½ÇÇà °¡´ÉÇÑ °´°üÀûÀÎ ÀλçÀÌÆ®¸¦ Á¦°øÇÏ´Â °¡Æ®³Ê(Gartner)°¡ 2024³â ÁÖ¿ä »çÀ̹ö º¸¾È Æ®·»µå 6°¡Áö¸¦ ¹ßÇ¥Çß´Ù. °¡Æ®³Ê´Â ¿ÃÇØ »çÀ̹ö º¸¾È Æ®·»µå¸¦ ÁÖµµÇÒ ¿ä¼Ò·Î »ý¼ºÇü AI, ¾ÈÀüÇÏÁö ¾ÊÀº Á÷¿ø Çൿ, ¼µåÆÄƼ ¸®½ºÅ©, Áö¼ÓÀûÀÎ À§Çù ³ëÃâ, ÀÌ»çȸ¿ÍÀÇ ÀÇ»ç¼ÒÅë °ÝÂ÷, ID ¿ì¼± º¸¾È Á¢±Ù ¹æ½ÄÀ» ²Å¾Ò´Ù.
¸®Ã³µå ¾Öµð½ºÄà(Richard Addiscott) °¡Æ®³Ê ½Ã´Ï¾î µð·ºÅÍ ¾Ö³Î¸®½ºÆ®´Â “»ý¼ºÇü AI´Â º¸¾È ¸®´õµéÀÌ °ü¸®ÇØ¾ß ÇÒ ÁÖ¿ä °úÁ¦·Î °Á¶µÇ°í ÀÖÁö¸¸, µ¿½Ã¿¡ ¿î¿µ Ãø¸é¿¡¼´Â º¸¾ÈÀ» °ÈÇÒ ¼ö ÀÖ´Â ±âȸ·Î ÀÛ¿ëÇϱ⵵ ÇÑ´Ù”°í ¸»Çϸç, “»ý¼ºÇü AIÀÇ ºÒ°¡ÇÇÇÑ ¿µÇâ¿¡µµ ºÒ±¸ÇÏ°í ¸®´õµéÀº ¿ÃÇصµ ¹«½ÃÇϰųª ÅëÁ¦ÇÒ ¼ö ¾ø´Â ´Ù¸¥ ¿ÜºÎ ¿äÀε鿡 °è¼ÓÇؼ ´ëÀÀÇØ¾ß ÇÒ °Í”À̶ó°í ÀüÇß´Ù.
2024³â¿¡´Â º¸¾È ¸®´õµéÀÌ ÀÌ·¯ÇÑ ¿ä¼ÒµéÀÇ º¹ÇÕÀûÀÎ ¿µÇâ¿¡ ´ëÀÀÇϱâ À§ÇØ, ±â¾÷ÀÇ È¸º¹Åº·Â¼º°ú »çÀ̹ö º¸¾È ±â´ÉÀÇ ¼º°ú¸¦ °³¼±ÇÏ°íÀÚ ÇÏ´Â ¸ñÇ¥¸¦ °¡Áö°í ±×µéÀÇ º¸¾È ÇÁ·Î±×·¥ ³»¿¡¼ ´Ù¾çÇÑ Á¶Ä¡, ±â¼ú ¿ª·® ¹× ±¸Á¶Àû °³ÇõÀ» ½ÇÇàÇÒ Àü¸ÁÀÌ´Ù.
°¡Æ®³Ê°¡ º¸¾È ¹× À§Çè °ü¸® ¸®´õ¿¡°Ô ±¤¹üÀ§ÇÑ ¿µÇâÀ» ¹ÌÄ¥ °ÍÀ¸·Î Àü¸ÁÇÑ 6°¡Áö Æ®·»µå´Â ´ÙÀ½°ú °°´Ù.
Æ®·»µå1: »ý¼ºÇü AI – ´Ü±âÀûÀ¸·Î´Â ȸÀÇÀû, Àå±âÀûÀ¸·Î´Â Èñ¸ÁÀû
º¸¾È ¸®´õ´Â »ý¼ºÇüAIÀÇ ºü¸¥ ÁøÈ¿¡ ´ëºñÇØ¾ß ÇÑ´Ù. ChatGPT³ª Á¦¹Ì³ªÀÌ(Gemini)¿Í °°Àº LLM(Large Language Model) ¾ÖÇø®ÄÉÀ̼ÇÀº »ý¼ºÇü AI º¯ÇõÀÇ ½ÃÀÛ¿¡ ºÒ°úÇϱ⠶§¹®ÀÌ´Ù. ¶ÇÇÑ, º¸¾È ¸®´õµéÀº »ý»ê¼º Çâ»ó, ±â¼ú °ÝÂ÷ °¨¼Ò ¹× ±âŸ »çÀ̹ö º¸¾È°ú °ü·ÃµÈ »õ·Î¿î ÀÌÁ¡ µî »ý¼ºÇü AIÀÇ ´Ù¾çÇÑ ÇýÅÿ¡ Å« ±â´ë¸¦ °É°í ÀÖ´Ù. ÀÌ¿¡ µû¶ó, º¸¾È ¸®´õµéÀº »ý¼ºÇü AI È°¿ë ½Ã ºñÁî´Ï½º ÀÌÇØ°ü°èÀÚ¿Í Àû±ØÀûÀ¸·Î Çù¾÷ÇÏ¿© ÀÌ Çõ½ÅÀûÀÎ ±â¼úÀ» À±¸®ÀûÀÌ°í ¾ÈÀüÇÏ°Ô »ç¿ëÇÒ ¼ö ÀÖ´Â ±â¹ÝÀ» ¸¶·ÃÇØ¾ß ÇÒ °ÍÀÌ´Ù.
¾Öµð½ºÄà ¾Ö³Î¸®½ºÆ®´Â "ÀÌ°ÍÀº »ý¼ºÇü AI ÁøÈÀÇ ½ÃÀÛ¿¡ ºÒ°úÇÏ´Ù´Â Á¡À» ÀνÄÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù. ÀÌ¿Í ´õºÒ¾î, ¿ì¸®´Â ±×°£ ´Ù¾çÇÑ ½Ã¿¬À» ÅëÇØ º¸¾È ¿î¿µ ¹× ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ºÐ¾ß¿¡¼ ½ÇÁúÀûÀÎ °¡´É¼ºÀ» È®ÀÎÇÑ ¹Ù ÀÖ´Ù”°í °Á¶Çß´Ù. ÀÌ¾î¼ ±×´Â "»ý¼ºÇü AI¿¡ ´ëÇÑ Àå±âÀûÀÎ Àü¸ÁÀº ¹àÁö¸¸, ´Ü±âÀûÀ¸·Î´Â µÎ ÀÚ¸´¼ö ÀÌ»óÀÇ »ý»ê¼º Áõ°¡º¸´Ù´Â Áï°¢ÀûÀÎ ÇǷΰ¨À» °æÇèÇÒ °¡´É¼ºÀÌ ´õ ³ô´Ù. ÇÏÁö¸¸ ÀÌ´Â Á¡Â÷ °³¼±µÉ °ÍÀ̹ǷÎ, ƯÈ÷ º¸¾ÈÆÀÀÌ ¾Æ´Ñ ¿ÜºÎ¿¡ ´ëÇÑ ½ÇÇè Àå·Á¿Í ±â´ëÄ¡ °ü¸®°¡ ÇÊ¿äÇÏ´Ù.”°í µ¡ºÙ¿´´Ù.
Æ®·»µå2: »çÀ̹ö º¸¾È ¼º°ú Á᫐ ÁöÇ¥¸¦ ÅëÇÑ ÀÌ»çȸ¿ÍÀÇ Ä¿¹Â´ÏÄÉÀÌ¼Ç °ÝÂ÷ ÇؼÒ
»çÀ̹ö º¸¾È »ç°í°¡ ±â¾÷¿¡ ¹ÌÄ¡´Â ºÎÁ¤ÀûÀÎ ¿µÇâ°ú ºóµµ°¡ °è¼Ó Áõ°¡ÇÔ¿¡ µû¶ó, »çÀ̹ö º¸¾È Àü·«¿¡ ´ëÇÑ ÀÌ»çȸ¿Í °æ¿µÁøÀÇ ½Å·Ú°¡ ³·¾ÆÁö°í ÀÖ´Ù. ÀÌ¿¡ ÀÌÇØ°ü°èÀÚµéÀÌ »çÀ̹ö º¸¾È ÅõÀÚ¿Í ±×¿¡ µû¸¥ ¹æ¾î ¼öÁØÀ» Á÷°üÀûÀ¸·Î ÀÌÇØÇÒ ¼ö ÀÖµµ·Ï °á°ú Á᫐ ÁöÇ¥(Outcome-Driven Metrics, ÀÌÇÏ ODM)°¡ Á¡Á¡ ´õ ¸¹ÀÌ Ã¤Åõǰí ÀÖ´Ù.
ODMÀº ¹æ¾î °¡´ÉÇÑ »çÀ̹ö º¸¾È ÅõÀÚ Àü·«À» ¼ö¸³ÇÏ´Â µ¥ ÇÙ½ÉÀûÀÎ ¿ªÇÒÀ» ÇÑ´Ù. °·ÂÇÑ ¼Ó¼ºÀ» ±â¹ÝÀ¸·Î ÇÕÀÇµÈ º¸È£ ¼öÁØÀ» ¹Ý¿µÇÏ°í ºñIT ÀÓ¿øµµ ÀÌÇØÇÒ ¼ö ÀÖ´Â ½¬¿î ¾ð¾î¸¦ Á¦°øÇϱ⠶§¹®ÀÌ´Ù. ÀÌ´Â ¸®½ºÅ© ¼ºÇâ¿¡ ´ëÇÑ ½Å·ÚÇÒ ¼ö ÀÖ°í º¯È£ °¡´ÉÇÑ Ç¥ÇöÀ» Á¦°øÇÔÀ¸·Î½á ¹æ¾î ¼öÁØÀ» Á¶Á¤ÇÏ´Â Á÷Á¢Àû ÅõÀÚ¸¦ Áö¿øÇÑ´Ù.
Æ®·»µå3: ÀÎÀû ¸®½ºÅ©¸¦ ÁÙÀ̱â À§ÇÑ º¸¾È Çൿ ¹× ¹®È ÇÁ·Î±×·¥ÀÇ Á߿伺 Áõ°¡
º¸¾È ¸®´õµéÀº Á÷¿øµéÀÇ ÀνÄÀ» ³ôÀÌ´Â °Íº¸´Ù ±×µéÀÇ Çൿ º¯È¸¦ ÃËÁøÇÏ´Â °ÍÀÌ »çÀ̹ö º¸¾È À§ÇèÀ» ÁÙÀÌ´Â µ¥ µµ¿òÀÌ µÈ´Ù´Â °ÍÀ» ÀÎÁöÇÏ°í ÀÖ´Ù. 2027³â±îÁö ´ë±â¾÷ ÃÖ°íÁ¤º¸º¸È£Ã¥ÀÓÀÚ(CISO)ÀÇ 50%°¡ »çÀ̹ö º¸¾ÈÀ¸·Î ÀÎÇÑ ¸¶ÂûÀ» ÃÖ¼ÒÈÇÏ°í Á¦¾î Àû¿ëÀ» ±Ø´ëÈÇϱâ À§ÇØ »ç¶÷ À§ÁÖÀÇ º¸¾È ¼³°è ¹æ½ÄÀ» äÅÃÇÒ °ÍÀ¸·Î ¿¹»óµÈ´Ù. º¸¾È Çൿ ¹× ¹®È ÇÁ·Î±×·¥(Security Behavior and Culture Programs, ÀÌÇÏ SBCP)Àº Á÷¿ø Çൿ°ú °ü·ÃµÈ »çÀ̹ö º¸¾È »ç°í¸¦ ÃÖ¼ÒÈÇϱâ À§ÇÑ Àü»çÀûÀÎ Á¢±Ù ¹æ½ÄÀ» ¿ä¾àÇÑ °ÍÀÌ´Ù.
¾Öµð½ºÄà ¾Ö³Î¸®½ºÆ®´Â "SBCP¸¦ »ç¿ëÇÏ´Â ±â¾÷Àº Á÷¿øµéÀÌ º¸¾È Á¦¾î¸¦ ´õ Àß ¹Þ¾ÆµéÀÌ°í, ¾ÈÀüÇÏÁö ¾ÊÀº ÇൿÀÌ ÁÙ¾îµé¾úÀ¸¸ç, ¼Óµµ¿Í ¹Îø¼ºÀÌ Çâ»óµÇ¾ú´Ù. ¶ÇÇÑ, Á÷¿øµéÀÌ »çÀ̹ö º¸¾È ¿µ¿ª¿¡¼ µ¶¸³ÀûÀÎ °áÁ¤À» ³»¸± ¼ö ÀÖ´Â ¿ª·®À» °®Ãß°Ô µÇ¸é¼ »çÀ̹ö º¸¾È ¸®¼Ò½º¸¦ º¸´Ù È¿°úÀûÀ¸·Î È°¿ëÇÒ ¼ö ÀÖ°Ô µÆ´Ù”°í ÀüÇß´Ù.
Æ®·»µå 4: ȸº¹Åº·Â¼º Áß½ÉÀÇ ¸®¼Ò½º È¿À²ÀûÀÎ ¼µåÆÄƼ »çÀ̹ö º¸¾È À§Çè °ü¸®
¼µåÆÄƼÀÇ »çÀ̹ö º¸¾È »ç°í°¡ ºÒ°¡ÇÇÇØÁü¿¡ µû¶ó, º¸¾È ¸®´õ´Â º¹¿ø·Â Áß½ÉÀÇ ÅõÀÚ¿¡ ´õ ÁýÁßÇÏ°í ¼±Á¦Àû ½Ç»ç È°µ¿¿¡¼ ¹þ¾î³ªµµ·Ï ¾Ð·ÂÀ» ¹Þ°í ÀÖ´Ù. ÀÌ·¯ÇÑ »óȲ¿¡¼´Â ¼µåÆÄƼ ¼ºñ½ºÀÇ ¸®½ºÅ© °ü¸®¸¦ °ÈÇÏ°í Áß¿äÇÑ ¿ÜºÎ ÆÄÆ®³Ê¿Í »óÈ£ ÀÌÀÍÀÌ µÇ´Â °ü°è¸¦ ±¸ÃàÇÏ¿© °¡Àå Áß¿äÇÑ ÀÚ»êÀ» Áö¼ÓÀûÀ¸·Î º¸È£ÇØ¾ß ÇÑ´Ù.
¾Öµð½ºÄà ¾Ö³Î¸®½ºÆ®´Â “»çÀ̹ö º¸¾È À§ÇèÀÌ °¡Àå ³ôÀº ¼µåÆÄƼ¿ÍÀÇ °è¾à¿¡ ´ëÇÑ ºñ»ó °èȹÀ» °ÈÇÏ´Â °ÍºÎÅÍ ½ÃÀÛÇØ¾ß ÇÑ´Ù”°í ¸»Çϸç, “¼µåÆÄƼ º°·Î ÀνôøÆ® Ç÷¹À̺Ï(Incident Playbook)À» ¸¸µé°í, Å×À̺íž ÈÆ·Ã(Tabletop Exercise)À» ½Ç½ÃÇϸç, Àû½Ã¿¡ ¾×¼¼½º ±ÇÇÑÀ» Ãë¼ÒÇÏ°í µ¥ÀÌÅ͸¦ ÆıâÇÏ´Â µîÀÇ ¸íÈ®ÇÑ ¿ÀÇÁº¸µù Àü·«(Offboarding Strategy)À» Á¤ÀÇÇØ¾ß ÇÑ´Ù”°í Á¶¾ðÇß´Ù.
Æ®·»µå 5: Áö¼ÓÀûÀÎ À§Çù ³ëÃâ °ü¸® ÇÁ·Î±×·¥ÀÇ ÃßÁø·Â È®º¸
Áö¼ÓÀûÀÎ À§Çù ³ëÃâ °ü¸®(Continuous Threat Exposure Management, ÀÌÇÏ CTEM)´Â Á¶Á÷ÀÌ µðÁöÅÐ ¹× ¹°¸®Àû ÀÚ»êÀÇ Á¢±Ù¼º, ³ëÃâ ¹× ¾Ç¿ë °¡´É¼ºÀ» Áö¼ÓÀûÀ¸·Î Æò°¡ÇÏ´Â µ¥ »ç¿ëÇÒ ¼ö ÀÖ´Â ½Ç¿ëÀûÀÌ°í ü°èÀûÀÎ Á¢±Ù ¹æ½ÄÀÌ´Ù. ÀÌ´Â Æò°¡ ¹× ¼öÁ¤ ¹üÀ§¸¦ ÀÎÇÁ¶ó ±¸¼º ¿ä¼Ò°¡ ¾Æ´Ñ À§Çù ¿ä¼Ò ¶Ç´Â ºñÁî´Ï½º ÇÁ·ÎÁ§Æ®¿¡ ¸ÂÃç Á¶Á¤ÇÔÀ¸·Î½á Ãë¾à¼º°ú ÆÐÄ¡ºÒ°¡ÇÑ(Unpatchable) À§ÇùÀ» °Á¶ÇÒ ¼ö ÀÖ´Ù.
°¡Æ®³Ê´Â 2026³â±îÁö CTEM ÇÁ·Î±×·¥À» ±â¹ÝÀ¸·Î º¸¾È ÅõÀÚ¿¡ ¿ì¼±¼øÀ§¸¦ µÎ´Â ±â¾÷Àº ħÇØ »ç°íÀÇ 3ºÐÀÇ 2¸¦ ÁÙÀÏ ¼ö ÀÖÀ» °ÍÀ¸·Î ¿¹ÃøÇÑ´Ù. º¸¾È ¸®´õ´Â ÇÏÀ̺긮µå µðÁöÅРȯ°æÀ» Áö¼ÓÀûÀ¸·Î ¸ð´ÏÅ͸µÇÏ¿© Ãë¾àÁ¡À» Á¶±â¿¡ ½Äº°ÇÏ°í ÃÖÀûÀÇ ¿ì¼±¼øÀ§¸¦ ÁöÁ¤ÇÏ¿© ±â¾÷ÀÌ °ø°Ý¹ÞÀ» ¼ö Àִ ǥ¸éÀ» °ÈÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇØ¾ß ÇÑ´Ù.
Æ®·»µå 6: »çÀ̹ö º¸¾È ¼º°ú °³¼±À» À§ÇÑ ID ¹× ¾×¼¼½º °ü¸®(IAM)ÀÇ ¿ªÇÒ È®´ë
´õ ¸¹Àº ±â¾÷ÀÌ º¸¾È¿¡ ´ëÇÑ ID ¿ì¼± Á¢±Ù ¹æ½ÄÀ¸·Î ÀüȯÇÔ¿¡ µû¶ó ³×Æ®¿öÅ© º¸¾È ¹× ±âŸ ±âÁ¸ Á¦¾î¿¡¼ ID ¹× ¾×¼¼½º °ü¸®(Identity & Access management, ÀÌÇÏ IAM)·Î ÃÊÁ¡ÀÌ ¿Å°ÜÁö¸é¼ »çÀ̹ö º¸¾È ¹× ºñÁî´Ï½º ¼º°ú¿¡ Áß¿äÇÑ ¿ªÇÒÀ» ÇÏ°í ÀÖ´Ù. º¸¾È ÇÁ·Î±×·¥¿¡¼ IAMÀÇ ¿ªÇÒÀÌ ´õ¿í °Á¶µÉ °ÍÀ¸·Î Àü¸ÁµÇÁö¸¸, µ¿½Ã¿¡ º¹¿ø·Â Çâ»óÀ» À§ÇØ ±Ùº»ÀûÀÎ º¸¾È°ú ½Ã½ºÅÛ °È¿¡ ÁýÁßÇØ¾ß ÇÑ´Ù.
ÀÌ¿¡ µû¶ó º¸¾È ¸®´õ´Â ¾ÆÀ̵§Æ¼Æ¼ Æк긯(identity fabric)À» °ÈÇÏ°í È°¿ëÇÏ´Â µ¥ ÁýÁßÇÏ°í, ID À§Çù ŽÁö ¹× ´ëÀÀÀ» ÅëÇØ IAM ±â´ÉÀÌ Àüü º¸¾È ÇÁ·Î±×·¥À» Æø³Ð°Ô Áö¿øÇÒ ¼ö ÀÖ´Â ÃÖÀûÀÇ À§Ä¡¿¡ ÀÚ¸®Çϵµ·Ï ÇØ¾ß ÇÑ´Ù.