[데이터넷] 정부가 ‘기술패권 경쟁을 주도할 12대 국가전략기술’ 중 사이버 보안을 선정했다. 앞서 9월 ‘글로벌 정보보호 산업 강국 도약’ 계획을 발표하며 2027년까지 정보보호 시장규모 30조원으로 성장시키고 유니콘 기업을 만들겠다는 목표도 밝혔다. 이를 실행하기 위해 2024년 사이버 보안 펀드 조성 200억원, 정보보호 산업 경쟁력 강화 108억원, 제로 트러스트 실증 확산 62억원, 정보보호 전문인력 양성 240억원의 예산을 배정했다.

전 세계에서 자국 보안 기술을 보유한 나라가 많지 않으며, 우리나라 보안 기술은 일본과 아시아, 중동 시장에서 좋은 평가를 받고 있다. 우리나라 보안 기술은 글로벌 시장으로 진출할 좋은 환경을 갖고 있지만, 아직은 해외 시장에서 주류에 편입되지는 못하는 상태이다. 지금까지 쌓은 전력을 기반으로 글로벌 시장에서 인지도를 높이고 사이버 보안 강국의 위상을 세우기 위해 정부가 지원 정책을 발표하고 있는 것이다.

글로벌 사이버 보안 시장, 매년 600조원 성장

사이버 보안은 IT 산업 중 매우 빠르게 성장하는 시장 중 하나다. 사이버시큐리티벤처스는 사이버 범죄로 인한 전 세계 피해가 2024년 9조5000억달러, 2025년 10조5000억 달러에 이를 것이며, 이는 미국, 중국에 이은 세계 3위 경제규모로 평가된다. 위협 수준이 높아지면서 사이버 보안 제품·서비스에 대한 투자가 늘어 2025년까지 매년 4590억달러씩 증가, 2021년부터 2025년까지 누적 1조7500억달러에 이를 것으로 예상된다.

우리나라 기업·기관의 보안 투자도 지속적으로 늘고 있다. 과학기술정보통신부가 2023년 정보보호 공시 의무 기업의 공시 결과를 분석한 결과, 이 해 보안 투자가 전년대비 20.9% 늘었으며, 보안 전담인력은 17.6% 증가했다.

2년 연속 공시를 이행한 기업의 평균 정보보호 투자액은 전년대비 16.7% 오른 28억원, 전담인력은 11.3% 증가한 10.18명이었으며, 평균 투자액이 평균 8.3%, 26억원으로 증가했으며, 인력은 8.6% 늘어난 9.83명으로, 공시를 통한 보안 투자 유도 효과가 있는 것으로 분석됐다.

“보안은 밑 빠진 독에 물 붓기”

클라우드, AI 시대에 접어들면서 사이버 보안에 대한 관점이 달라지게 됐다. 클라우드와 AI는 전통적인 보안 정책과 기술로는 보호할 수 없게 됐기 때문이다. 전방위적으로 발생하는 공격에 대응하면서 비즈니스 성장을 위해 혁신을 거듭하는 IT 환경을 지원하는 동시에 전통적인 기술 환경에서 발생하는 위협까지 대응해야 한다는 복잡한 과제에 직면하게 됐다.

조직은 지금까지 지속적으로 보안 투자를 늘려왔으며, 새로운 공격기법에 대응할 수 있는 새로운 보안 기술을 적용한 솔루션을 도입해왔다. 그럼에도 불구하고 공격으로 인한 피해는 계속되고 있으며, 사이버 보안 수준은 공격자의 진화 속도를 따라가지 못하고 있다. 시스코의 사이버 보안 준비지수 조사에서는 15%만이 사이버 위협 방어를 위해 필요한 ‘성숙’ 수준에 도달한 것으로 나타났다.

경영진에게 이러한 상황을 설명하면 사이버 보안 투자를 ‘밑 빠진 독에 물 붓기’라고 생각할 수 있다. 아무리 많은 예산을 투입하고, 전문가를 채용한다 해도 사이버 보안 위협을 완벽하게 막을 수 없으며, 때로 보안 솔루션 구입 비용보다 보안규제준수 위반으로 인한 벌금이 더 싸게 느껴질 수도 있다.

사이버 보안 투자, 기업 시가총액 높여

다행스러운 점은 경영진이 사이버 리스크가 비즈니스 리스크라는 사실은 인지하고 있다는 점이다. 딜로이트의 ‘사이버의 미래 2023 서베이’에서는 사이버 투자를 통해 브랜드 평판, 신뢰도, 운영, 재무 등 여러 부문에서 개선 효과를 거둔 것으로 나타났다. 딜로이트에서 말하는 ‘사이버’는 사이버 보안 업무와 기술, 리스크 관리 등을 포괄하는 개념이다.

‘사이버의 미래 2023 서베이’ 조사에는 전 세계 20개국 사이버 관련 의사결정권자 1000명이 참여했으며, 응답자의 86%가 사이버 이니셔티브가 하나 이상의 주요 비즈니스 영역에 긍정적으로 기여했다고 답했다.

성숙도 높은 기업의 70%는 신뢰도와 효율성 개선에 긍정적인 영향을 받았다고 답했으며, 고객 신뢰 구축을 통해 시가총액을 4배 높이는 결과를 얻었다고 답했다. 50억달러 이상 매출을 올리는 대기업의 54%가 사이버 분야에 2억5000만달러를 투자하는 것으로 나타났다.

이 조사에서 디지털 전환 우선순위를 묻는 질문에 ▲클라우드 ▲데이터 애널리틱스 ▲OT와 ICS ▲인공지능, 인지컴퓨팅 ▲5G를 꼽았다. 특히 클라우드와 관련해서는 83%이 기업이 클라우드 투자가 비즈니스 규제와 리스크를 완화하는 효과가 있다고 답했다.

제로 트러스트, 비즈니스 환경 맞춰 이행해야

클라우드는 디지털 트랜스포메이션의 핵심 전략으로, 일반 기업은 물론이고 정부·공공조직도 클라우드 전환 여정을 시작한 상황이다. 클라우드는 경계가 사라지기 때문에 기존의 경계중심 보안 모델로는 보호할 수 없다. 그래서 제로 트러스트 보안 모델이 등장했다. 미국 사이버 보안 행정명령을 시작으로 많은 국가 정부에서 제로 트러스트 도입을 추진하고 있으며, 보안 기업들도 일제히 관련 기술을 공개하면서 시장 활성화에 불을 붙였다.

제로 트러스트가 광범위한 영역에 대해 이야기하고 있으며, 개념이 모호하기 때문에 많은 혼란이 발생하고 있다. ‘제로 트러스트‘를 수식어처럼 사용하고 있으며, 특정 기술과 솔루션, 방법을 채택하면 제로 트러스트가 완성되는 것처럼 이야기한다. 가트너는 제품 마케팅을 위해 제로 트러스트를 남용하고 있어 제로 트러스트 진행상황을 평가하는 것이 어려워진다고 지적한다.

‘아무도 믿지 말라’고 선언하면서 제로 트러스트를 시작하면 성공하기 어렵다. 제로 트러스트는 확실하게 믿을 수 있는 접근만 허용하는 보안 원칙으로, 비즈니스 환경과 목표에 맞게 적절한 이행 계획을 수립해 진행해야 한다.

미국 표준기술연구소(NIST)는 제로 트러스트에 대해 “자산과 비즈니스 기능에 대한 위험을 지속적으로 분석, 평가한 후 위험 완화를 위한 보호 조치를 시행하는 것”이라고 설명한다. 제로 트러스트는 모든 분류 또는 민감도 수준의 보안 태세를 개선하는데 사용할 수 있는 지침으로, 기술 교체, 비즈니스 프로세스 변경, 문화와 철학의 전환 등이 함께 이뤄져야 한다고 설명했다.

중요한 원칙은 ‘제로 트러스트냐, 아니냐’가 아니라, 비즈니스를 개선하고 임직원을 보호하는 보안 전략인지 여부이다.

AI, 목표 아닌 수단

AI가 등장하면서 ‘제로 트러스트’가 지배하는 보안 패러다임에 대대적인 변화가 생겼다. 이제 모든 IT 솔루션에 AI가 접목되고 있으며, AI를 이용하면 업무를 줄이고 부족한 인력 문제를 해결하며, 비즈니스와 보안의 통찰력을 저절로 갖게 될 것으로 생각한다.

AI 역시 비즈니스 성장과 보호를 위한 수단 중 하나이지, 목표가 아니다. AI를 이용해 보안을 개선하려면, 적용하려는 업무에 AI가 필요한지, 어떤 방식의 AI 기반 기술과 솔루션, 시스템이 필요한지, 어떻게 구성하고 운영해야 할지, 조직이 AI를 운영할 역량을 갖췄는지 살펴봐야 한다.

사이버 리스크는 해커의 침투로 인해 발생하는 것뿐만 아니라, 잘못된 구성, 실수, 악의적인 내부자, 컴플라이언스, 기술에 내재된 취약점 등 여러 원인으로 발생한다. 이 문제를 해결하면서 비즈니스 성장을 촉진하기 위해 전통적인 보안 기술을 고수하거나, 최신 유행하는 기술을 빠르게 도입하는 것 모두 올바른 접근은 아니다.

기업·기관이 시장의 신뢰를 얻고 장기적으로 지속 가능한 성장 기반을 마련하며, 소속된 직원들의 삶의 질을 개선하는 것을 최종 목표로 삼고, 이를 달성하기 위해 필요한 기술을 채택하는 것이 필요하다.

디지털 대 전환의 시대 한 가운데를 걷고 있는 지금, 사이버 보안이 추구해야 할 목표와 방향을 다시 정립하고, 사회와 환경에 공헌하면서 발전을 이어갈 방법을 모색해야 한다.