AI 도입 확산에 따른 사이버 위협 증가

글로벌 전 산업 분야에 걸쳐 AI가 도입되면서 사이버 위협 또한 증가하고 있는 추세이다. 세계경제포럼(WEF)이 발행한 Global Cybersecurity Outlook 2025의 연구 조사에 따르면, 설문조사에 응답한 전체 조직의 66%가 다가오는 해에 AI가 사이버보안에 가장 큰 영향을 미칠 것으로 예상하고 있으나, 실제로 배포 전에 AI 도구의 보안을 평가하기 위한 절차를 갖춘 조직은 37%에 불과했다(그림1,2 참조). 이는 AI 기반 사이버보안 위험에 대한 인식과, 필요한 보안 안전장치 없이 빠르게 AI를 도입하고 있는 현실 간의 모순을 보여주는 것이다.

전체 응답자의 약 72%는 조직의 사이버 위험이 증가했다고 보고했으며, 랜섬웨어가 여전히 가장 큰 우려 사항으로 꼽혔다. 또한 약 47%의 조직은 생성형 AI에 의해 고도화되고 확장 가능한 공격이 가능해진 점을 주요 위협으로 인식하고 있다.

출처: WEF(세계경제포럼), Global Cybersecurity Outlook 2025 / 57개국에서 총 409명 대상 설문조사 및 43건의 인터뷰 진행

딜로이트 CTI(사이버 위협 인텔리전스) 조사 결과: 위협 벡터

2024년 기준, 딜로이트 CTI(Cyber Threat Intelligence, 사이버 위협 인텔리전스)는 특정 위협 행위자 유형에 국한되지 않은 여러 산업 전반에 걸친 주요 위협 벡터 를 관찰하였다.

1) 랜섬웨어(Ransomware)
랜섬웨어는 전 세계 조직에 여전히 막강한 위협으로 남아 있다. RaaS(Ransomware-as-a-Service) 모델은 지속적으로 고도화되면서, 기술적 역량이 부족한 행위자들도 범죄를 수행할 수 있도록 하고 있다. 2024년 2월에 등장한 RansomHub는 다양한 산업 분야에서 500건이 넘는 피해 사례를 발생시키며 2024년 가장 활발한 랜섬웨어 그룹으로 부상하였다. 랜섬웨어 침해의 주요 수법은 VPN을 이용한 초기 접근이며, 취약점 악용과 자격 증명 기반 공격을 결합하여 다중 인증(MFA)을 우회하는 방식이 활용되고 있다. 또한 국가 지원 해킹 조직(APT)들은 사이버 범죄 조직과의 협력 또는 자체 랜섬웨어 변종 개발을 통해 랜섬웨어를 점점 더 적극적으로 배포하고 있다.

2) 제3자 침해(Third-party compromise)
2024년에는 제3자 침해(Third-party compromise)가 증가하였으며, 이는 부분적으로 제로데이(Zero-day) 취약점을 이용한 랜섬웨어 및 금전 갈취(Extortion) 공격의 증가와 관련이 있다. 제3자 침해 공격은 광범위하게 확산될 잠재력을 지니고 있으며, 이로 인해 탈취된 데이터는 암시장(Dark Web) 포럼에서 판매 목적으로 유출될 수 있다.

3) 멀웨어(Malware)
멀웨어는 ‘악성 소프트웨어(Malicious Software)’의 줄임말이다. 즉, 사용자의 의도와 무관하게 시스템을 손상시키거나, 정보를 탈취하거나, 비정상적인 동작을 유도하기 위해 만들어진 모든 종류의 악성 프로그램을 의미한다. 2024년에는 보안 연구자들이 기존에 알려진 멀웨어의 새로운 변종을 관찰하였으며, 동시에 일부 주요 멀웨어 패밀리는 법 집행 기관의 단속으로 활동이 차단되었다. 10월에는 국제 공조 작전을 통해 RedLine Stealer가 폐쇄되었다. RedLine 샘플 수가 감소함에 따라 활동 수준은 낮아졌으나, 멀웨어 활동은 여전히 지속되고 있다. 또한 LummaStealer는 2024년 한 해 동안 높은 성장세를 보이며 여전히 큰 영향을 미쳤다. 주목할 만한 동향으로는 위협 행위자들이 악성 코드를 정상 실행 파일(Binary)에 포장(Packing)하여 보호하기 위해 사용하는 ‘HeartCrypt’라는 Packer-as-a-Service(PaaS)의 등장이 있다.

4) 사이버 범죄 지하생태계(Underground trends)
사이버 범죄 지하 생태계는 분산화되고, 전문화되며, 조직적으로 구조화된 형태로 빠르게 변화하고 있다. 법 집행 기관의 압박으로 인해 기존의 대형 마켓플레이스가 분열되었으며, 범죄 활동은 폐쇄형 포럼과 암호화된 채널로 이동하였다.
인공지능(AI)은 지하 범죄 생태계의 핵심 동력으로 작용하며, 딥페이크(Deepfake) 캠페인, PaaS(서비스형 패커) 제공, 자동 번역 기능을 통한 글로벌 피해자 대상 공격을 가능하게 하고 있다. 랜섬웨어 조직들은 다층적 금전 갈취(Multi-faceted extortion) 전략을 한층 정교화하였으며, 초기 접근 브로커(IABs, Initial Access Brokers)의 성장으로 인해 대규모 데이터 유출과 공격이 확산되고 있다. 한편, 범죄자들은 추적 회피를 위해 프라이버시 중심 결제수단, 특히 스테이블코인(Stablecoin)을 적극 활용하고 있다. 여러 차례의 대규모 단속에도 불구하고, 지하 범죄 커뮤니티는 협업, 불법 호스팅(Bulletproof Hosting), 기업형 조직 구조를 통해 높은 회복력과 지속성을 보여주고 있다.

딜로이트 CTI(사이버 위협 인텔리전스) 조사 결과: 초기 침입 기법

딜로이트 CTI는 2024년에 가장 많이 활용된 초기 침입(Initial Access) 기법으로 취약점 악용(Vulnerability Exploitation), 사회공학(Social Engineering), 도용된 비밀번호와 VPN 취약점의 결합 공격, 그리고 피싱(Phishing)을 확인하였다. 이러한 기법들은 모든 산업 분야와 업종 전반에서 가장 큰 영향을 미친 주요 공격 수단으로 나타났다.

1) 취약점 악용(Vulnerability Exploitation)
2024년 한 해 동안 위협 행위자들은 제로데이의 취약점을 포함한 다양한 보안 취약점을 지속적으로 악용하여 피해자의 네트워크와 환경에 초기 접근을 시도하였다. 대규모 랜섬웨어 그룹들도 이러한 공격의 주체 중 하나로, Clop 그룹은 12월에 두 개의 제로데이 취약점을 악용하였다. 특히 주목할 점은, 위협 행위자들이 여전히 오래된 취약점들을 악용하고 있다는 사실이며, 2024년에 발생한 일부 대규모 피해 사례는 5년 이상 된 취약점을 이용한 공격이었다.

2) 사회공학(Social Engineering)
사회공학(Social Engineering)은 그 효과성으로 인해 사이버 범죄자들의 초기 접근 기법으로 계속해서 주목받고 있다. 2024년 딜로이트는 여러 독립적인 조사에서 위협 행위자들이 음성 피싱(Vishing)과 기업 이메일 침해(BEC) 공격을 결합하는 경향을 관찰하였으며, 주로 여러 산업의 서비스 제공자를 대상으로 수행되었다. 이 기법은 서비스 제공자의 고객 지원에 전화하여, 사전에 등록된 이메일 도메인을 사용해 고객을 가장하고 해당 고객의 비밀번호 재설정을 요청함으로써 사용자 자격 증명을 탈취하는 방식이다. 한 IR 사례에서는, 해당 도메인이 전화가 걸리기 3일 전에 등록된 것으로 확인되어, 목표를 정한 공격(Operation targeted)임을 시사하였다. 기술적 방어 수단이 점점 더 효과적이게 됨에 따라, 인간의 행동과 실수를 악용한 공격이 다시 증가하고 있다.

3) 도용된 비밀번호와 VPN 취약점의 결합 공격
VPN 악용은 여전히 주요 초기 접근 벡터이다. 2024년 딜로이트 CTI는 무차별 대입 공격에서 고의적으로 유출된 사용자명·비밀번호 조합을 이용해 기업 VPN에 인증하는 방식으로의 전환을 관측했다. 위협 행위자들은 다크웹, 초기 접근 브로커(IABs) 또는 사회공학 기법을 통해 자격증명을 획득하는 것으로 파악되었다. 또한 딜로이트는 클라우드 서비스 제공업체를 프록시로 활용해 방화벽을 횡단하는 도구군이 확대되고 있음을 여러 차례 지적했으며, 유사한 기능을 제공하는 기존의 오픈소스 도구에서 구독 기반 클라우드 서비스로 전환하는 사례가 늘고 있음을 보고했다.

4) 피싱(Phishing)
딜로이트의 관리형 확장 탐지 및 대응(MXDR) 팀은 CTI 팀과 협력하여 2024년 2월과 5월에 피싱 탐지 건수가 최고조에 달했음을 관측했으며, 이후 3분기에는 탐지 건수가 감소했다가 4분기에 다시 증가하는 양상을 보였다. 대형 언어 모델(LLM)의 피싱 콘텐츠 생성 능력은 기존 위협 탐지에 상당한 도전 과제를 만들어 낸다. 위협 행위자들은 LLM을 활용해 2시간 이내에 1,000개의 피싱 이메일을 단 6달러에 생성할 수 있으며, LLM은 2024년 피싱 공격이 전년 대비 1,265% 증가하는 데 기여했을 가능성이 높다. AI는 위협 행위자들이 매우 개인화되고 시기적절한 피싱 캠페인을 설계할 수 있도록 하여, 목표 대상에게 더욱 관련성 있고 설득력 있는 공격을 수행할 수 있게 했다.

사이버 위협 주체/분야별 통계

딜로이트 CTI는 내부 연구를 수행해, 사이버 위협 활동과 관련된 포럼 및 뉴스 매체에서 사이버 이벤트를 포함한 오픈소스 인텔리전스를 수집한다. 아래 데이터는 2024년 1월부터 12월까지 관측된 활동을 요약한 것이다(그림3,4 참조).

출처: Deloitte(2025), Global Cyber Threat Intelligence Trend report

** 각 위협 주체 유형

- Cybercriminals (사이버 범죄자)
금전적 이득을 목적으로 사이버 공격을 수행하는 개인 또는 조직을 의미한다. 예를 들어, 랜섬웨어 공격, 금융 사기, 데이터 절도 등이 포함된다.

- Nation state (국가 주도 공격자)
특정 국가를 위해 활동하는 해킹 그룹이나 조직을 말한다. 정치적·군사적 목적 또는 국가 안보·정보 수집을 위해 사이버 공격을 수행한다. 흔히 APT(Advanced Persistent Threat) 그룹이 여기에 속한다.

- Hacktivists (해커 + 활동가)
정치적, 사회적 목적을 위해 공격을 수행하는 개인 또는 그룹을 의미한다. 금전적 이득보다는 메시지 전달, 시위, 사회적 영향력 행사 목적이 강하다.

- Unattributed (출처 미상/미확인 공격자)
공격 주체가 확인되지 않았거나 특정 범주에 속하지 않는 경우를 말한다. 공격의 근원이나 배후가 불명확할 때 사용된다.

출처: Deloitte(2025), Global Cyber Threat Intelligence Trend report

글로벌 사이버 위협 주요 조직 프로필

1) APT29

APT29, 일명 미드나이트 블리자드(Midnight Blizzard)는 정보기관과 연계된 것으로 추정되는 국가 주도 사이버 첩보 그룹으로, 최소 2008년부터 활동해왔다. 보안 연구자들은 이 그룹이 다양한 도구군을 활용하는 것을 관측했으며, 대부분은 맞춤 제작된 도구로 고도로 표적화된 캠페인에서 사용되었다. 이 그룹은 아시아·태평양 지역, 유럽, 북미의 정부 관련 조직을 주로 목표로 한다.

이 그룹은 Mimikatz와 PsExec를 포함한 오픈소스 도구를 활용한다. 또한 도구군에 암호화 기술과 스테가노그래피와 같은 탐지 회피 기법을 적용하는데, 이는 분석 및 조사 회피를 위해 주로 사용되는 고도의 정교함을 나타낸다. 2024년, 이 그룹은 여러 국가의 교육, 방위, 정부, 민간 부문 조직을 대상으로 스피어 피싱 캠페인을 수행했다. 해당 피싱 이메일에는 여러 민감한 설정을 포함한 악성 네트워크 통신 프로토콜 구성 파일이 첨부되어 있어, 상당한 정보 노출을 초래할 수 있었다.

2) Clop

Clop은 RaaS(Ransomware-as-a-Service) 방식으로 운영되는 랜섬웨어 그룹으로, 최소 2019년 2월부터 활동해왔다. 이 그룹은 금전적 이득을 목적으로 하며, 보안 연구자들은 위협 행위자 TA505가 해당 랜섬웨어를 운영한 것으로 추정한다. Clop은 주로 피싱 이메일을 통해 초기 접근을 확보하며, 다수의 제로데이 취약점을 악용하는 사례도 관측되었다. 이 그룹은 금융, 산업, 기술, 의료 부문을 주된 공격 대상으로 삼는다.

Clop은 자체 데이터 유출 사이트(DLS)인 "CL0P^_-LEAKS"를 관리하며, 해당 사이트는 Tor를 통해 접근 가능하고 수천만 달러에 달하는 높은 몸값 요구로 알려져 있다. 2024년 12월, 이 그룹은 두 건의 제로데이 취약점을 악용하는 것이 관측되었다.

3) Cybervolk
CyberVolk는 2024년 3월 설립되어 2024년 7월 1일부터 공식 활동을 개시한 아시아 기반의 해커티비스트 그룹으로, NoName057(16), Killnet 등과 같은 정치적 동기를 지닌 APT 조직과 연계되어 있다. CyberVolk는 AzzaSec, Diamond, LockBit, Chaos 등 다양한 랜섬웨어 빌더를 활용하여 적응성을 보이며 추적에 어려움을 초래한다.

이 그룹은 국가 이익에 반대하는 정치적 실체를 표적으로 삼으며, 웹사이트 변조 및 데이터 유출과 같은 활동을 통해 자신의 의제를 추진한다. 대체로 저숙련 행위자들로 구성된 느슨한 집단으로서 CyberVolk는 정치적 표적에 사용하기 위해 광범위한 파괴적 악성코드를 흡수·적용한다.

4) Lockbit

LockBit은 2019년 처음 보안 연구자들에 의해 관측된 랜섬웨어 위협 그룹이다. 이 그룹은 RaaS(Ransomware-as-a-Service) 모델로 운영되며, 각 공격에서 획득한 몸값의 일부(최대 80%)를 대가로 제휴사를 모집한다. LockBit은 아시아·태평양, 유럽, 북미 지역을 중심으로 전 세계 상업, 통신, 금융 서비스, 소매업 등 다양한 부문의 조직을 주요 공격 대상으로 삼는다.

이 그룹은 TTP(전술·기법·절차)와 도구군을 지속적으로 업데이트하여 랜섬웨어 생태계에서 오랜 활동을 유지하고 있다. 또한, 많은 제휴사가 다른 RaaS 운영에도 동시에 참여하기 때문에 LockBit의 TTP는 다른 랜섬웨어 그룹과 겹치는 사례가 관측된다. 그룹은 초기 접근을 위해 사회공학 기법, 무차별 대입 공격 등 다양한 수단을 활용한다. 또한 네트워크에서 데이터를 탈취한 후 장치를 암호화하는 이중 갈취(double-extortion) 전략을 사용한다. 2024년 2월 법 집행기관의 개입에도 불구하고, 그룹은 2024년 내내 피해자를 대상으로 공격을 계속했으며, 지속적인 탐지로 인해 그룹의 위협 점수는 여전히 높게 유지되고 있다.

5) NoName057(16)

NoName057(16)은 국가의 이익에 동조하여 국가의 정치적 이익에 반대하는 것으로 간주되는 대상에 대해 사이버 공격을 수행하는 해커티비스트 집단이다. 이 그룹은 HTTPS 애플리케이션 계층 DDoS 공격을 주로 활용하며 종종 동일한 인프라에서 공격을 수행하고 유사한 국가와 산업을 표적으로 삼는다.2024년 9월, NoName057(16)은 다른 정치적 동기를 가진 위협 행위자들과 함께 정치적 이유로 동아시아 지역을 대상으로 DDoS 공격을 개시했다.

NoName057(16)은 "DDOSIA"라는 맞춤형 크라우드소스 봇넷을 활용하는데, 이는 정치적 동기에 공감한 해커티비스트들이 자신의 컴퓨터에 봇을 다운로드·설치하도록 유도하고, 그룹은 이를 DDoS 공격에 활용한다. DDOSIA는 또한 성공적인 공격에 기여한 상위 참여자들에게 금전적 인센티브를 제공하여 이용 가능한 봇넷 규모를 극대화한다.

6) RansomHub

RansomHub는 금전적 이득을 목적으로 2024년 2월 등장한 랜섬웨어 위협 그룹으로, RaaS(Ransomware-as-a-Service) 모델로 운영된다. 이 그룹은 이전에 프로그램 제휴사들이 초기에는 암호화폐 지갑을 통해 몸값을 수령하고, 이후 합의된 비율(추정 10%)을 랜섬웨어 운영자에게 송금할 수 있다고 밝힌 바 있다. RansomHub은 전 세계 조직을 공격 대상으로 삼았으며, 대부분의 피해자는 미주 지역에 등록되어 있다. 보안 연구자들은 이 그룹이 주로 건설, 금융 서비스, 소매, 기술 부문 조직을 목표로 삼는 것을 관측했다.

RansomHub은 자체 데이터 유출 사이트(DLS)를 운영하며, 이를 통해 탈취한 피해자 목록과 일반적으로 유출된 데이터 종류를 공개한다. 또한, 몸값이 지불되지 않을 경우 정보를 공개할 시점을 표시하는 카운트다운을 제공한다. 이 그룹은 동유럽의 여러 랜섬웨어 그룹과 유사한 특징을 가진다. 보안 연구자들은 RansomHub을 2024년 다양한 부문에서 500건 이상의 피해를 발생시킨 가장 두드러진 랜섬웨어 그룹 중 하나로 평가했다.

7) Salt Typhoon

Salt Typhoon은 최소 2019년부터 첩보 활동을 수행해온 국가 주도 위협 그룹이다. 이 그룹은 주로 정부 기관과 통신 산업의 기업을 표적으로 삼지만, 엔지니어링 기업, 호텔·숙박업체, 법률 사무소 등도 영향을 받았다. Salt Typhoon은 일반적으로 "SparrowDoor"라는 맞춤형 백도어를 배포했으나, 2024년에는 새로운 백도어인 "GhostSpider"가 관측되었다.

2024년, 미국 법집행기관은 이 그룹이 여러 통신 회사의 네트워크를 침해하여 주요 정치인의 통화 데이터를 탈취한 사실을 확인했다. 또한, GhostSpider 백도어를 배포하여 동남아시아 통신 회사를 대상으로 수행된 또 다른 사이버 첩보 캠페인 역시 Salt Typhoon에 기인한 것으로 평가되었다. 2024년 12월 기준, 미국 법집행기관의 조사에 따르면 침해 범위가 아직 완전히 확인되지 않았으며, 복구 작업에는 수년이 소요될 것으로 예상된다.

8) Volt Typhoon
Volt Typhoon은 2021년 중반 처음 관측된 국가 주도 위협 행위자이다. 이 그룹은 사이버 첩보 캠페인을 수행하며, 주로 아시아·태평양 지역과 미주 지역을 대상으로 하고, 통신, 건설, 교육, 정부, 제조, 해운, 기술, 운송, 공공시설 등 다양한 산업 조직에 영향을 미친다. Volt Typhoon의 표적 선정과 행동 양식은 전통적인 사이버 첩보나 정보 수집 활동과 일치하지 않는다. 특히, 미국 기관들은 사이버보안 방어자들에게 Volt Typhoon이 미국 핵심 인프라 조직의 네트워크에 사전 배치되어 핵심 시설의 방해 또는 파괴를 수행할 수 있음을 경고했다.

Volt Typhoon은 전력망, 상수도 시스템과 같은 인프라 특정 표적에 대한 공격과, 타깃 인프라를 관리·제어하는 은밀한 C2(Command-and-Control) 운영에서 두드러진다. 이 과정에서 living-off-the-land 기법 을 활용한다. 그룹은 초기 접근과 지속성을 위해 알려진 취약점과 도용된 유효 자격증명을 빈번히 활용하며, Mimikatz, Ntdsutil과 같은 오픈소스 및 관리 도구를 사용해 자격증명을 추출한다. Volt Typhoon은 손상된 VPN 서버와 시스템 온 칩(System-on-a-Chip) 장치를 통해 지속성을 유지한다.

한국(국내) 사이버 위협 동향

과학기술정보통신부(한국인터넷진흥원)는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)」 제48조의3(침해사고 신고 등)에 따라 정보통신서비스제공자로부터 침해사고 신고를 받고 있다. 연도별 침해사고 신고 통계를 살펴보면 2023년 1,277건에서 2024년 1,887건으로 전년 대비 약 48% 증가하였으며, 2023년부터 2025년 상반기까지 반기별로 살펴보면 2023년 상반기 664건/하반기 613건, 2024년 상반기 899건/하반기 988건, 2025년 상반기 1,034건의 침해사고 신고가 있었다(그림5 참조).

2025년 상반기 침해사고 신고 건수는 1,034건으로 전년 상반기 대비 15% 증가했는데, 이는 계정 관리에 취약한 IoT 등을 활용한 DDoS 공격(238건), 웹셸(Web Shell) 및 악성 URL 삽입 등 서버해킹(531건) 증가와 함께 침해 사고정황 인지 후 24시간 이내 신고를 규정한 정보통신망법 개정·시행(‘24.8.14) 및 A사 개인정보 침해사고 여파에 따른 기업들의 침해사고 신고 인식 개선도 올해 신고 건수 증가의 원인으로 작용했을 것으로 판단된다.

* ’25년도 월별 침해사고 신고(건수) : 88(1월), 129(2월), 138(3월), 171(4월), 233(5월), 275(6월)

출처: 한국인터넷진흥원(2025), 사이버 위협 동향보고서

올해 발생한 대표적인 사이버 위협(침해) 사례 로, A사의 정보 유출 사례가 있다. 올해 상반기 역대 국내 침해사고 중 가장 큰 규모의 정보 유출 사고가 발생하였다. 과기정통부(KISA)는 4월 20일 A사로부터 침해사고 신고를 접수 받은 이후 이번 사고가 이용 고객의 대규모 유심 정보 유출 사고와 관련된 중대한 침해사고로 판단하여 민관합동조사단을 구성·운영하였다.

민관합동조사단은 포렌식 정밀분석을 통해 AI사의 서버 계정 정보 관리 부실과 과거 침해사고 대응 및 주요 정보 암호화 조치 미흡사항을 확인하였다. 또한 조사단은 A사담당자들과 심층 인터뷰 및 제출 자료분석을 통해 정보보호 최고책임자(CISO)가 특정 영역에 대한 정보보호 관리 역할을 담당하고 있는 등 전사적인 정보보호 거버넌스 체계가 제대로 운영되고 있지 않은 것을 확인하였다. 또한 타사 대비 정보보호 투자 미흡 등 기본적인 정보보호 활동의 문제점을 확인하여 재발 방지 조치를 진행했으며, 침해사고 신고 지연 및 과거 사고의 미신고, 자료 보전 명령 위반 등 정보통신망법상 준수 의무 위반 사항을 확인하여 과태료 등 행정 조치를 진행 중이다.

과기정통부와 한국인터넷진흥원(KISA)는 이번 A사 침해사고가 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고로, 향후 사이버 위협이 AI와 결합하여 더욱 지능화, 정교화될 것으로 예상되는 만큼 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편하여 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원할 예정이다. 기업들은 이번 사고를 교훈 삼아 제로트러스트 기반의 인프라 구축과 주요 시스템에 대한 보안 모니터링 등으로 대규모 침해사고를 사전에 방지해야 할 것이다.

기업들의 사이버 위협 대응 방안

1. 사이버보안 전략을 비즈니스 전략과 통합

사이버보안은 더 이상 IT 부서의 전담 과제가 아니라, 조직 전체의 비즈니스 전략과 긴밀히 연계되어야 하는 핵심 경영 이슈이다. 최고정보보호책임자(CISO)는 C-레벨 경영진 및 이사회와 전략적 대화를 수행하며, 사이버 리스크를 단순한 기술적 위험이 아닌 비즈니스 리스크로 인식하도록 만들어야 한다. 특히 디지털 전환, 클라우드 도입, 생성형 AI 활용 등 비즈니스 혁신이 가속화되는 과정에서 보안은 사후 대응이 아니라 사전 설계의 일부로 내재화되어야 한다. 즉, 기업의 성장을 뒷받침하는 필수 인프라로서 보안을 위치시키는 것이 중요하다.

2. 자산 가시성 확보 및 운영기술(OT) 포함 위협 노출 경로 관리

조직이 효과적인 보안 전략을 수립하기 위해서는 먼저 ‘무엇을 보호해야 하는가’를 명확히 인식하는 것이 출발점이다. 노후화된 시스템, 운영기술 장비, 클라우드 환경 등 다양한 자산이 위협에 노출되어 있는 만큼, 자산의 현황을 파악하고 그 중요도와 우선순위를 설정하는 과정이 필수적이다. 이를 위해 자산 목록을 체계적으로 작성하고, 데이터 흐름 및 외부·내부 인터페이스를 식별하여 공격 표면(attack surface)을 관리해야 한다. 또한 이미 알려진 취약점이 여전히 다수 존재하므로 패치 관리와 구성 관리, 이상 행위 탐지 등 기본적인 통제 절차를 강화해야 한다. 나아가 IT뿐만 아니라 OT, 클라우드, IoT 등 모든 기술 스택을 통합적으로 관리함으로써 조직의 전반적인 위협 대응 역량을 높이는 것이 중요하다.

3. 사람·프로세스·기술의 균형을 통한 대응 역량 강화

오늘날 사이버 위협 행위자들은 피싱, 사회공학적 기법, 생성형 AI 등 점점 더 정교하고 교묘한 공격 수단을 활용하고 있다. 이러한 환경에서는 기술적 대응만으로는 충분하지 않으며, 사람과 프로세스의 역할이 동시에 강화되어야 한다. 조직 내부 구성원의 인식 제고 프로그램을 정기적으로 운영하고, 실제 사고를 가정한 훈련과 시나리오 기반의 모의 대응 연습을 지속적으로 수행해야 한다. 또한 보안운영센터(SOC)를 중심으로 위협 인텔리전스, 사고 대응(IR), 복구(R) 체계를 정립하고, EDR·XDR·MXDR 등 차세대 탐지 및 대응 기술을 도입함으로써 보안운영의 실시간성을 확보해야 한다. 나아가 비즈니스 연속성을 유지하기 위한 대응 및 복구 계획을 수립하고 이를 주기적으로 검증하는 것이 고성숙 보안 조직의 핵심 특징이라 할 수 있다.

4. 미래 위협 대비 및 지속적 개선을 통한 복원력(Cyber Resilience) 확보

AI, 생성형 AI, 양자컴퓨팅 등 신기술의 발전은 사이버 위협과 방어 양 측면에서 빠르게 판도를 바꾸고 있다. 이에 따라 조직은 예측 가능한 위협은 물론이고, 아직 현실화되지 않은 미래의 공격 가능성까지도 선제적으로 대비해야 한다. 완벽한 방어는 불가능하다는 전제하에, 침해가 발생하더라도 신속하게 탐지·제거·복구할 수 있는 복원력 중심의 보안 접근이 필요하다. 또한 제3자 공급망, 외부 제휴사, 클라우드 서비스 등 외부 요인으로부터의 위험을 지속적으로 관리하고, 사이버 보험 등 재무적 완충 장치를 통해 피해를 최소화해야 한다. 무엇보다 중요한 것은 보안 상태를 주기적으로 점검하고, 새로운 위협이 등장할 때마다 정책·프로세스·기술을 재검토하며 개선하는 지속적 학습과 개선의 문화가 조직 내에 자리잡는 것이다. 이러한 문화가 구축될 때 비로소 기업은 진정한 의미의 사이버 복원력을 확보할 수 있다.