RSA 2026 개막까지는 아직 몇 주가 남았지만 분위기는 이미 달아오르고 있다. 올해 주제는 ‘커뮤니티의 힘’이지만, 3월 23일부터 3월 26일까지 미국 샌프란시스코 모스콘 센터를 채울 대화의 중심은 인간이 아니라 AI 에이전트가 될 가능성이 높다.

사이버보안 커뮤니티에 에이전트와 자동화 시스템이 본격적으로 합류하는 셈이다.

사이버보안은 사람부터 핵심 인프라에 이르기까지 광범위한 영역을 포괄하지만, RSA 2026에서 중심 무대에 설 가능성이 높은 5가지 분야를 정리했다. 이 5가지 영역은 모든 CISO가 주목해야 할 의제다.

AI-SOC의 부상

2026년, 업계는 AI 코파일럿을 넘어 경보 분류, 악성 행위 조사, 호스트 격리, 소프트웨어 패치와 같은 전통적 보안 운영 센터(SOC) 업무를 자율적으로 수행하는 에이전트 단계로 이동하고 있다. 초기 현실이 기대 수준에 완전히 부합하지는 않지만, 해당 흐름은 SOC 운영 방식을 재편할 것으로 예상된다.

시스코/스플렁크, 크라우드스트라이크, 구글, 마이크로소프트와 같은 기존 공급업체와 앤데사이트, 크로글, 프로핏 시큐리티 등 신생업체 모두에서 혁신이 이어지고 있다. AI-SOC는 잠재력이 크지만, 보안 전문가는 AI 환각과 이른바 ‘블랙박스’ 도구에 대한 우려를 갖고 있다. 에이전트의 성패는 위협 인텔리전스, 로그 파일, 도구 통합 등 정확하고 시의적절한 데이터 접근성에 달려 있다.

RSA 참석자에게는 신중한 낙관이 필요하다. AI-SOC는 예상보다 빠르게 도입될 가능성이 있다. CISO는 명확한 요구사항과 충분한 질문을 준비하고, 기존 도구 개발 업체에만 의존하지 말고, 더 폭넓은 대안을 검토해야 한다.

CTEM 조명 확대

또 다른 진화 흐름으로 다수 기업이 단순 소프트웨어 취약점 스캔을 넘어 지속적 위협 노출 관리(CTEM)로 이동하고 있다. 보안 기업은 모든 자산의 구성, 위치, 소프트웨어 취약점, 소유권, 비즈니스 중요도를 포함한 전체 현황을 파악하려 한다.

해당 데이터를 기반으로 CTEM 플랫폼은 위협 인텔리전스를 활용해 공격자의 전술·기술·절차를 평가하고, 비즈니스에 가장 큰 위험을 초래할 취약 자산의 우선순위를 제시한다. 일부 도구는 향후 악용 가능성이 높은 자산을 예측하기도 한다.

뉴클리어스 시큐리티, 서비스나우(아미스), 테너블(벌칸 시큐리티) 등 여러 업체의 CTEM 도구가 RSA 전면에 등장할 전망이지만, 그만큼 업체가 난립해 혼란스러운 시장이기도 하다. CTEM을 잘못 도입하면 보안 스택에 또 다른 도구만 추가하는 결과로 이어질 수 있다.

보안 기업은 RSA 현장의 화려한 기술에 앞서 데이터 정비와 정합성 확보를 진행하고, 핵심 자산을 정의하며, 자체 위험 점수 체계를 수립하고, 보안과 IT 기업 간 긴급/일상적 패치 프로세스를 위한 실행 계획을 마련해야 한다.

사이버 회복탄력성 부상

미국 국립표준기술연구소(NIST)의 특별 간행물 800-160 2권에 따르면 사이버 회복탄력성은 “사이버 자원을 사용하는 시스템이 불리한 조건, 스트레스, 공격, 침해 상황을 예측하고 견디며 복구하고 적응하는 능력”으로 정의된다.

매우 포괄적인 정의다. 위협 예측에는 위협 인텔리전스 분석, 지속적 노출 관리, 효과적인 보안 통제가 필요하다. 위협을 견디고 복구하기 위해서는 신속한 탐지, 사고 대응, 데이터 백업과 복구, 그리고 공식화되고 검증된 비즈니스 연속성·재해 복구 계획이 요구된다. 적응 단계에서는 보안 기술 조정, 탐지 규칙 설계, 전략적 투자, CISO의 리더십이 필요하다.

사이버 회복탄력성은 위협 예측부터 방어, 복구, 적응에 이르기까지 광범위한 영역을 포괄하기 때문에, 전 과정을 하나의 제품으로 모두 해결할 수 있는 솔루션은 현실적으로 존재하지 않는다. 그럼에도 일부 업체는 자사 제품이나 플랫폼이 사이버 회복탄력성 전반을 포괄하는 것처럼 마케팅할 가능성이 있다. 따라서 도입 시 신중한 검토가 필요하다.

아이덴티티가 새로운 보안 경계로 부상

2004년 무렵 활동했던 제리코 포럼은 데이터가 기업 네트워크 외부로 이동하는 환경에서 보안은 물리적·논리적 위치가 아니라 데이터와 사용자 아이덴티티에 부착돼야 한다고 주장했다. 22년이 지난 현재 일부 공급업체가 유사한 인식 전환을 보이고 있다.

아이덴티티 관리 영역에서는 세일포인트, 사비인트(Saviynt)의 고도화된 거버넌스, 마이크로소프트, 옥타, 핑(Ping)의 비밀번호 없는 인증, 그립 시큐리티(Grip Security)와 퍼미소 시큐리티(Permiso Security)의 아이덴티티 위협 탐지·대응 등 다양한 발전이 이뤄지고 있다.

아이덴티티 영역에서는 사용자 권한, 사용자 실존 여부, 아이덴티티 구성 설정을 평가하기 위해 AI가 광범위하게 활용되고 있다. 다만 아이덴티티 및 접근 관리(IAM)는 이해관계자는 많지만 명확한 소유 기업이 부재한 영역으로 남아 있다. CISO는 비즈니스 책임자, CIO, 애플리케이션 개발자와 협력해 아이덴티티 위험을 해결해야 하며, 이런 전략 프로젝트는 길고 복잡해질 가능성이 높다. 신생업체에는 쉽지 않은 환경이다.

AI 중심 보안 전략 재정립

AI 요소는 앞서 언급한 모든 영역에 포함돼 있지만, 다양한 AI 기반 사이버보안 범주를 별도로 다룰 필요가 있다.

CISO는 AI 개발과 활용 보안을 동시에 확보해야 하는 과제를 안고 있다. 여기에는 모델 컨텍스트 프로토콜 보안, AI 방화벽, 콘텐츠 정화, 디지털 콘텐츠 진위 검증, AI 보안 태세 관리, AI 기반 데브섹옵스 등 다양한 기술이 포함된다. 이런 기술은 기업의 전반적 비즈니스·기술 전략과 거버넌스 체계를 지원해야 한다.

또한 RSA에서는 취약점 연계 공격, 다형성 페이로드, 보안 통제 우회와 같은 위협 논의가 활발할 전망이다. 일견 타당한 주제지만, 공격자 역시 방어자와 마찬가지로 연구와 프로세스 자동화에 AI를 활용하는 경우가 많다.

참석자는 과도한 과장을 배제하고 관련성 높은 위협 인텔리전스에 집중해야 한다. AI 세부 주제는 방대하지만, 특히 AI 중심 역량과 교육 세션에 주목할 필요가 있다. AI 기반 미래 환경에서 기업은 보안 데이터 엔지니어와 AI 보안 전문가를 필요로 하며, 아직 시장에서 쉽게 확보하기 어려운 역량이다. 또한 1단계 애널리스트 기능을 AI로 대체하는 과정에서 주니어 보안 인력을 인간-에이전트 협업을 주도하는 오케스트레이터로 재교육해야 한다. AI 역량 개발과 교육은 CISO의 핵심 우선순위가 돼야 한다.

그 외 주목할 영역

이상의 5가지 주제 외에도 RSA 2026에서 CISO가 관심을 가질 만한 영역은 많다.

제로 트러스트. 아이덴티티 및 접근 관리(IAM) 및 사이버 회복탄력성 전략과 긴밀히 맞물려 있다. 그만큼 제로 트러스트는 여전히 최우선 과제다. CISO는 제로 트러스트 구현을 가속할 수 있는 AI 기반 혁신에 주목해야 한다.

클라우드 보안. 멀티 클라우드, 서비스형 소프트웨어(SaaS), AI 개발이 확산되면서 클라우드 보안은 여전히 까다로운 과제로 남아 있다. 기업은 클라우드 사용 확대에 맞춰 함께 성장하는 유기적 보안 전략이 필요하다. CISO는 콘퍼런스를 통해 증가하는 멀티 클라우드/SaaS 보안 요구사항을 구체화해야 한다.

사이버보안 플랫폼. 해당 영역에도 공급업체 자금이 대거 유입되고 있다. 보안 플랫폼은 대다수 중소기업에 적합할 가능성이 높지만, 비즈니스와 IT 속도가 사이버보안보다 훨씬 빠른 대기업에는 반드시 최적이라고 보기는 어렵다. CISO는 플랫폼 효율성의 이점과 개별 도구의 효과성, 그리고 기존 시스템 교체에 따른 부담을 종합적으로 비교해야 한다.

DR. CDR·EDR·XDR 등 다양한 탐지·대응 기술이 클라우드와 네트워크 경계 전반에서 빠르게 발전하고 있다. 해당 흐름은 고도로 분산된 보안 운영 체제로 이어질 가능성이 크다. CISO는 이런 기술 영역의 융합과 진화가 향후 중앙집중형 또는 분산형 보안 운영 아키텍처에 어떤 영향을 미칠지 검토해야 한다.

IT 및 OT 보안. 오랜 기간 논의된 주제지만, AI는 스마트 디바이스와 엣지 컴퓨팅 확산에서 배가 요인으로 작용할 전망이다. 예를 들어 향후 5년 내 헬스케어 산업은 데이터 수집과 환자 치료를 위한 웨어러블 연결 기기를 중심으로 전환될 가능성이 높다. 그만큼 기기 가용성과 무결성은 생명과 직결되는 문제가 될 수 있다. 보안 기업이 뒤처져서는 안 된다. 사물인터넷(IoT) 및 OT 보안을 위한 전용 AI 에이전트와 IT·OT 융합 보안 강화 방안의 진화를 주시해야 한다.

포스트 양자 암호(PQC). 상황에 따라 중요도가 갈리는 주제다. 정보기관, 방위산업체, 금융 서비스 기업에 근무하는 CISO는 주의를 기울일 필요가 있다. 그 외 기업은 최소한 올해에는 우선순위를 낮춰도 무방하다.

커뮤니티의 힘. 반복되는 주제지만 과장이 아니다. 사이버보안 전문가는 이미 RSA와 블랙햇, 그리고 정보시스템보안협회와 같은 전문 단체를 통해 서로 학습하고 있다. 집단 방어 시대에는 여러 기업이 실시간으로 협력해 상호 보호에 나서는 구조로 발전할 필요가 있다. 에이전트 역시 이런 커뮤니티에 참여하길 기대한다.

AI 마케팅 과열을 경계하라

AI 확산과 함께 올해 RSA는 과거보다 더 많은 시각적 마케팅 요소를 선보일 가능성이 높다. 업체는 사용자 주목도를 높이기 위해 수백만 달러를 투자한다. 보안 전문가는 언제나처럼 비즈니스 전략과 기술적 요구사항을 지원하는 명확한 요구 목록을 갖고 행사에 접근해야 한다. 과도한 AI 열풍에 휩쓸리지 말고, 브루스 슈나이어의 말처럼 “보안은 제품이 아니라 프로세스”라는 원칙을 기억해야 한다.
dl-itworldkorea@foundryco.com