최근 몇 년간 기업의 보안 전략은 급격히 변화했다. 인공지능의 부상과 디지털 전환의 가속화로, 최고정보보안책임자의 업무 범위와 부담이 크게 확대됐다. 변화의 속도는 기존의 규범을 무너뜨렸고, 지금은 새로운 사고방식이 필요하다.

딥페이크 영상이 확산된 시대에 영상과 음성 인증은 여전히 신뢰할 수 있을까?

스프레드시트로 인증서 만료일을 관리하는 것이 가능할까? 양자 위협은 여전히 먼 미래의 이야기일까, 아니면 이미 현실일까?

이제는 버려야 할 오래된 보안 신화 13가지를 짚었다.

1. 인공지능이 인간을 대체할 것이다

많은 경영진이 인공지능이 보안 업무를 완전히 대체할 수 있다고 믿지만, AI는 방대한 데이터를 빠르게 분석하는 데 뛰어날 뿐 비즈니스 맥락을 이해하는 인간의 판단력을 대신할 수 없다.

사이버보안업체 릴리아퀘스트(RelIaQuest) 최고기술책임자 조 파트로우는 “보안은 인간과 AI의 협업으로 위협을 걸러내는 과정”이라며 “AI가 반복적인 업무를 자동화하더라도 전략적 판단은 사람의 몫”이라고 말했다.

AI는 단순 작업을 줄여 애널리스트가 더 많은 시간을 전략적 의사결정과 맞춤형 대응에 집중할 수 있게 한다. 파트로우는 “보안팀이 계속 변화하는 위협을 앞서 나가기 위해서는 AI와 인간이 함께 일해야 한다”라고 덧붙였다.

2. 대형 플랫폼의 신원 인증은 완벽하다

대형 기술 플랫폼들은 강력한 신원 인증 체계를 강조하지만 현실은 다르다. 딥페이크 보안업체 리얼리티디펜더(Reality Defender) 최고경영자 벤 콜먼은 “고도화된 인증 절차도 충분히 우회될 수 있다”라고 경고했다.

예를 들어 오픈AI의 소라 2가 출시됐을 때, 콜먼의 팀은 불과 24시간 만에 CEO와 유명인의 딥페이크 영상을 만들어 다단계 인증 절차를 통과했다. 콜먼은 “영상과 음성 인증이 포함돼 있었지만, 플랫폼의 보안 장치가 위조를 탐지하지 못했다”라며 “현재 인증 도구로는 AI 기반 조작을 완전히 방어하기 어렵다”라고 분석했다.

결국 ‘인증만으로는 충분하지 않다’는 점이 분명해졌다. 공격자가 방어선을 뚫 것을 전제로 한 다층적이고 적응형 방어 체계가 필요하다.

3. 신원 관리 솔루션 투자가 최신 공격을 막는다

많은 기업이 신원 관리와 SASE 플랫폼에 막대한 예산을 투입하지만, 여전히 피싱과 자격 증명 탈취 같은 기본적인 공격에 취약하다.

클라우드 보안 관리 업체 앱옴니(AppOmni) 공동창립자 브라이언 소비는 “기술이 작동하지 않는 것이 아니라, 보안 전략이 공격자 행태의 변화 속도를 따라가지 못하는 것이 문제”라고 말했다.

소비는 “현재 대다수 보안 전략은 ‘하늘이 넓어 충돌할 가능성이 낮다’는 항공이론처럼, 단지 확률에 의존하고 있다”며 “이제는 운이 아니라 실제 방어력에 의존해야 한다”라고 강조했다.

4. 보안 솔루션을 더 많이 사면 안전해진다

보안 도구를 많이 보유할수록 안전하다는 믿음은 오해다. 사이버보안업체 아틱울프(Arctic Wolf) 필드 최고기술책임자 이언 맥셰인은 “대다수 기업은 도구의 부족이 아니라 운영 문제를 안고 있다”라고 지적했다.

맥셰인은 “새로운 제품을 끝없이 도입하기보다, 기존 인프라를 최적화하고 운영 역량을 강화해야 빠르게 변화하는 위협 환경에 대응할 수 있다”라고 말했다.

5. 인력을 더 뽑으면 보안이 강화된다

보안 인재는 수요에 비해 턱없이 부족하다. 맥셰인은 “보안 인력을 무작정 늘리기보다, 기존 인력을 유지하고 재교육하는 것이 더 효과적”이라고 조언했다.

숙련된 소수 전문가가 흩어진 대규모 팀보다 훨씬 강력한 방어 체계를 구축할 수 있다. 맥셰인은 “채용에 들어갈 시간과 비용을 인프라 강화에 투자하는 편이 낫다”라고 덧붙였다.

6. 최신 공격 유형만 막으면 안전하다

많은 기업이 최근 발생한 공격 사례에만 집중하지만, 이런 방식은 다음 공격을 막지 못한다. 미국 엔지니어링 업체 블랙앤비치(Black and Veatch)의 산업 사이버보안 담당 부사장 이언 브램슨은 “과거만 바라보는 전략은 다음 공격을 맞을 수밖에 없다”라고 경고했다.

브램슨은 “모든 데이터 소스를 통합해 감시하는 체계를 구축해야 새로운 공격 패턴을 조기에 식별할 수 있다”며 “이런 접근법이 공격이 실제로 발생하기 전에 대응할 수 있는 가장 효과적인 방법”이라고 말했다.

7. 충분한 테스트와 분석으로 모든 취약점을 막을 수 있다

NCC 그룹 내부보안 디렉터 케이티 윈터본은 “아무리 철저히 테스트하더라도 완벽한 보안은 존재하지 않는다”라고 말했다.

보안 책임자는 ‘공격이 일어날 수도 있다’는 전제를 가지고 대비해야 한다.

윈터본은 “심층 방어를 구축하고, 사고 대응 훈련을 정기적으로 실시하며, 백업 복구가 실제로 가능한지 확인해야 한다”라고 강조했다. “완벽한 방어는 존재하지 않는다”는 점을 명심해야 한다.

8. 비밀번호를 자주 바꾸면 안전하다

미국 국립표준기술연구소(NIST)는 이제 주기적인 비밀번호 변경을 권장하지 않는다. 비밀번호가 충분히 강력하다면(15자 이상), 불필요한 변경은 오히려 보안을 약화시킨다.

NCC 그룹의 팀 롤린스는 “사람은 기억하기 쉽게 패턴을 반복한다”며 “‘Summer2025!’가 ‘Winter2025!’로 바뀌는 식의 예측 가능한 수정은 공격자에게 유리하다”라고 지적했다.

전문가는 패스워드 관리자를 이용해 서비스마다 다른 비밀번호를 생성하고, 플랫폼이 침해됐을 때만 변경하는 것이 안전하다고 조언했다.

또한 다중 인증(MFA)을 반드시 활성화하되, 더 높은 보안을 원한다면 패스키를 함께 사용하는 것이 좋다.

9. 스프레드시트로 인증서를 관리할 수 있다

기업은 수천 개의 디지털 인증서를 동시에 운영한다. 이 많은 인증서를 수동으로 관리하는 것은 사실상 불가능하다.

섹티고 수석연구원 제이슨 소로코는 “인증서 유효 기간이 점점 짧아지고 있으며, 2029년에는 47일로 줄어들 예정이어서 수동 추적은 불가능에 가깝다”라고 설명했다.

10. 규정 준수가 곧 보안이다

세계 각국의 보안 규정 준수는 최소 기준일뿐, 실제 보안을 보장하지 않는다.

브램슨은 “점검에 대비하는 것과 실전을 준비하는 것은 다르다”며 “규정 준수는 출발점이지 목표가 아니다”라고 말했다.

규제는 기술 혁신 속도를 따라잡지 못한다. 따라서 기업은 단순 준수보다 실질적 보안 수준 향상을 목표로 해야 한다.

11. 양자컴퓨터 위협은 아직 멀었다

양자 위협은 이미 진행 중이다.

범죄 기업과 국가 단위 공격자는 오늘날 암호화된 데이터를 수집해 두고, 미래의 양자컴퓨터로 해독할 시점을 기다리고 있다.

소로코는 “데이터가 지금은 안전해 보여도, 양자 연산이 임계점을 넘는 순간 완전히 노출될 수 있다”며 “위험은 조용히, 눈에 띄지 않게, 빠르게 커지고 있다”라고 경고했다.

미국 표준기관은 이미 양자 안전 암호 표준을 발표하고, 시스템 관리자가 가능한 한 빨리 전환할 것을 권고했다.

소로코는 “작게 시작하더라도 지금 바로 전환을 준비해야 한다”며 “예를 들어 인증서 갱신을 자동화하는 것부터 시작하면, 향후 양자 안전 암호화로의 이행이 훨씬 수월해진다”라고 말했다.

12. 수사기관이 메시지를 복호화해야 안전하다

일부 정부는 수사기관이 메신저 내용을 복호화할 권한을 부여하는 법안을 추진하고 있다. 독립 보안 연구자 사비나 알렉산드라 스테파네스쿠는 “이런 법안은 종단 간 암호화를 사실상 무력화하며, 모든 사용자를 위험에 노출시킨다”라고 지적했다.

언론인과 인권활동가에게 암호화는 마지막 방어 수단이다. 스테파네스쿠는 “수사기관이 복호화를 허용받는 순간, 모든 사람의 기기가 덜 안전해진다”라고 경고했다.

13. 생성형 인공지능 규제를 완화해야 혁신이 일어난다

일부는 규제 완화가 혁신을 촉진할 것이라 믿지만, 스테파네스쿠는 “오히려 강력한 보호 장치가 필요하다”라고 주장했다.

MIT 주도의 ‘AI 인시던트 트래커’는 인공지능으로 인한 실제 피해 사례를 기록하고 있다. 최근 몇 년간 허위 정보 확산과 악의적 활용 사례가 급격히 늘었다.

스테파네스쿠는 “우리는 인공지능이 언젠가 해를 끼치지 않을 것이라는 신화를 믿고 있지만, 현실의 증거는 그 반대”라고 말했다.

결국 기업을 위협하는 것은 기술이 아니라 안일한 인식이다. 지금의 보안 상식이 내일의 취약점이 될 수 있다. 기업은 낡은 믿음을 버리고, 변화에 대응할 수 있는 현실적이고 탄력적인 보안 전략을 세워야 한다.
dl-itworldkorea@foundryco.com