AI에 대한 과도한 기대가 가라앉으면서 최고정보보호책임자(CISO)가 2026년에 집중해야 할 과제는 더욱 많아졌다. 이는 보안 조직의 번아웃을 막는 것부터 AI의 실질적인 사용례를 찾는 문제, 침해 사고를 사전에 탐지하는 데 초점을 맞춘 전략, 나아가 양자 컴퓨팅이 기존 암호 체계를 무력화할 수 있다는 잠재적 위협에 대비하는 계획 등 다양하다. 여러 산업의 CISO가 2026년 최우선 과제로 삼고 있는 보안 의제를 공유했다.
1. 사후 대응이 아닌 회복탄력성 우선
포티튜드리(Fortitude Re)의 CISO 엘리엇 프랭클린은 조직의 클라우드 인프라 의존도가 더욱 커지는 상황에서 회복탄력성과 아키텍처 규율을 강화하는 것을 2026년 핵심 목표로 제시했다. 프랭클린은 “체계적인 프로젝트 관리와 의도적인 설계에 초점을 맞춘 접근 방식을 취할 것”이라고 설명했다.
모든 신규 이니셔티브는 명확한 아키텍처 계획과 함께 시스템 전반의 종단 간 의존성, 그리고 잠재적인 장애 지점을 깊이 이해하는 것에서 시작한다. 프랭클린은 “장애나 중단이 발생한 뒤 대응하는 방식이 아니라, 엔지니어링 중심의 사려 깊은 접근을 통해 시스템의 안정성, 확장성, 신뢰성을 강화하는 것이 목표”라며 “이러한 기반이 마련돼야 기술과 보안 투자가 장기적으로 지속되고 진화할 수 있다는 확신 속에서 비즈니스를 추진할 수 있다”라고 말했다.
2. AI가 보안 의제를 주도
스탠다드차타드의 그룹 CISO 체자리 피에카르스키는 2026년 보안 의제가 2가지 측면에서 AI 중심으로 전개될 것으로 내다봤다. 하나는 위협 환경을 정의하는 것이고, 다른 하나는 이에 대응하는 방어 아키텍처를 설계하는 것이다.
피에카르스키는 “공격을 완화하는 과정에서는 속도가 무엇보다 중요하다. AI와 오케스트레이션 도구를 활용하면 탐지를 신속하게 자동화하고 사고 대응을 효율적으로 간소화할 수 있다”라며, “이를 통해 공격자의 체류 시간을 크게 줄이고 복구 속도를 높여, 위협이 확대되기 전에 차단할 수 있다”라고 설명했다.
AI 기반 애플리케이션과 시스템이 확산돼 새로운 공격 표면이 등장하는 상황에서, 피에카르스키는 AI를 활용한 위협과 전술로부터 환경을 방어하고 더 견고하게 만드는 데 우선순위를 두고 있다고 밝혔다. 그는 “사이버 전반에서 AI가 제공하는 기회를 활용하는 동시에, 은행이 AI를 안전하고 신뢰할 수 있게 사용할 수 있도록 하는 것이 핵심”이라고 전했다.
키아젠(Qiagen)의 CISO 다니엘 샤츠 역시 2026년 전반에 걸쳐 AI가 핵심 주제일 것으로 전망했다. 그는 AI를 활용해 보안 통제와 운영을 개선하는 동시에, AI가 제품에 안전하게 통합되도록 하는 것이 중요하다고 설명했다.
샤츠는 특히 생성형 AI 기반 위협이 눈에 띄게 정교해지고 규모가 확대될 것으로 예상했다. 그는 “현재까지 관찰된 공격은 대부분 수작업에 가까운 AI 지원 캠페인이지만, 다른 위협과 마찬가지로 점차 자동화되고 산업화된 사회공학 공격으로 진화할 가능성이 크다”라고 분석했다. 이어 “생성형 AI가 보편화되면서 조직이 AI 공격 표면을 이해하고 관리하며 보호할 수 있도록 돕는 기술의 중요성이 빠르게 커질 것”이라며 “웹 개발 초기와 같은 실수를 반복하지 않기 위해서는 산업 전반에서 초기 단계부터 적절한 보안 통제를 내재화하는 것이 중요하다”라고 강조했다.
3. 가시성과 통제 확보
플렉세라(Flexera)의 CIO 겸 CISO 코널 갤러거가 꼽은 최우선 과제는 AI 도구와 챗봇을 활용하는 과정에서 생산성과 지식재산 보호의 균형을 맞추는 일이다. 갤러거는 “신뢰할 수 있는 엔터프라이즈급 AI 솔루션을 표준화하는 동시에, 승인되지 않은 도구로 인한 데이터 유출을 막기 위한 통제 방안을 마련하고 있다”라고 설명했다.
그는 실무적으로 SaaS 관리 및 탐지 도구를 활용해 섀도우 IT와 비인가 AI 사용 현황을 파악할 계획이라고 밝혔다. ESG와 보안과 관련한 고객 및 규제 요구가 지속적으로 증가하는 만큼, 갤러거는 컴플라이언스와 보고를 자동화하는 것도 중요한 과제로 꼽았다. 여기에 위협 인텔리전스 피드와 취약점 관리 솔루션을 통해 실제 환경에서 발생하는 위협 동향을 선제적으로 파악해 대응한다는 전략이다.
갤러거는 “핵심은 가시성과 통제”라며 “우리 환경에 무엇이 존재하고 어떻게 사용되는지, 그리고 변화가 발생했을 때 얼마나 빠르게 대응할 수 있는지를 명확히 아는 것이 중요하다”라고 설명했다.
4. 사람 및 비인간 신원 관리
샤츠는 사람 및 비인간 신원 관리를 주요 과제로 삼고 있다. 그는 효과적인 신원 관리를 가능하게 하는 기술이 앞으로도 핵심적인 역할을 할 것으로 내다봤다. 샤츠는 “신원은 여전히 보호하기 어려운 영역이며, 에이전틱 AI의 등장과 함께 비인간 신원의 규모도 확대되기 시작했다”라고 설명했다.
유사한 방향에서 프랭클린 역시 사람과 비인간 신원을 아우르는 권한 관리에 우선순위를 두고 있다.
프랭클린은 “서비스 계정과 API, 자동화 도구를 사용자 계정과 동일한 수준의 엄격함으로 관리하는 것이 중요하다. 자동화가 확대될수록 이러한 디지털 신원을 효과적으로 관리하는 것이 복잡한 환경에서 신뢰성과 추적성, 통제를 유지하는 데 결정적인 요소가 된다”라고 분석했다. 이어 궁극적인 목표가 생산성과 협업을 지원하는 동시에 조직 전반의 회복탄력성을 강화하는 데 있다고 덧붙였다.
5. 에이전틱 AI 제품에 보안 내재화
일부 보안 리더는 고도화되는 공격에 대응하기 위해 에이전틱 AI 제품 자체에 보안을 직접 내재화하는 전략을 추진하고 있다. 퀄트릭스(Qualtrics)의 CSO 아사프 케렌은 “AI 위험을 단순히 차단하려는 단계를 넘어, 에이전틱 솔루션의 설계 단계부터 보안을 통합함으로써 안전한 경로가 곧 가장 빠른 길이 되도록 하고 있다”라고 설명했다.
케렌은 AI를 활용해 보안 역량을 강화하는 한편, SOC 초기 분석과 통제 테스트와 같은 내부 기능을 자동화하고 가속화할 계획이라고 언급했다.
6. 보안과 신뢰의 연계
케렌은 2026년이 보안을 단순한 백오피스 기능이 아니라 고객에게 신뢰를 주는 가시적인 신호로 만들어야 하는 해라고 밝혔다. 그는 고객과의 관계에서 보안을 통해 보다 능동적이고 투명한 파트너십을 만드는 데 주력하고 있다.
케렌은 “고객은 기업이 데이터를 어떻게 다루고 AI를 어떻게 활용하는지를 기준으로 구매 결정을 내리고 있다. 보안을 단순한 위험 완화 수단이 아니라 시장 진출을 위한 경쟁 요소로 바라봐야 한다”라고 조언했다.
이를 위해 AI 관련 ISO 42001과 페드램프 하이(FedRAMP High) 인증을 추진하고, 보안 관행을 투명하게 공개하며, 보안 수준을 가치 제안의 핵심 요소로 드러낼 계획이다. 케렌은 “강력한 보안과 책임 있는 AI 활용을 신뢰성 있게 입증할 수 있는 기업이 신뢰를 중시하는 고객의 선택을 받게 될 것”이라고 강조했다.
7. 양자 대비 전략 수립
스탠다드차타드의 피에카르스키는 “양자 컴퓨팅은 기존 암호화 방식을 무력화할 가능성이 있어 데이터 보안에 중대한 영향을 미치고, 새로운 공격 벡터를 열 수 있는 심각한 사이버 위험 요소”라고 진단했다.
이 같은 인식을 바탕으로 피에카르스키와 보안 팀은 다가올 변화에 대비한 준비에 본격적으로 나서고 있다. 그는 “2026년에도 신흥 위협에 대응하고 관련 위험을 해소하기 위해, 다년간에 걸쳐 회복탄력성 높은 암호화 대비 전략을 지속적으로 추진할 것”이라고 설명했다.
ISC2의 CISO 존 프랜스는 포스트 양자 암호 체계에 대한 준비를 서둘러야 한다고 조언했다. 프랜스에 따르면 이는 기업 내부와 시스템 전반을 점검하는 것에서 출발해, 벤더와 파트너의 준비 수준을 확인하는 단계까지 포함한다.
프랜스는 “로드맵에는 암호화 자산 목록을 정리하는 작업을 포함해야 하며, 이후 벤더에게 ‘양자 대응을 위해 무엇을 하고 있으며 로드맵은 어떻게 되는가’를 묻는 과정이 필요하다. 예상보다 이른 시점에 사용을 중단해야 할 기술도 생길 수 있기 때문에, 이에 대한 계획을 미리 세워야 한다”라고 말했다.
8. 시스템뿐 아니라 사람을 보호
2026년 이후의 보안 전략은 도구와 통제, 컴플라이언스에만 국한되지 않고 인재의 회복탄력성까지 함께 고려해야 한다. 지속적인 스트레스와 요구 역량 변화가 사이버 보안 인재를 구조적으로 재편하고 있기 때문이다.
번아웃이 상시적인 문제로 자리 잡은 데다 AI가 직무와 요구 역량을 변화시키고, 경제 상황이 예산에 압박을 가하는 환경에서 CISO는 기술 못지않게 팀의 웰빙을 돌봐야 한다는 것이다.
프랜스는 “팀을 활용하면서도 소진시키지 않는 균형을 유지하는 것이 주요 과제”라고 언급했다.
9. 침해 사고 조기 탐지
클라우드 시스템이 확장되고 공급망이 더욱 복잡해지면서, 모든 침해를 완벽하게 차단할 수 있다는 기존의 접근 방식은 이제 한계를 드러내고 있다. 이에 따라 CISO는 보안 프로그램에서 예방보다 탐지와 대응을 우선시해야 하는 압박을 점점 더 크게 받고 있다.
팀뷰어의 CISO 얀 비는 “가장 강력한 보안 프로그램은 모든 침해를 막는 것이 아니라, 침해를 가장 먼저 발견하는 프로그램”이라고 설명했다.
비는 조직을 요새처럼 둘러싸는 방식보다 가시성과 속도를 중시해야 한다고 분석했다. 그는 “에이전틱 AI와 초연결 SaaS 환경에서는 속도가 모든 것을 좌우한다. 몇 초 만에 이상 징후를 감지할 수 있는 기업이, 방어는 견고하지만 대응이 느린 경쟁 기업보다 앞서 나가게 될 것”이라고 내다봤다.
10. 위협 곡선에 선제적으로 대응
샤츠는 “기업은 전반적으로 의사결정과 실행 속도가 느린 편이기 때문에, 올해 예산 주기를 마무리하는 시점에서 변화하는 위협 환경을 미리 내다보고 적절히 대비하는 것이 중요하다”라고 설명했다.
샤츠의 주요 과제에는 세계경제포럼(WEF)의 사이버보안 전망 보고서, 유럽연합 사이버보안청(ENISA)의 위협 환경 보고서, ISF의 위협 호라이즌 등 이미 검증된 자료를 검토하는 작업이 포함돼 있다.
그는 “이러한 자료는 향후 12개월에서 36개월을 내다본 위험 통제 전략을 보다 현실적으로 수립하고, 조직 내부의 기대치를 정립하는 데 도움이 된다”라고 말했다.
11. 의사소통 격차 해소
CISO와 이사회, IT 리더는 보안을 단순한 기술적 조치가 아닌 기업 경영 전반에 영향을 미치는 핵심 비즈니스 우선순위로 인식하고 공통된 관점에서 소통해야 한다.
비에 따르면 많은 이사회가 여전히 보안을 컴플라이언스나 비용 문제로 바라보고 있다. 반면 CISO는 리스크 관리와 비즈니스 연속성의 관점에서 보안을 설명하고 있다. 그는 “이 같은 커뮤니케이션 격차가 공격자가 악용할 수 있는 사각지대를 만든다. 사이버 리스크가 비즈니스 리스크와 분리될 수 없는 상황이 되면서, 이사회와 CISO는 기술적 위협을 경영진이 실행할 수 있는 재무적·평판적·운영적 영향으로 설명하기 위해 더욱 긴밀히 협력해야 한다”라고 조언했다.
특히 CISO는 단순한 보고에 그치지 않고 스토리텔링에 집중해야 한다. 이는 위협 인텔리전스를 비즈니스 성과와 연결해 명확하게 전달하는 것을 의미한다.
이사회 역시 사이버 회복탄력성을 하나의 비용 항목이 아니라 경쟁 우위로 인식할 필요가 있다. 비는 “보안과 전략 사이의 문화적 격차를 해소한 기업이 사고가 불가피하게 발생했을 때 더 빠르게 회복하고, 투자자에게 더 큰 신뢰를 줄 수 있다”라고 강조했다.
12. 유행이 아닌 성과 중심
갤러거는 “2026년에는 실험보다 실행이 훨씬 더 중요해질 것”이라고 전망했다.
이를 위해 갤러거는 보안 프로그램 전반에 걸쳐 투명성, 거버넌스, 측정 가능한 성과를 강조하는 체계적인 접근 방식을 도입할 계획이다. 그는 “모든 이니셔티브는 투입된 비용이 실제 ROI와 가시적인 위험 감소로 어떻게 연결되는지를 기준으로 평가받게 될 것”이라고 말했다.
특히 AI 관련 이니셔티브는 2025년의 기대와 열기가 가라앉으면서, 실질적인 성과와 명확한 비즈니스 사용례를 입증해야 하는 검증 대상이 될 가능성이 크다.
갤러거는 “2026년은 AI를 단순한 기술 실험이 아니라, 실제 비즈니스를 움직이는 동력으로 만드는 해가 될 것”이라고 내다봤다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘AI부터 직원 번아웃 예방까지…’ 현직 CISO가 뽑은 2026년 최우선 보안 과제 12가지
Source: News