CISO는 어떤 기업도 완전히 안전하지 않다는 사실을 인정하면서도, 정작 자신의 보안 태세가 기대에 미치지 못한다고 고백하는 경우가 많다.

프루프포인트(Proofpoint)의 2025 CISO 보고서(Voice of the CISO Report)에 응답한 CISO 중 3분의 1은 기업 내 데이터가 충분히 보호받지 못하고 있다고 밝혔고, 58%는 사이버 공격 대응 준비가 부족하다고 답했다. 반면 사이버 보안 목표 달성에 충분한 예산·인력·도구가 갖춰졌다고 응답한 비율은 67%에 그쳤다.

이런 수치는 대다수 기업에 여전히 심각한 보안 공백이 존재함을 보여준다. 적대 세력이 자동화와 AI를 적극 활용하면서, 악용될 수 있는 보안 공백을 메워야 한다는 압박은 더욱 거세지고 있다. 다음은 IT 보안 리더와 업계 전문가가 꼽은, CISO가 주목해야 할 6가지 핵심 보안 공백이다.

1. 인식의 격차

CISO가 최근 들어 비즈니스 지향적으로 변해가고 있음에도, 많은 이가 여전히 자신의 본업을 ‘디지털 시스템 보호’로 인식하고 있다. 헬스-ISAC(Health-ISAC)의 최고보안책임자(CSO) 에롤 와이스는 “비즈니스 복원력 확보”로 관점을 전환해야 한다고 강조한다.

와이스는 CISO이 여전히 IT 관점에서 최악의 상황을 상정하고 보안을 IT 문제로 바라보는 경향이 있다고 꼬집었다. 어떤 대가를 치르더라도 시스템을 지키겠다는 발상에서 벗어나 복원력을 구축하고, 무언가가 실패했을 때 발생하는 연쇄적 영향을 고민해야 한다는 것이 와이스의 지적이다.

와이스는 많은 기업에서 이 격차가 지속되는 이유 중 하나로, 복원력의 핵심인 업무 연속성이 통상 CISO가 아닌 다른 임원의 소관이라는 점을 들었다. 와이스는 업무 연속성이 전통적으로 다른 누군가의 문제였지만, 이제는 보안 기업이 집중해야 할 과제가 됐다고 강조했다.

IT 환경에 대한 공격 영향에만 집중하는 대신, 디지털 위협이 비즈니스 전반에 어떤 영향을 미칠 수 있는지를 폭넓게 고민할 때, CISO는 주요 리스크를 더 정확히 파악하고 사고 발생 시 피해 범위를 더 잘 산정할 수 있다고 와이스는 설명했다. 그 결과 방어 조치와 복구 대응의 우선순위를 더 효과적으로 정할 수 있고, 사고를 초기에 봉쇄해 비즈니스 운영을 마비시키는 예상치 못한 연쇄 피해를 막을 가능성도 높아진다.

와이스는 2024년 체인지 헬스케어(Change Healthcare) 사이버 공격 사례를 언급했다. 의료 업계 전반에 파장을 일으킨 이 사건은 CISO이 사이버 위협과 리스크에 대한 시각의 격차를 좁혀야 하는 이유를 잘 보여준다고 와이스는 강조했다.

2. 위협 행위자의 속도와 보안 대응 속도의 격차

위협 인텔리전스 업체 시스코 탈로스(Cisco Talos)의 2025 연간 리뷰 보고서는 2025년 위협 환경이 취약점 악용 속도의 전례 없는 가속으로 정의됐다고 분석했다. 공격자들은 리액트투셸(React2Shell), 툴셸(ToolShell) 같은 새로운 보안 결함을 공개 즉시 무기화했다.

IT 서비스 업체 CDW의 보안 전략 이사 벅 벨은 대다수 보안팀이 이 속도에 따라가지 못하고 있어 위협 행위자와의 민첩성 격차가 발생하고 있다고 짚었다. 벨은 오늘날 목격되는 격차의 대부분이 실행 속도의 격차라고 덧붙였다.

벨은 많은 보안 프로그램이 여전히 레거시 사고방식, 즉 실시간 조정이 요구되는 환경에서 정적인 보안 조치에 의존하고 있다고 지적했다. 월 단위 침투 테스트나 패치 화요일(Patch Tuesday)은 구시대의 유물에 가깝지만 일부 보안 부서에는 아직 남아 있다. 벨은 오늘날의 기업이 현실적으로 훨씬 높은 속도로 실행해야 한다고 강조했다.

벨은 선도적인 CISO이 AI, 자동화, 지속적 위협 노출 관리(CTEM, continuous threat exposure management) 같은 방식을 도입해 운영 속도를 높이고 있다고 설명했다.

3. 비즈니스 속도와 보안 속도의 격차

비슷한 맥락에서, 일부 CISO는 보안이 비즈니스의 속도에 발맞출 수 있도록 민첩성을 키워야 한다. PwC의 2026 CISO 아웃룩은 CISO의 역할이 중대한 전환점에 서 있다고 진단했다. 보고서는 기술이 가속화되고 새로운 위협이 등장하면서 변화의 속도에 맞춰 리더십을 발휘해야 한다는 기대가 커지고 있으며, AI, 양자 컴퓨팅, 초연결 세계가 리스크의 본질을 바꾸는 가운데 비즈니스 전반이 보안 리더십을 주시하고 있다고 밝혔다.

소프트웨어 업체 모델 N(Model N)의 글로벌 정보보안 책임자 치라그 샤는 오늘날 비즈니스가 속도의 주도권을 쥐고 있다는 사실을 잘 안다. 샤는 비즈니스가 더 빠르게 달리길 원하는 만큼, 보안과 컴플라이언스도 그 속도에 발맞춰야 한다고 말했다. 샤는 보안 기업이 항상 뒤쫓는 입장에 있다고 덧붙였다.

샤는 속도를 높이기 위해 보안 인력의 AI 역량을 강화하는 방식을 취하고 있다. 비즈니스 부서의 우선 프로젝트에 보안 인력이 준비된 상태로 참여할 수 있도록 하기 위해서다.

SANS 인스티튜트(SANS Institute)의 필드 CISO 크리스 코크런은, 프레임워크와 표준을 채택하고 보안 동료들과 협업하는 CISO는 검증된 전술을 빠르게 학습·배치함으로써 비즈니스 변화에 맞춰 확장할 수 있다고 말했다.

4. 기존 역량과 필요 역량의 격차

CISO은 오랫동안 필요한 인재를 확보하는 데 어려움을 겪어왔다. 과거에는 주로 인력 충원 자체가 문제였지만, 이제는 보안 전문가가 필요한 최신 역량을 갖추고 있는지를 더 걱정하고 있다.

SANS 인스티튜트의 2026 사이버 보안 인력 연구 보고서는 사이버 보안 인력이 근본적인 전환을 겪고 있다고 분석했다. AI가 전통적인 진입 경로를 교란하고 규제 컴플라이언스 요구가 역량 검증을 위한 새로운 틀을 만들어내면서, 기업이 팀을 상위 직급부터 재편하고 있다는 것이다. 이런 흐름이 맞물리며 역량 격차가 더욱 벌어지고 있고, 단순한 인원 확충보다 적합한 역량 확보가 더 중요하다는 인식이 높아지고 있음에도 기업이 격차를 좁히지 못하고 있다는 내용도 담겼다. 보고서는 신규 역할의 전문가 수요가 전년 대비 약 두 배 증가했으며, 기존 역량 분야의 추가 채용도 크게 늘었다고 밝혔다.

이 격차에 대한 CISO의 우려는 갈수록 깊어지고 있다. 2026년 기준으로 보안 리더의 60%가 역량 격차를 최우선 인력 과제로 꼽았는데, 이는 전년의 52%에서 증가한 수치다. 인력 부족을 주요 문제로 든 응답자는 40%에 그쳤다.

소프트웨어 업체 마임캐스트(Mimecast)의 글로벌 필드 CISO 베스 밀러는 CISO를 괴롭히는 것이 비단 보안 팀 내부의 역량 격차에 그치지 않는다고 지적했다. 밀러는 보안 팀이 완벽하게 역량을 갖추고 있더라도 비즈니스 부문에 보안 역량이 없다면 여전히 격차는 존재한다고 강조했다. 또한, 격차를 해소하려면 기업 전반에 걸쳐 인적 계층에 투자해야 한다고 덧붙였다.

코크런도 비슷한 견해를 피력하며, CISO가 지속적인 학습과 교육의 문화를 조성해야 한다며, 격차를 좁히는 것이 결국 ‘의지’ 하나로 귀결된다고 강조했다.

5. AI 배포 보안의 격차

CISO이 AI 배포를 보안화하는 데 뒤처지는 데는 여러 이유가 있다.

마임캐스트의 밀러는 AI 관련 지시가 CISO가 준비할 수 있는 속도보다 빠르게 내려온다고 지적했다. 경영진이 경쟁 압력이나 이사회의 기대에 연동해 AI 도입 이니셔티브를 위에서 아래로 선언하면, 몇 주 안에 각 사업 부서가 AI 도구를 만들고 데이터에 연결하며 기존 시스템에 AI를 통합하기 시작하는데, CISO는 구현 도중이나 이후에야 관련 사실을 알게 되는 패턴이 자사를 비롯한 여러 기업에서 반복되고 있다는 것이 밀러의 설명이다.

아래에서 위로 올라오는 AI 배포, 즉 경영진의 관여나 인지 없이 진행되는 경우도 있다. 모델 N의 샤는 섀도 AI가 업계 전반에서 일어나고 있다고 말했다. 보안이나 IT 부서가 사후에 관련 배포를 발견하더라도, 발견 자체가 보안 공백을 없애주지는 않는다.

전문가는 또한, AI 기술이 진화함에 따라 적절한 보안 통제를 개발하고 이를 실제로 적용·준수하도록 하는 것, 그리고 거버넌스 프레임워크를 기술의 발전 속도에 맞춰 업데이트하는 것이 모두 어렵다는 점도 지적했다. 이런 역학 구조는 AI 보안에 필요한 통제와 실제 적용 현황 사이의 격차를 필연적으로 만들어낸다.

밀러는 AI 보안 공백이 IT 문제처럼 위장한 거버넌스 격차라고 꼬집었다.

SANS 인스티튜트의 조사 결과, AI 보안 정책을 마련한 기업은 54%에 불과했으며, 포괄적인 거버넌스 프레임워크를 갖춘 곳은 20%에 그쳤다. 약 75%는 거버넌스 체계를 구축 중이거나 아직 준비 단계에 있었다.

SANS 인스티튜트는 AI 보안 거버넌스가 아직 초기 단계라고 결론 내렸다. 다른 전문가도 이에 동의하며, CISO가 관찰 가능성 도구, 경영진 설득 역량, AI 관련 보안 인식 및 교육, AI 보안 모범 사례, 그리고 새로운 AI 거버넌스 프레임워크를 적극 활용해 이 격차를 좁혀야 한다고 강조했다.

6. 레거시 격차

시스코(Cisco)의 글로벌 CISO 제이슨 리시는 많은 비즈니스 리더가 기술에 대해 ‘설치하고 잊어버리는 사고방식’을 취하며, 시스템이 정상적으로 작동하고 차별화 요소가 되지 않는 한 IT 현대화에 저항한다고 지적했다.

리시는 이런 태도가 CIO가 AI와 새 기술을 레거시 환경에 통합하려 할 때만이 아니라, CISO가 현대적인 보안 체계와 기술을 도입하려 할 때도 장애물이 된다고 설명했다. 위협 행위자들이 AI를 활용해 지원 종료된 시스템과 현대적 보안 통제를 적용할 수 없는 레거시 기술을 공략하는 데 점점 능숙해지면서, 이 문제는 더욱 심각한 보안 위협이 되고 있다.

2026년 전미 주 CIO 협회(NASCIO, National Association of State CIOs)와 딜로이트 앤 투시(Deloitte & Touche)의 공동 연구에 따르면, CISO은 증가하는 위협의 정교함, 사이버 보안 예산 부족과 함께 레거시 인프라를 사이버 보안 과제 해결의 3대 장애물 중 하나로 꼽았다.

리시는 CISO가 리스크 기반 접근 방식을 취해야 한다고 말했다. 이사회나 C레벨 임원에게 교체가 시급한 레거시 장비와 기기가 무엇인지를 구체적으로 제시하고 교체하지 않을 경우의 위험을 이해시키는 것, 그리고 그 우선순위를 제시하는 것이 CISO의 역할이라는 주장이다.
dl-itworldkorea@foundryco.com