시장과 재정적 압박부터 AI의 부상까지, CISO는 가속화되는 위험과 혼란에 대응하고 선제적으로 대비하기 위해 보안 전략과 로드맵을 한층 더 유연하게 조정하고 있다.
사이버보안의 핵심 임무는 여전히 같다. 조직을 디지털 공간에 도사린 모든 위험으로부터 방어하는 것이다. 그러나 위험의 정의는 변하고 있으며, 사이버보안의 공격과 방어 양측에서 쓰이는 기술도 진화하고 있다. 이에 따라 보안 책임자가 임무를 수행하는 방식도 달라지고 있다.
위협은 증가하고 있으며, 갈수록 정교해지고 있다. 공격 속도는 더욱 빨라지고 있다. AI는 모든 것을 재편하고 있으며, 시장과 재정적 압박은 가중되고 있다.
이런 상황에서 CISO는 큰 압박을 체감하고 있다. 사이버보안 기업 비트사이트 트레이스(Bitsight Trace)가 발표한 ‘2025 사이버 리스크 및 노출 현황 보고서’에 따르면, 보안 및 리스크 리더 1,000명을 조사한 결과 90%가 5년 전보다 사이버 리스크 관리가 어려워졌다고 답했다. 응답자들은 그 주된 원인으로 AI의 폭발적 확산과 확대되는 공격 표면을 꼽았다.
그러나 보안 리더들은 그것만이 유일한 요인은 아니라고 말한다. 지금 IT 보안 전략을 새롭게 재편하는 다섯 가지 주요 트렌드를 살펴본다.
1. 재정 압박, 보안 예산을 옥죄다
거시경제의 불확실성이 최고경영진에게 비용 절감을 강하게 요구하고 있다. CTM 인사이트(CTM Insights) 설립자이자 매니징 파트너인 루 스타인버그는 “정보보안은 이제 ‘예산 피로’ 상태에 이르렀다”며 “그동안 예산은 늘 오르기만 했지만 이제는 정체되거나 감소하고 있다. 이는 많은 CISO에게 새로운 상황으로, 효율성에 대한 질문에 답해야 하는 시점”이라고 설명했다.
IANS 시큐리티와 아르티코 서치의 ‘2025 예산 벤치마크 보고서’에 따르면, 보안 예산의 평균 연간 증가율은 2024년 8%에서 2025년 4%로 떨어지며 5년 내 최저치를 기록했다. 587명의 CISO 중 보안 예산이 증가했다고 답한 비율은 47%에 불과했으며, 이는 2024년 62%, 2022년 78%와 비교해 크게 줄어든 수치다. 절반 이상인 54%는 예산이 동결되거나 축소됐다고 답했다.
EY의 ‘2025 글로벌 사이버보안 리더십 인사이트 조사’에서도 보안 예산은 기업 연매출 대비 1.1%에서 0.6%로 2년 사이 하락한 것으로 나타났다.
이에 따라 CISO들은 기술 스택 단순화, 자동화 확대, 외주 활용 등으로 대응하고 있다. 스타인버그는 “맞춤형 솔루션 대신 범용 솔루션을 선택해 동일한 통제를 제공하면서도 관리가 용이하고 총소유비용(TCO)이 낮은 방식을 택하고 있다”라고 전했다. 또한 자동화 영역을 확대해 효율성을 높이고, 인력 비용을 줄이기 위해 외주화를 늘리고 있다고 설명했다.
2. AI 기반 공격, 비즈니스 리스크 증폭
보스턴컨설팅그룹(BCG) 조사에 따르면, 80%의 CISO가 AI 기반 사이버 공격을 최우선 우려사항으로 꼽았다. 불과 1년 전만 해도 네 번째 우려 요인이었던 것이 단기간에 최상위로 떠올랐다.
공격자는 생성형 AI를 활용해 더 정교하고, 더 표적화되며, 더 효과적인 사회공학 공격을 실행하고 있다. BCG 조사에 따르면, 62%의 CISO가 이를 주요 위협으로 꼽았다. BCG는 “조직들은 공격자가 손쉽게 실행할 수 있는 자동화된 생성형 AI 공격의 급증을 목격하고 있으며, 이는 직원, 파트너, 고객을 속이는 데 매우 효과적일 수 있다”고 전했다.
이에 따라 CISO들은 위협 인텔리전스, 애플리케이션 보안, AI 기반 보안 솔루션 등 해당 공격을 방어할 수 있는 영역에 더 많은 투자를 하고 있다.
보안 리더들은 더욱 강력한 AI 기반 공격이 다가올 것에 대비하고 있다. IT 인프라 서비스 기업 킨드릴의 글로벌 보안 및 회복력 부문 리더 크리스 러브조이는 “2027년까지 기업들은 완전히 자율적인 AI 주도 사이버 공격을 경험하게 될 것”이라고 예측했다.
IANS 리서치 펠로이자 공공 부문 CISO인 볼프강 괴를리히는 “이 같은 전망 때문에 CISO들은 탐지, 대응, 복구, 회복력 강화를 위해 AI 도구를 신속히 도입하고 있다”고 전했다.
3. 에이전틱 AI, 보안 근본 원칙을 재정의하다
CISO는 지금까지 자사 AI 프로젝트를 보호하기 위해 정책을 조정하고, AI가 활용하는 데이터와 알고리즘을 지키기 위한 도구를 도입해왔다. 이러한 작업은 여전히 진행 중이지만, 이제는 에이전틱 AI(agentic AI)로 인해 발생하는 새로운 위험으로부터 조직을 지키는 방안을 고민해야 하는 시점이다.
이스라엘 벤처캐피털 팀8(Team8)이 발표한 ‘2025 CISO 설문조사’에 따르면, 37%의 CISO가 ‘AI 에이전트 보안’을 가장 시급한 과제로 꼽았다.
루 스타인버그는 “에이전틱 AI 환경에서는 CISO가 단순히 인증(authentication)뿐만 아니라 권한 부여(authorization) 방식까지 새롭게 접근해야 한다”고 설명했다. 그는 “대부분의 AI 에이전트는 아직 울타리식(walled garden) 환경에 있기 때문에 CISO가 이들을 암묵적으로 신뢰한다. 하지만 앞으로는 외부 에이전트가 조직과 상호작용하게 될 것이며, CISO는 그 에이전트가 실제로 자신이 주장하는 존재인지, 또 특정 행위를 수행할 권한이 있는지를 반드시 확인해야 한다. ‘당신은 내가 요청한 작업을 수행할 권한이 있는가?’라는 질문을 던져야 한다”고 말했다.
예를 들어, 스타인버그는 에이전틱 AI가 여행자에게 단순한 프롬프트 입력만으로 항공권 예약을 가능하게 할 것이라고 설명했다. 여행자가 출발 공항, 목적지, 날짜, 선호 항공사 등을 입력하면, AI 에이전트가 검색부터 예약, 결제까지 전 과정을 스스로 처리한다는 것이다.
이런 미래에서는 항공사가 해당 에이전트가 실제 이용자를 대신해 예약할 권한이 있는지 검증해야 한다. 그러나 사람의 개입 없이 이를 확인하는 일은 매우 어렵다고 스타인버그는 지적했다. 그는 “실제 신원을 가진 사람이 AI 에이전트에게 특정 작업을 요청했다는 사실을 확인할 수 있는 방식이 필요하다. 그렇지 않으면 조직은 그 프로세스의 신뢰성을 어떻게 보장할 수 있겠는가?”라고 말했다.
스타인버그는 “에이전틱 AI 시대에는 인증을 권한 부여의 대리 지표로 삼는 관행이 더 이상 유효하지 않게 될 것”이라고 덧붙였다.
그는 아직 이 문제에 대한 확실한 해법은 없다고 인정했다. 다만 연구자와 기술 기업들이 기존 권한 부여 프로토콜을 확장해 인증 기능까지 포함하려는 노력을 하고 있다고 전했다. 그러나 “표준적인 해법이 마련되기 전까지는 울타리식 접근법을 유지할 수밖에 없다. 즉, 내 소유만 신뢰하겠다는 방식이다. 하지만 이는 비즈니스 부서가 새로운 시도를 원하는 시점에 제약이 될 수 있다. 결국 보안 부서가 다시 ‘안 된다(No)’ 또는 ‘느리다(Slow)’라는 낙인을 찍히게 될지도 모른다”고 말했다.
4. 변화 속도, 보안 태세와 관행을 바꾸다
변화의 속도 역시 보안 전략에 큰 영향을 주고 있다. CISO들은 과거보다 훨씬 빠르게 움직이고 있으며, 앞으로는 적대적 공격자와 비즈니스 속도를 따라잡기 위해 더 빠르게 대응해야 할 것이라고 말한다.
관련 수치도 이를 보여준다. 보안 기술 및 서비스 기업 코발트(Cobalt)가 발표한 ‘2025 CISO 관점 보고서 : AI와 디지털 공급망 리스크’에 따르면, 조사에 참여한 보안 리더의 60%는 “공격자가 너무 빠르게 진화하고 있어 완전한 보안 태세를 유지하기 어렵다”고 답했다.
또한 액센츄어와 리테일 & 호스피탈리티 ISAC이 발표한 ‘2025 CISO 벤치마크 보고서 : 디지털 혁신을 위한 기초 보안’에서는 45%의 CISO가 “비즈니스 요구 속도”를 디지털 코어 보안 내재화의 장애 요인으로 꼽았다.
익스트림 네트웍스(Extreme Networks)의 CISO이자 정보보안 부사장인 필 스웨인은 “문제는 변화의 속도에 적응하는 것”이라며 “CISO는 비즈니스를 지원하기 위해 존재하며, 보안은 비즈니스의 추진자 역할을 한다. 기업이 더 민첩해지고 혁신 속도를 높이는 만큼 보안 역시 더 빠르고 적응력 있게 진화해야 한다”고 말했다.
5. 벤더 생태계, 지속 가능성과 신뢰성에 의문 제기
2025년 보안 기술 업계는 인수합병(M&A) 열풍을 겪고 있다. 금융 및 리스크 자문사 크롤(Kroll)의 ‘2025 사이버보안 소프트웨어 M&A 산업 인사이트 보고서’에 따르면, 1분기 M&A 건수는 2024년 기록적 수준과 유사했으며, 전략적 투자자와 인수자는 클라우드 보안, 노출 관리, 아이덴티티, 시큐리티 운영(SecOps) 분야 역량을 통합해 변화하는 기업 수요를 충족하고 크로스 플랫폼 가치를 창출하려 하고 있다.
하지만 이는 CISO에게 항상 유리한 것만은 아니다. IANS 리서치 펠로이자 공공 부문 CISO인 볼프강 괴를리히는 “회복력을 논할 때는 기술 소프트웨어와 서비스 공급자의 회복성도 고려해야 한다”며 “벤더 시장의 생존 가능성, 인수 여부, 지속성을 더욱 주의 깊게 살펴야 한다”고 강조했다.
그는 실제 사례를 소개했다. “한 벤더가 인수된 뒤 비용이 치솟고, 로드맵이 중단됐다. 결국 뒤처지게 되면서 내 보안 프로그램에도 약점이 생겼고, 계획에 없던 방향 전환을 해야 했다”고 말했다.
괴를리히는 현재 투자 동향과 M&A 뉴스를 면밀히 모니터링하며, 보안 프로그램이 비슷한 상황에 흔들리지 않도록 대비하고 있다고 전했다.
dl-ciokorea@foundryco.com
