제 경험상 보안 침해의 직접적인 원인은 대부분 인적 오류라고 설명했다. 그는 대체로 누군가가 사기에 속아 악성 코드가 유입되는 통로를 열게 된다고 분석했다.
사람은 메시지에 즉각 반응하거나 문서를 열어보고 싶어 하는 경향이 있으며, 이러한 행동이 문제를 키운다. 펄커슨은 근본적인 해법은 더 많은 기술 도입이 아니라, 직원이 자신의 기기 접근이나 정보 제공 요청에 대해 거절할 수 있도록 돕는 교육에 있다고 설명했다.
그는 프린터나 팩스 장비가 네트워크에 연결돼 있다는 사실을 잊고 보안 설정을 적용하지 않거나, 네트워크에서 분리하지 않는 것 역시 대표적인 인적 오류 사례라고 언급했다.
또 다른 문제로는 이미 도입돼 있거나 사용 가능한 보안 기술을 제대로 활용하지 않는 점을 꼽았다. 펄커슨이 최근 담당한 소송 사례에서는 결제카드산업 데이터 보안 표준(PCI DSS)에 따라 파일 무결성 관리 소프트웨어를 사용하고 있다고 주장했지만, 실제로는 경고를 설정하지 않았거나 경고를 무시한 경우가 포함돼 있었다.
펄커슨은 아무리 강력한 보안 소프트웨어를 갖추고 있더라도, 이를 올바르게 설정하고 지속적으로 관리하지 않으면 의미가 없다고 지적했다.
dl-ciokorea@foundryco.com
Read More from This Article: 2026년 CISO가 반드시 피해야 할 8가지 보안 실수
Source: News