2025년 CISO가 주목해야 할 12가지 사이버 보안 과제

사이버 위협이 계속 진화하면서 CISO들은 점점 더 복잡해지는 위협 환경에 대비해야 한다. AI 기반 공격부터 변화하는 규제 요구사항에 이르기까지, 2025년은 CISO에게 또 다른 도전의 해가 될 전망이다.

앞서 나가기 위해서는 최첨단 도구 또는 신기술을 도입 그 이상이 필요하다. 이제 사이버보안을 단순한 기술적 기능이 아니라 비즈니스 회복력을 강화하는 전략적 수단으로 바라보는 사고방식의 전환이 필요하다. 2025년을 대비하기 위해 모든 사이버보안 리더가 고려해야 할 12가지 전략을 공유한다.

1. AI와 비즈니스의 연관성 파악하기

생성형AI의 부상은 다양한 산업과 사이버보안에 획기적인 변화를 가져왔다. 하지만 장점이 있으면 단점도 있기 마련이다. 기술 및 사이버보안 연구자 에릭 J. 허프먼은 “AI가 매우 유용할 수 있다는 점은 인정하지만, AI가 어떻게 악용될지 우려하고 있다”라며 “좋은 의도로 개발된 모든 것을 공격자들은 악의적으로 활용할 수 있다. 공격자는 우리보다 훨씬 더 창의적이다”라고 설명했다.

허프먼은 웜GPT(WormGPT) 사례를 언급하며, 웜GPT 덕에 공격자가 더 쉽게 원하는 프로그래밍을 할 수 있게 됐다고 지적했다. 허프먼은 “웜GPT는 일종의 해커를 위한 챗GPT(ChatGPT)로, 랜섬웨어와 악성 코드, 취약점을 생성해준다”라며 “특히 영어, 중국어, 이탈리아어를 모국어로 사용하지 않는 위협 행위자의 코딩 작업을 매우 쉽게 만들어준다. 이제 원하는 언어로 피싱 이메일을 작성할 수 있으며, 상당히 그럴듯한 수준으로 작성된다”라고 경고했다.

허프먼은 CISO가 AI가 비즈니스에 필요한지 시간을 들여 평가해야 한다고 조언했다. 그는 “트렌드에 휩쓸려서는 안 된다”라며 “단순히 CEO가 ‘우리도 AI 솔루션이 필요하다’라고 지시했다고 AI를 곧바로 도입하면 안된다”라고 밝혔다.

2. AI 기술 역량 강화 및 긍정적 활용법 습득하기

보안 기업 세븐룰스 사이버(7Rules Cyber)의 설립자이자 CISO인 치라그 조시는 AI가 공격자만의 도구가 아닌 방어자의 강력한 동반자가 될 수 있다고 확신한다. 조시는 AI를 현명하게 활용하면 보안 침해로 인한 비용과 시간을 절감할 수 있다고 설명했다.

조시는 “기업은 AI 사용법과 위험성을 제대로 교육해야 하고, AI를 사용하는 사람들이 저지를 수 있는 실수나 오용을 방지하기 위한 관리 체계를 개선해야 한다. 이를 반영하지 못하는 교육과 인식 활동은 큰 격차를 초래할 수 있다”라고 조언했다.

그는 또한 “AI를 전략적으로 활용하면 데이터 유출 방지와 사고 대응 및 억제 시간 단축에 상당한 효과를 볼 수 있다”라며 “이러한 요소를 대응 및 탐지 계획에 반드시 포함해야 한다”라고 설명했다.

또한 조시는 CISO에게 위험 평가와 정책 지침 등의 영역에서 AI의 잠재력을 탐색할 것을 권고했다. 조시는 “AI 시스템 운영에는 반드시 인간의 감독이 필요하지만, AI를 활용해 감독 과정의 효율성과 정확성을 높일 수 있는 방안을 찾아야 한다”라고 전했다.

3. ID 중심 보안 강화하기

보안 시뮬레이션 솔루션 업체 세이프브리치(SafeBreach)의 CISO인 아비샤이 아비비는 악의적 공격자들이 AI와 딥페이크 기술을 활용하는 사례가 늘어남에 따라, 이에 대한 대응책으로 ID 중심 보안의 중요성이 증대되고 있다고 강조했다.

아비비는 “공격자도 같은 AI 기술을 활용해 공격 능력을 강화하고 있다는 사실과 ID 기반 보안과 딥페이크 기술이 가진 위험성을 제대로 이해하고 있어야 한다”라며 “이런 이해를 바탕으로 위협을 찾아내고 줄이거나 차단하는 보안 대책 마련에 더 많은 노력을 기울일 수 있다”라고 설명했다.

4. 기기 ID 보안 강화하기

아비비는 사용자 인증이 여전히 최우선 과제이나, API와 기기 간 통신의 보안 위험에 대한 대응 역시 동등하게 중요하다고 강조했다.

아비비는 “기기 간 통신 보안의 중요성이 날로 커지고 있어 지속적인 모니터링이 필요하다”라고 설명했다.

5. 적정 수준의 보안 투자 보장하기

조시는 조직이 나날이 진화하는 사이버 위협에 대응하기 위해서는 ‘실효성 있고 비용 효율적인’ 보안 투자가 필수적이라고 강조했다. 특히 메디뱅크 사고(호주 건강보험 제공 기업 메디뱅크에서 약 970만 명의 고객 개인 의료 정보가 해킹으로 유출되는 사고)와 옵터스의 사고(호주 2위의 이동통신사 옵터스는 해킹 공격으로 약 980만 명의 고객 개인정보가 유출되는 사고) 이후 호주에서 도입된 새로운 규제들이 이러한 투자의 중요성을 더욱 부각시켰다고 설명했다.

조시는 “조직에 실제로 도움이 되는 보안 체계를 구축하려면 현실적이면서도 효과적인 방안을 찾아야 한다. 이를 위해 보안 리더는 필요한 시점에 적절한 규모의 투자를 집행해야 한다”라며 “탄탄한 보안 체계 구축은 이사회와 CISO가 공동으로 책임져야 할 핵심 과제이기 때문에 이사회에서도 높은 우선순위를 두고 함께 검토돼야 한다”라고 설명했다.

6. 경영진 책임 보험을 마련하기

FTI 컨설팅의 호주 사이버 보안 책임자이자 수석 전무이사인 바우터 뷔겔렌은 2025년에는 CISO의 개인 책임에 대한 조사가 더욱 강화될 것으로 예측했다. 뷔겔렌은 CISO 관련 법적 소송이 증가하는 추세에 따라 CISO가 이사 및 임원 책임 보험 가입을 검토해야 할 시점이라고 설명했다.

뷔겔렌은 “CISO 직책을 맡은 사람은 앞으로 CEO와 동일한 수준의 조사를 받을 위험이 커진다. 전통적으로 CISO는 조직에서 가입한 보험 혜택을 일반적으로 받을 수 없기에, 따로 보험을 준비해야 한다”라고 뷔겔렌은 조언했다.

7. 사이버 보안 규제 선제적 대응하기

ISG(Information Services Group) 기술 연구 및 자문 회사의 CISO 데이비드 헐은 새로운 사이버보안 법률에 대비하는 것이 중요하다고 강조했다. 그는 “앞으로도 대규모 규제가 도입될 예정이지만, 새로 제정되는 법률들이 대부분 구체적인 이행 지침 없이 추상적인 원칙만 제시한다는 점을 유념해야 한다”고 설명했다.

다만, 헐은 사이버 보안 업계의 특유의 협력 문화로 외부 도움을 받을 수 있다고 언급했다. 그는 “업계 종사자가 모여 질문을 공유하고 해석 및 대응 방안을 함께 고민할 수 있다”라며 보안 커뮤니티의 역할을 높이 평가했다.

8. 경영진 대상 데이터 유출 비용 교육하기

CISO뿐만 아니라 경영진 역시 데이터 유출의 장기적 비용에 대해 더 깊이 이해해야 한다. 대다수 경영진이 데이터 유출의 즉각적 영향은 이해하지만, 장기적 비용은 과소평가하는 경향이 있다. 뷔겔렌에 따르면, 2022년에 발생한 데이터 유출 사고의 일부 소송은 2025년 현재까지도 법정에서 진행 중이다.

뷔겔렌은 “CISO는 경영진에게 이러한 비용의 중요성을 지속적으로 교육해야 한다. 따라서 전반적인 위험 노출, 대규모 사이버 보안 사고 및 데이터 유출 가능성을 줄이기 위해, 선제적 사이버 보안 방어를 위한 예산 최적화를 모색해야 한다”라고 설명했다.

9. 비즈니스 언어로 소통하기

조시는 CISO가 직면한 가장 큰 과제 중 하나로 기술적 위험을 비즈니스 용어로 전환하는 능력을 꼽았다. 조시는 비즈니스 전반에서 이러한 간극을 좁히기 위한 CISO의 역할을 강조했다.

조시는 “비즈니스가 어떻게 수익을 창출하는지 반드시 이해해야 한다. CISO로서 이 부분을 제대로 알지 못하면 비즈니스 현실과 동떨어질 수밖에 없다”고 말했다. 이어 “C레벨 경영진이 관심을 가지는 신규 사업, 신제품, 새로운 전략에 대해 전문성을 갖고 논의할 수 있어야만 실질적인 위험 관리 방안을 제시할 수 있다”라고 설명했다. 그는 “사이버 리스크는 비즈니스 리스크를 통합하지 않고는 제대로 논의할 수 없다”고 강조했다.

10. 타 부서와 협력하기

사이버보안이 독립적으로 운영되던 시대는 지났다. 2025년에는 법무, 조달, 마케팅, 운영 등 여러 부서와 장기적인 관계를 구축하는 것이 효과적인 사이버보안의 핵심이 될 것이다.

뷔겔렌은 “사이버보안 목표가 비즈니스 경영진의 목표와 일치하도록 해야 한다”라고 강조했다. 그는 “물론 아직 많은 기업이 사이버보안을 장애 요소나 프로젝트 지연 요인으로 보곤 한다”라며 “사이버보안이 디지털 혁신을 실현하는 비즈니스 촉진 요소로 인식될 수 있게 만들어야 한다”라고 강조했다.

11. 서드파티 리스크 적극 대응하기

조시는 서드파티 공급업체가 많은 조직의 사이버 보안 전략에서 가장 취약한 고리 중 하나라고 지적하며, 크라우드스트라이크 중단 사태를 대표적 사례로 제시했다. 조시는 CISO에게 “공급망 위험, 특히 공급업체 위험 평가를 관리하는 더 나은 방법을 모색해야 한다”고 조언했다.

조시는 “공급업체 평가 시 설문지에만 의존하지 말고, 더 적극적이고 다각적인 평가 방식을 도입해야 한다”라며 “진정한 협력은 형식적인 회의 참석을 넘어서, 각 공급업체의 상황과 특성을 고려한 실질적인 논의를 통해 이루어진다”라고 설명했다.

12. 사이버 복구를 최우선 과제로 삼기

새로운 개념은 아니지만, 최근의 사이버 공격들은 조직의 방어 전략과 함께 복구 능력을 우선시해야 한다는 점을 더욱 부각시켰다. 헐의 설명에 따르면, CISO들은 복구 역량 강화에 더 관심을 기울이고 이를 핵심 과제로 다시 인식할 필요가 있다.

허프먼도 이에 동의하며 공격 후 고객 유지를 위해서는 복구 속도가 중요하다고 지적했다. 그는 “복구 기간이 2~3주나 걸린다면 이는 더 이상 받아들여지지 않는 수준이다. 현재는 3일 또는 1주일 이내 복구가 가능해야 한다”라며 “사이버 공격에 얼마나 대비하고 있는가? 사회적으로 수용 가능한 시간 내에 복구할 수 있는가?라는 질문을 늘 염두하고 있어야 한다”라고 전했다.
dl-ciokorea@foundryco.com