지난 12개월 동안 보안팀은 새로운 기술을 빠르게 도입해야 한다는 압박과 AI 확산을 중심으로 갈수록 고도화되는 위협 사이에서 아슬아슬한 균형을 유지했다. 한 해가 저물어가는 시점에서, 여러 CISO의 시각을 통해 2025년 보안 환경의 주요 시사점을 짚어본다.

1. AI는 방어자에게 더 강한 ‘근력’을 제공했다

2024년이 AI가 사이버보안 영역에 스며들기 시작한 해였다면, 2025년은 AI가 사실상 주도권을 잡은 해였다. 업무 관리·협업 소프트웨어 업체 스마트시트(Smartsheet)의 CISO 라비 소인은 AI를 “판도를 바꾸는 기술(transformational)”이라고 표현하며 “전 세계적으로 AI의 영향을 어떤 형태로든 겪지 않은 기업이나 사용자는 사실상 없다고 봐도 된다”라고 언급했다.

AI는 수작업을 줄이고 광범위한 공격 표면에 대한 통제력을 한층 강화했다. 소인에 따르면, AI는 통제 항목을 데이터 증거와 훨씬 빠르게 매핑하는 데 도움도 됐다. 소인은 “과거에는 증거를 수작업으로 수집하고 시스템이 이를 제대로 처리하고 있는지 일일이 확인해야 했다. 이제는 이런 과정을 매우 효율적으로 묶어낼 수 있게 됐다”라고 설명했다.

일정 예약 자동화 소프트웨어 업체 캘린들리(Calendly)의 CISO 야시르 아부셀함 역시 AI가 보안팀은 물론 기업 전반의 생산성을 크게 끌어올렸다고 평가했다. 아부셀함은 AI 덕분에 외부 컨설팅이나 리서치 업체에 대한 의존도가 줄었다며 “훨씬 더 많은 일을 해낼 수 있게 됐다. 마치 인류의 모든 지식을 주머니에 넣고 다니는 것과 같다”라고 전했다.

2. AI 때문에 보안 전략을 재검토했다

한편 아부셀함은 AI가 빠르게 확산하면서, 기업이 안전한 제품 출시를 유지하는 동시에 변화의 속도를 따라가기 위해 자원을 재배치할 수밖에 없었음을 짚었다. 아부셀함은 2025년을 ‘에이전틱 AI의 혼란스러운 도입기’라고 표현했다.

이어 아부셀함은 “업계는 이 기술이 이렇게 빠르게 발전할 것이라고, 또 거의 모든 조직이 선두 주자가 되기 위해 경쟁적으로 움직일 것이라고는 준비돼 있지 않았다고 본다. 그 결과 상당수 기업이 투자 전부 또는 상당 부분을 AI 기반 제품과 기능을 배포·개발하는 데 쏟아붓게 됐다”라고 설명했다.

이런 흐름은 보안에도 직접적인 영향을 미쳤다. 아부셀함은 “기존에 설정해 둔 투자 방향을 다시 들여다보고, 경우에 따라서는 이미 정해진 우선순위를 대폭 재조정하도록 만들었다”라고 덧붙였다.

3. AI는 공격자의 역량도 강화했다

방어를 강화하는 데 쓰이던 기술은 공격자에게도 속도와 정밀도, 확장성을 동시에 제공했다. 과거에는 사람의 손을 거쳐야 했던 공격 캠페인이 이제는 훨씬 빠르게, 더 정교하게 대규모로 실행되고 있다. 공격 방식의 대비도 점점 극명해지고 있다. 일부 캠페인은 수개월 동안 탐지되지 않은 채 네트워크 내부를 조용히 이동하며 접근 권한을 확대하고 데이터를 빼내는 반면, 또 다른 공격은 몇 분 만에 실행돼 경보가 울리기도 전에 목표를 달성한다.

엘라스틱(Elastic)의 CISO 맨디 앤드리스는 “AI는 공격 속도를 끌어올리는 핵심 동력”이라며 “위협 행위자는 AI를 활용해 정찰을 자동화하고, 고도로 개인화된 미끼를 제작하며, 인간의 신뢰를 악용하는 오디오·비주얼 딥페이크를 대규모로 만들어내고 있다”라고 설명했다. 그 결과, 기술적 공격 표면과 심리적 공격 표면이 빠르게 융합되고 있으며, 인간을 공격의 연결 고리로 삼거나 AI를 이용해 기존의 시그니처 기반 탐지와 규칙 기반 시스템을 신속히 우회하는 사례가 늘고 있다는 분석이다.

이 같은 변화는 이미 가장 흔한 침투 경로에서 드러나고 있다. 스마트시트의 소인은 피싱과 소셜 엔지니어링에서 이러한 흐름을 직접 체감하고 있다며 “과거에는 문법 오류나 어색한 로고를 보고 피싱 이메일을 가려낼 수 있었다. 이제는 완벽하게 다듬어진 이메일과 딥페이크가 등장하고, 아무리 정교한 시스템이라도 침해될 수 있는 상황이 됐다. 그야말로 미지의 영역”이라고 표현했다.

도구 측면에서도 같은 흐름이 나타나고 있다. IT 서비스 업체 HCL테크(HCLTech)의 글로벌 사이버보안 및 GRC 서비스 총괄 아미트 자인은 공격자가 코드의 정교함을 빠르게 끌어올리고 있다며 “올해 가장 두드러진 신규 위협은 AI를 앞세운 공격자였다. 이들은 생성형 AI를 활용해 회피형 자기변형 악성 코드, 딥페이크, 정밀 피싱, 자동화된 취약점 공격 개발을 수행한다”라고 전했다.

4. 위협 행위자는 이제 ‘기계’다

AI 기반 공격자의 등장은 ‘위협 행위자’라는 개념 자체를 근본적으로 바꿔놓고 있다. 키보드 앞에 앉아 있던 인간 공격자는 이제 지치지 않고, 속도가 떨어지지 않으며, 끊임없이 학습하는 자동화된 시스템으로 대체되고 있다.

스마트시트의 소인은 “AI가 점점 더 똑똑해지면서 공격자는 기업이 구축해 둔 방어 체계를 학습하고 이를 무력화할 수 있는 대응 공격을 만들어낸다. 과거 10년간 발견된 취약점 가운데 여전히 노출돼 있는 요소를 다시 끄집어내 창의적인 방식으로 악용하기도 한다”라고 말했다.

이 같은 변화는 위협 환경을 전혀 새로운 영역으로 밀어 넣고 있다. 소인은 “사이버 관점에서 볼 때 업계는 완전히 미지의 영역에 들어서 있다. AI라는 개념은 공격자가 훨씬 더 영리한 방식으로 공격하도록 만드는 환경을 조성하고 있다”라고 진단했다.

5. 머신ID가 급증했다

기업이 AI 에이전트와 자동화 파이프라인, 머신 간 워크플로우를 앞다퉈 도입하면서 머신 ID, 혹은 비인간 ID가 폭발적으로 늘어났다. 아부셀함은 자율형 워크플로우 도구든, API 기반 통합이든, MCP 클라이언트든 모든 AI 에이전트가 이제는 각자 고유한 아이덴티티를 갖고 권한과 접근 수준, 수명 주기 관리 대상이 되고 있으며, 이 증가 속도가 대부분의 보안팀이 대비할 수 있는 수준을 훨씬 넘어섰다고 지적했다.

머신 ID의 확산은 이미 대규모 투자를 불러왔다. 단순히 인력을 더 투입하는 차원을 넘어, 대규모 환경에서 ID 운영을 관리할 수 있는 새로운 솔루션과 기술에 대한 투자가 빠르게 늘고 있다.

아부셀함은 “이런 ID를 온보딩하고 유지·관리하는 속도를 한층 끌어올릴 필요가 있다. 에이전트가 적절하게 거버넌스되고 관리되는지, 올바르게 인증과 인가가 이뤄지는지, 그리고 수명 주기가 끝났을 때 이를 안전하게 폐기할 수 있는지까지 보장해야 한다”라고 설명했다.

이 변화는 AI 에이전트에만 국한되지 않는다. 엘라스틱의 앤드리스는 ID 난립이 확대하면서 업계 전반이 기본기로 다시 돌아가고 있다고 분석했다. 특히 인간과 비인간 접근을 모두 뒷받침하는 설정과 통제에 대한 재점검이 이뤄지고 있다는 설명이다. 앤드리스는 “API 키, 토큰, 서비스 계정과 같은 비인간 아이덴티티는 이미 공격자가 자주 노리는 주요 침투 지점이 됐다”라며, 이에 대한 보호가 필수 과제로 떠올랐다고 강조했다.

6. 서드파티 리스크가 핵심 이슈로 부상했다

2025년 들어 기업이 기술 스택을 확장하고 SaaS 플랫폼과 AI 도구, 자동화 통합을 본격적으로 추진하면서 서드파티 공격의 중요성도 크게 부각됐다.

세일즈포스를 포함한 주요 서비스 업체와 관련된 최근 침해 사고는 공격 표면이 더 이상 내부 경계에만 머물러 있지 않다는 점을 상기시킨다. 스마트시트의 소인은 “기업이 서드파티 소프트웨어에 의존할수록 전체 기술 스택이 어떤 구조로 구성돼 있는지 면밀히 들여다보고 보안을 최우선 가치로 삼는 기술에 의존하고 있는지를 점검하는 일이 더욱 중요해진다”라고 설명했다.

HCL테크의 자인은 2025년이 거버넌스와 업체 관리 방식에 있어 전환점이 된 해였다고 평가했다. 자동화, 고급 분석, 지속적인 서드파티 검증을 기반으로 규제 준수와 거버넌스, 회복탄력성 간의 정렬이 한층 강화됐다는 설명이다. 자인은 “본질적으로 2025년은 사이버보안이 개별 보안 조직의 역할을 넘어 전사적인 비즈니스 공동 책임으로 자리 잡은 해”라고 진단했다.

다만 거버넌스 강화와 자동화된 관리 체계가 틀을 제공하더라도 보안의 성패는 결국 조직 구성원 각자의 일상적인 판단에 달려 있다. 자인은 “진정한 보안은 습관과 행동, 문화에서 나온다. 모든 클릭과 모든 결정, 모든 설정, 모든 서드파티 통합이 이제는 각기 무게를 갖게 됐다”라고 말했다.

7. 규제 압박이 이사회로 직행했다

2025년 들어 정부의 감독과 규제 강도가 한층 높아졌다. 규제는 더 빠른 사고 보고와 강화된 통제, 그리고 최고 경영진 차원의 책임성을 요구하고 있다. HCL테크의 자인은 “이사회는 더 이상 단순한 규제 준수 체크리스트에 만족하지 않는다. 리스크 최적화 관점에서의 투자 대비 효과(ROI), 측정 가능한 회복탄력성, 명확하게 입증된 준비 상태, 그리고 지속적인 보고를 기대한다”라고 말했다. 이로 인해 사이버보안은 인수합병(M&A) 결정과 공급망 파트너십, 나아가 시장 진출 전략에까지 영향을 미치는 전략적 요소로 자리 잡았다.

국제 표준과 프레임워크에 대한 집행 역시 훨씬 엄격해지고 있다는 지적도 나온다. 스마트시트의 소인은 IRAP, ISO, NIST와 같은 국제 프레임워크가 이전보다 훨씬 강하게 적용되고 있다고 전했다. 소인은 “표준 자체가 생각하는 것만큼 크게 바뀐 것은 아닐 수 있다”면서도 “문제는 그 집행이 훨씬 엄격해졌다는 점”이라고 설명했다. 예를 들어 고객 계약이나 규제 문서에서 고객이 요구하는 보안 기대 수준이 훨씬 구체적이고 강해지고 있으며, 소인은 이것이 충분히 타당한 변화라고 봤다.
dl-itworldkorea@foundryco.com