보안 인사이트
김인순
2025. 7. 4.
가트너가 주목한 6가지 사이버보안 트렌드
“우리 회사, 보안 잘 하고 있는 걸까?”
보안 담당자가 매일 하는 질문이다. ChatGPT 같은 생성형 AI가 업무에 들어오고, 직원들이 협업툴에서 대화한다. 클라우드 환경에 수많은 서버와 장비들이 돌아간다. 과연 전통적인 ‘방어’ 중심의 보안 전략으로 변화하는 환경에 대응할 수 있을까.
글로벌 시장조사기관 가트너(Gartner)는 2025년을 위한 사이버보안 6대 핵심 트렌드를 발표했다. 가트너가 제시한 6가지 사이버 보안 트렌드를 정리했다.
1. 생성형 AI와 데이터 보안: “보안이 학습 데이터를 따라간다”
요즘 많은 기업들이 내부 문서나 고객 데이터를 AI 학습에 사용하고 있다. AI 학습에 사용한 데이터가 유출되거나 잘못 활용되면 큰 문제가 될 수 있는 점에 주목해야 한다.
2024년 초 한 글로벌 보험사는 사내 데이터를 대규모언어모델(LLM)에 업로드했다가 고객 개인정보 일부가 외부로 노출되면서 큰 이슈가 됐다.
이 사건은 ‘AI 보안’이 단순히 모델 자체가 아닌, 데이터 보안부터 시작되어야 한다는 점을 일깨웠다.
모델을 학습할 때 보안을 반드시 고려야해야 한다. 합성 데이터(synthetic data)를 사용해 개인정보를 보호하면서도 AI 훈련 품질을 유지해야 한다. DSPM(Data Security Posture Management) 같은 신기술로 클라우드상의 민감 정보 흐름을 실시간으로 추적하는 것도 방법이다. 비정형 데이터(문서, 이메일, 이미지 등)도 반드시 관리해야 한다. AI는 그런 데이터도 학습하기 때문이다.
2. 머신 아이덴티티: “서버도 API도 ‘신원 확인’이 필요”
보안팀은 그동안 직원 ID를 잘 관리하는데 노력을 가울였다. 그런데 관리할 대상은 사람만이 아니다. 서버·API·자동화 봇(RPA) 같은 기계 계정(machine identity)이 늘어나고 있다.
기계 계정은 ID가 부과되기는 하지만 제대로 관리가 안되는 경우가 많다.
가트너 2024 IAM 리더십 설문조사 결과, 87% 보안팀이 머신 아이덴티티 관리 책임이 있지만, 실제로는 절반만이 관리하고 있는 것으로 드러났다.
실제로 사이버 공격자의 주요 침입 경로 중 하나가 ‘방치된 기계 계정’이다.
2023년 미국의 한 제조기업은 정기 백업 작업에 사용되던 자동화 봇 계정이 해킹돼 데이터베이스 전체가 암호화되는 피해를 입었다. 기계 계정에 다중인증(MFA) 설정이 안 되어 있었기 때문이다. 모든 기계 계정에 대해 신원 확인과 권한 관리 정책을 적용해야 한다.
DevOps 환경에서도 ‘기계 전용 IAM 정책’을 마련해 자동화된 보안 검사를 실행한다. 보안 교육 시, 사람뿐 아니라 시스템 계정의 중요성도 함께 인식해야 한다.
3. 보안 기술의 정리 정돈: “솔루션이 너무 많으면 위험하다”
많은 기업이 ‘이건 위협 인텔리전스, 저건 클라우드 워크로드 보호’ 식으로 보안 솔루션을 추가해왔다.
IBM 기업가치연구소 조사에 따르면 기업들은 평균 29개 공급업체의 83가지 보안 솔루션을 동시에 사용하고 있는 것으로 나타났다. 응답자의 과반수(52%)는 복잡성이 보안 운영의 가장 큰 장애물이라고 답했다.
이는 불필요한 복잡성과 위험 요소다. 도구는 많은데 서로 연동이 안 되고, 운영은 복잡하고, 예산만 늘어난다. 도구가 많아질수록 위협도 증가한다. 각각의 도구는 악의적인 공격자의 잠재적 진입점이 될 수 있다.
가트너는 이런 상황을 ‘기술 과잉’이라고 부르며, 이제는 ‘사이버보안 메시 아키텍처(CSMA)’처럼 각 보안 시스템 간 연동성과 데이터 중심 구조로 정리해야 한다고 강조한다.
IBM 조사에서도 통합 플랫폼을 구축한 조직은 보안 사고를 탐지하는 데 평균 72일, 사고를 봉쇄하는 데 평균 84일이 소요됐다고 밝혔다. 여러 도구를 하나의 플랫폼으로 통합하면 보안 태세를 강화할 뿐만 아니라 비용을 절감하고 운영 효율성을 향상시킬 수 있다는 것이다.
4. 실용적인 AI(Tactical AI): “작은 AI가 회사를 살린다”
보안팀에 AI를 도입한다고 하면 거창하게 생각하기 쉽다. 하지만 가트너는 ‘작은 AI’부터 시작하라고 조언한다.
예를들어, 사이버 경고를 자동으로 분류해주는 AI, 리포트를 자동 작성해주는 AI, 보안 취약점을 AI가 먼저 테스트하는 자동화 도구 등이다.
5. 보안 문화와 행동 변화: “클릭 수료율이 아니라, 진짜 행동이 바뀌었는가?”
회사의 보안 교육은 1년에 한 번 수강만 하면 되는 경우가 많다. 이른바 의무 방어전이다.
가트너는 행동을 바꾸는 보안 문화 프로그램(SBCP:Security Behavior and Culture Program)을 도입해야 한다고 이야기 한다.
SBCP는 말 그대로 직원들의 보안 행동과 조직의 보안 문화를 바꾸기 위한 전략 프로그램이다.
단순히 “이메일 조심하세요!” 하고 끝내는 게 아니라, 어떤 직원이 왜 그런 실수를 했는지, 어떻게 하면 습관적으로 보안 행동을 하도록 만들 수 있을지를 고민하는 프로그램이다.
전통적인 보안 교육은 보통 1년에 한 번, 동영상 보고 퀴즈 푸는 형태다. 직원들은 어쩔 수 없이 의무감에서 교육을 받지만 실제 상황에선 실수를 한다.
가트너는 피싱 메일 클릭률이 높은 팀에는 실제 사고를 분석한 후 맞춤형 교육을 제공하고, 팀즈나 슬랙 같은 일상 툴에서 퀴즈를 보내는 방식이 훨씬 효과적이라고 제시했다. 교육 단순 수료율 대신, 교육 전·후 행동 변화를 지표로 설정(예: 클릭률, 신고율, 응답 시간 등)한다.
6. CISO와 보안팀의 웰빙: “사람이 지치면, 기술도 무너진다”
가트너는 마지막으로 보안팀의 번아웃(burnout)을 조직 리스크로 규정했다. 일은 많고, 자원은 부족하고, 공격은 쉬지 않으니 당연히 지친다. 그 결과, 퇴사율 증가, 실수 증가, 대응 속도 저하 등 실제 위협이 발생한다.
가트너는 HR과 협력해 보안팀 전용 복지 프로그램을 도입하는 방향을 제시했다. 일의 우선순위를 정하고, 덜 중요한 건 과감히 줄인다. 최고보안책임자(CISO)의 번아웃도 조직 차원에서 관리해야 한다.
