Cloud CISO Perspectives: 2025 사이버 보안 전망 보고서

* 해당 블로그의 원문은 2024년 12월 10일 Google Cloud 블로그(영문)에 게재되었습니다.

이번 뉴스레터에서는 CISO 오피스의 수석 디렉터인 Nick Godfrey가 다가오는 2025년 보안 전망 보고서의 주요 내용과 함께 구글 CISO 오피스 동료들의 통찰력을 공유합니다. 모든 CISO 관점 뉴스레터는 구글 클라우드 블로그에도 게시됩니다. 구독하면 뉴스레터로 편히 받아 볼 수 있습니다.

--Phil Venables, VP, TI Security & CISO, Google Cloud

2025년 전망: 강화된 AI 위협과 방어자를 위한 AI

Nick Godfrey, 수석 디렉터, CISO 오피스

보안 위협과 사고는 갑자기 발생하는 것처럼 보이지만, 사실 사이버 공격은 단독으로 일어나는 일이 아닙니다. 여러 가지 요인이 복합적으로 작용해 발생하는 현상입니다. 한 번의 사고가 또 다른 사고를 유발하거나, 기존의 위협이 새로운 공격 경로를 찾아 이동하기도 합니다. 이에 맞서 방어자들은 이러한 공격 경로를 차단하고 점점 진화하는 위험을 줄이기 위해 끊임없이 노력해야 합니다.

보안 및 비즈니스 리더는 준비가 중요하다는 것을 잘 알고 있습니다. 2025년 사이버 보안 전망 보고서는 현재의 트렌드와 과거의 데이터를 분석하여 2025년에 발생할 수 있는 다양한 사이버 공격 시나리오를 예측합니다.

생성형 AI는 소프트웨어 개발과 관련된 진입 장벽을 낮추어 더 많은 사람들이 이 분야에 쉽게 접근할 수 있도록 합니다. 더불어 실무자들이 AI의 도움을 받아 소프트웨어 개발의 기본 원칙과 함께 안전한 소프트웨어 개발 방식을 학습하는 데 집중할 수 있습니다. 즉, 개발자는 생성형 AI의 도움으로 단순히 작동하는 코드 작성에 그치지 않고, 보안이 강화된 신뢰할 수 있는 소프트웨어를 개발할 수 있는 역량을 높일 수 있습니다. 또한, AI는 사이버 보안 분야에서도 점점 더 중요한 역할을 할 것이며, AI가 많은 일을 도와주어 사람이 더 중요한 작업에 집중할 수 있는 새로운 방식의 보안 운영 시대가 도래할 것으로 보입니다.

Taylor Lehmann, 의료 및 생명 과학 디렉터, CISO 오피스

구글의 CEO인 순다르 피차이(Sundar Pichai)가 최근에 “구글의 새로운 코드의 4분의 1 이상이 AI에 의해 생성됩니다."라고 말했습니다. 많은 사람들은 이것을 확대 해석하여 기업들이 생성형 AI가 대신 작업을 수행하기 때문에 더 적은 소프트웨어 개발자를 고용할 것이라 생각하기도 합니다.

저는 다르게 해석합니다. 저는 생성형 AI의 등장으로 소프트웨어 산업이 르네상스 시대에 접어들고 있다고 생각합니다. 생성형 AI 덕분에 소프트웨어 개발에 대한 진입 장벽이 낮아져, 더 많은 사람들이 개발자로 성장할 수 있게 될 것입니다. 일손이 늘어 생성한 코드의 양이 늘어도 걱정이 없습니다. 우수한 개발자들이 이 코드를 검토하고, 팀원들을 지도하며, 소프트웨어 품질을 개선하는 데 더 큰 역할을 하게 될 것입니다.

무엇보다 보안 취약점을 가진 소프트웨어를 찾아 수정하는 일이 더욱 쉬워질 것입니다. 생성형 AI는 더 안전하고, 더 견고하며, 더 신뢰할 수 있는 제품을 만드는 데 큰 도움이 될 것입니다. 이로 인해 이러한 제품을 사용하는 개인과 기업 모두가 혜택을 누릴 수 있게 됩니다.

생성형 AI는 소프트웨어 개발의 문턱을 낮춰 더 많은 사람들이 이 분야에 뛰어들 수 있게 하고, 기본적인 소프트웨어 개발 원칙과 보안 중심의 개발 방식을 동시에 배울 수 있도록 지원합니다. 이제 우리 모두 첫걸음으로 “Hello, World!“를 작성하며 개발을 시작해야 할 때입니다.

Anton Chuvakin, 보안 자문, CISO 오피스

“AI야, 내 환경을 지켜줘!“라는 마법 같은 해결책은 아직 바라기 어렵지만, 생성형 AI로 인해 더 실용적인 방식으로 보안 도구를 활용할 수 있습니다. 예를 들어 사건을 요약하고 대응 조치를 추천하거나, 불필요한 경보(alert)를 걸러내는 보고서를 자동으로 생성하는 AI를 상상해 보십시오. AI는 사람이 놓치기 쉬운 미묘한 패턴이나 이상 징후를 파악하고, 위협 탐지 과정에서 숨겨진 위협을 미리 찾아낼 수 있는 능력을 제공합니다.

Marina Kaganovich, 실행 신뢰 리더, CISO 오피스

작년에 우리는 조직이 무단으로 사용되는 AI 기술을 뜻하는 쉐도우 AI를 통제해야 한다고 예측했습니다. 그러나 현재도 여전히 많은 기업이 이러한 무단 AI 사용을 파악하고 관리하는 데 어려움을 겪고 있다는 소식을 접하고 있습니다. 이를 해결하려면 강력한 조직적 거버넌스를 구축하는 것이 무엇보다 중요합니다. 또한, AI를 안전하게 실험하려면 핵심적인 질문들을 미리 묻고 이에 대한 답을 준비하는 과정이 큰 도움이 될 것입니다.

글로벌 무대: 위협 행위자

2025년 지정학적 갈등은 사이버 위협 활동을 계속해서 부추기고 더 복잡한 사이버 보안 환경을 조성할 것입니다.

중국, 이란, 북한, 러시아로 대표되는 ‘빅 4’는 사이버 간첩, 방해, 영향력 작전을 통해 자신들의 지정학적 목표를 달성하려 할 것입니다. 전 세계적으로 조직들은 랜섬웨어, 다각적 착취, 정보 도용 악성코드로부터 지속적인 위협에 직면하게 될 것입니다. 또한, 유럽, 중동, 일본, 아시아 태평양 지역에서 나타나는 지역적 트렌드가 이러한 위협 행위자들의 활동에 큰 영향을 미칠 것으로 보입니다.

Toby Scales, 자문역, CISO 오피스

​

다가오는 "Agent AI" 변혁을 포함한 지속적인 AI 혁신을 배경으로, 우리는 특정 국가가 배후에서 지원하는 위협 활동이 폭넓게 증가할 것으로 예상합니다. 공격의 수와 공격의 정교함과 다양성이 증가할 것입니다.

우리는 내년에 인프라에 대한 대규모 공격이 발생할 것으로 예상하지는 않지만, 빅4 중 하나가 미국 소유의 미디어 기업을 상대로 보도, 컨텐츠 또는 강요에 대한 명백한 보복을 하는 것은 어렵지 않습니다. 미디어 공급망의 가장 약한 링크가 최대한의 이익을 위해 악용될 것으로 예상됩니다.

Bob Mechler, 디렉터, CISO 오피스

재정적 이익을 노린 사이버 범죄와 점점 심화되는 지정학적 긴장은 통신 서비스 제공자에게 더욱 복잡하고 까다로운 위협 환경을 만들어낼 것입니다. 특히, 2024년에 관찰된 국가 지원 공격, 사보타주, 공급망 취약성 증가 현상은 2025년에도 지속되고 더욱 심화될 가능성이 높다고 봅니다.제조 및 산업 책임자, CISO 오피스

이러한 공격은 보안의 기본 원칙, 복원력 강화, 그리고 신흥 위협에 대한 이해와 선제적 대응의 중요성을 강조하게 될 것입니다. 따라서, 이러한 위협을 효과적으로 탐지하고 대응할 수 있는 위협 인텔리전스의 필요성이 그 어느 때보다도 강하게 대두될 것입니다.

Vinod D’Souza, head of manufacturing and industry, Office of the CISO​

지속적인 지정학적 긴장과 국가 지원 공격의 가능성은 위협 환경을 더욱 복잡하게 만들고 있습니다. 제조업체는 중요한 인프라 운영을 방해하거나 지적 재산을 탈취하려는 표적 공격에 대비해야 합니다. 특히 제조 분야에서 IT와 OT 시스템의 융합, 상호 연결된 기술, 데이터 중심 프로세스에 대한 의존도 증가는 공격자가 악용할 수 있는 새로운 취약점을 만들어낼 것입니다.

랜섬웨어 공격은 점점 더 표적화되고 파괴적인 방향으로 발전할 가능성이 높습니다. 공격자들은 최대한의 영향을 주기 위해 중요한 생산 라인과 공급망을 집중적으로 노릴 수 있습니다. 여기에 더해 AI 기반 공격의 증가는 새로운 도전 과제를 안겨줄 것입니다. 공격자들은 기계 학습을 활용해 공격을 자동화하고 탐지를 회피하며, 더 정교한 악성코드를 개발함으로써 위협 수준을 한층 끌어올릴 수 있습니다.

공급망 공격은 2025년에도 주요한 위협으로 남을 것입니다. 공격자들은 보안 수준이 취약한 소규모 공급업체나 써드파티 공급업체를 노려, 이를 발판으로 더 큰 제조 네트워크에 간접적으로 접근하려 할 가능성이 높습니다.

이러한 위협에 대응하기 위해서는 협력적인 사이버 보안 접근 방식이 필요합니다. 제조업체는 파트너들과 긴밀히 협력하여 공급망 전체의 위험을 평가하고 이를 줄이기 위한 방안을 마련해야 합니다. 또한, 클라우드 기술은 공급업체 생태계가 안전한 협업을 위해 활용할 수 있는 보안 강화 플랫폼과 애플리케이션을 제공함으로써 효과적인 해결책이 될 수 있습니다.

Thiébaut Meyer, 디렉터, CISO 오피스

디지털 주권은 유럽, 중동, 아시아의 고객 및 잠재 고객들과의 위험 분석 및 논의에서 점점 더 중요한 주제로 떠오르고 있습니다. 이는 미국과의 잠재적인 외교적 긴장에 대한 우려가 커지고, 예측하기 어려운 “블랙 스완” 사건들이 점점 더 현실적인 가능성으로 인식되기 때문입니다. 이러한 상황에서, 이 지역의 기관들은 진화하는 지정학적 환경 속에서 데이터의 접근, 통제, 생존 가능성에 대한 잠재적 위협을 고려한 전략을 최우선 과제로 삼고 있습니다.

이와 같은 우려는 특히 공공 기관들이 클라우드로 이전하는 과정에서 더욱 두드러질 것입니다. 현재 유럽의 많은 공공 기관들은 기술 성숙도가 부족하여 클라우드 마이그레이션이 지연되고 있는 상황입니다. 이들은 주권 보호 조치가 보장되지 않으면 클라우드 이전을 시작하지 않을 것입니다. 따라서 우리는 이러한 요구를 충족시키기 위해 모든 제품에 주권 보호 통제를 기본적으로 내장하고, 설계 단계에서부터 주권을 고려한 서비스를 제공해야 할 것입니다.

글로벌 무대: 더 강력해진 방어자

이러한 위협에 앞서 나가고 발생할 때 이에 대응할 준비를 하려면 조직은 2025년에 사이버 보안에 대한 사전 예방적이고 포괄적인 접근 방식을 우선시해야 합니다. 클라우드 환경을 기본적으로 고려하고 우선적으로 활용할 수 있도록 돕는 클라우드 네이티브 솔루션, 강력한 ID 및 액세스 관리 제어, 지속적인 위협 모니터링 및 위협 인텔리전스는 방어자를 위한 핵심 도구입니다. 또한 양자 컴퓨팅 이후의 암호화 시대에 대비하고 진화하는 규제 요구 사항을 지속적으로 준수해야 합니다.

MK Palmore, 공공 부문 디렉터, CISO 오피스

저는 2025년이 전 세계 공공 부문 조직들에게 AI 활용 방식을 혁신할 수 있는 많은 기회를 가져올 것으로 예상합니다. 이들은 AI를 활용해 시간 소모적인 프로세스를 간소화하는 방법을 계속 탐구하며, AI를 통해 전달 주기를 더 빠르게 시작하고 완료하는 방식으로 업무 효율성을 높이는 방안을 모색할 것입니다.

공공 부문 조직들은 앞으로의 과제에 대비할 수 있는 클라우드 플랫폼을 적극적으로 활용하는 데 익숙해져야 합니다. 이들은 기존의 구식 보호 모델을 기반으로 구축된 플랫폼이나, 보안 기본 사항을 충족하기 위해 추가 서비스가 필요한 플랫폼에서 점차 벗어날 것입니다. 보안은 클라우드 플랫폼 설계에 기본적으로 내재되어야 하며 구글 클라우드가 오랫 동안 지켜온 설계 단계부터 보안을 고려하는 원칙은 이러한 요구를 충족시킬 수 있습니다. 이를 통해 공공 부문 조직은 플랫폼과 기능에 지속적으로 접근하며 보다 안전하고 효율적인 시스템을 구축할 수 있을 것입니다.

Alicja Cade, 금융 서비스 디렉터, CISO 오피스

이사회가 효과적으로 조직을 감독하려면 보안, 기술, 비즈니스 리더들과의 개방적이고 협력적인 소통, 기존 관행에 대한 비판적 평가, 그리고 측정 가능한 발전에 중점을 두는 것이 필요합니다. 이사회는 사이버 보안 이니셔티브를 깊이 이해함으로써, 조직이 끊임없이 변화하는 사이버 위협에 대응하여 탄력적이고 유연한 상태를 유지할 수 있도록 지원해야 합니다.

이사회는 다음과 같은 전략을 지원하여 사이버 보안을 우선순위로 지정할 수 있습니다.:

• 클라우드 컴퓨팅, 자동화 및 기타 발전을 사용하여 기술을 현대화하여 방어를 강화합니다.
• 다단계 인증, 제로 트러스트 세그멘테이션, 위협 인텔리전스 등의 조치를 통해 강력한 보안 기반을 구축하는 강력한 보안 제어를 구현합니다.
• 데이터 프라이버시, 알고리즘 편향, 잠재적인 오용 등 AI의 독특한 과제를 사전에 해결하여 AI 위험을 관리합니다.

Odun Fadahunsi, 실행 신뢰 리더, CISO 오피스

글로벌 환경은 특히 금융 서비스 부문에서 운영 복원력 관련 규제 요구가 급증하고 있습니다. 사이버 복원력에 중점을 둔 운영 복원력은 2025년 이사회와 규제 기관 모두의 최우선 과제가 될 것입니다. CISO, 위험 및 통제 리더는 이러한 진화하는 규제 환경에 대해 사전에 준비해야 합니다.

Bill Reid, 솔루션 컨설턴트, CISO 오피스

의료 기기의 보안과 품질을 개선하려는 노력은 2025년에도 계속될 것입니다. 이는 ARPA-H UPGRADE 프로그램 수상자 발표와 함께 3년 프로젝트가 시작되면서 더욱 강화될 전망입니다. 이 프로그램은 FDA의 의료 기기 소프트웨어 보안 요구 사항을 뛰어넘어, 의료 환경에서 전체 기기군을 보다 자동화된 방식으로 평가하고 패치하는 것을 목표로 하고 있습니다.

전반적으로 의료 산업은 PCAST 보고서에서 언급된 사이버 물리적 복원력이라는 새로운 주제를 중심으로 발전을 이어갈 것입니다. 경제적, 임상적으로 큰 피해를 줄 수 있는 랜섬웨어 공격의 지속적인 위협에 대응하여, 의료 분야는 공격 상황에서도 핵심 서비스를 안전하게 운영할 수 있는 더욱 탄력적인 시스템을 도입할 것으로 보입니다. 이러한 문제는 특히 직원이 부족하고 자원이 제한적인 취약계층 의료시설과 농촌 지역에서 더 큰 영향을 미칠 것입니다. 새로운 산업 간 협력과 공공-민간 파트너십은 이러한 노력을 강화하고 보다 안전하고 복원력 있는 의료 시스템 구축에 기여할 수 있을 것입니다.

우리는 CISO와 보안 조직을 비난하는 관행에서 벗어나, 사이버 보안 분야를 괴롭혀온 수치심 문화를 극복하려는 변화가 일어날 것으로 기대합니다. 사이버 보안 사건은 단순한 실수가 아닌 범죄 행위로 인식되며, 특히 의료와 같은 주요 산업에서는 이를 국가 안보에 대한 공격으로 간주하게 될 것입니다. 또한, 조직이 우수한 인재를 유치하고 유지하는 데 어려움을 겪으면서, 보안 전문가의 책임과 역할을 보다 효과적으로 다룰 수 있는 새로운 접근 방식이 등장할 것으로 보입니다. 이러한 변화는 보안 전문가들에게 보다 건설적이고 지속 가능한 환경을 제공하는 데 기여할 것입니다.

Widya Junus, Google Cloud Cybersecurity Alliance 비즈니스 운영 책임자, CISO 오피스

2024년 보안 현장 팀의 피드백을 바탕으로 사이버 보안 및 클라우드 보안에 대한 실용적이고 실행 가능한 지침에 대한 강력한 수요를 예상합니다. 여기에는 멀티 클라우드 환경 보안을 위한 모범 사례도 포함됩니다.

클라우드 고객은 여러 클라우드 제공자 간에 보안을 관리하는 복잡성을 탐색하고 일관된 정책과 제어를 보장하기 위해 계속해서 지원을 요청할 것입니다. 수요에는 실제 사용 사례, 일반적인 위협 및 완화, 업계 특정 보안 지식 교환도 포함됩니다.

주요 보안 대화 및 주제는 간소화된 IAM 구성, 보안 모범 사례 및 클라우드 보안 제어의 원활한 구현을 다룰 것입니다. 클라우드 제공자는 특히 AI의 경우 실제 사례와 업계 특정 보안 지침을 공유하는 것을 우선시할 것입니다.

더 많은 구글 클라우드 전문가의 리더십 인사이트는 CISO 인사이트 허브에서 확인할 수 있습니다.

Google Cloud의 보안 관련 최신 소식

• 피해야 하는 생성형 AI 관련 보안 실수 5가지: 생성형 AI가 더욱 널리 보급됨에 따라 피할 수 없는 함정이 있습니다. 이러한 실수 중 가장 흔한 것을 강조하여 여러분이 이를 피할 수 있도록 도와드리고자 합니다. 더 알아보기
• Roche가 안전한 환자 데이터로 미래의 의료를 개척하는 방법: Roche는 사용자 액세스 가시성과 제어를 높이고자 BeyondCorp Enterprise 및 Chrome을 사용하여 제로 트러스트 보안 모델을 구현하여 데이터를 보호했습니다. 더 알아보기
• AI 보안: 국가 안보 임무 발전: 인공 지능은 단순한 기술 발전이 아니라 국가 안보의 우선 순위입니다. AI 시대의 모든 기관의 AI 리더를 위해 AI를 사용하여 공공 부문에서 혁신하는 방법에 대한 로드맵이 포함된 새로운 가이드를 발표했습니다. 더 알아보기
• 이사회를 위한 보안 관점, 제6판: 2024년 마지막 이사회 보고서는 이사회 구성원과의 최근 대화를 반영하여 공급망 공격에 대한 복원력, 정보 공유가 보안을 강화하는 방법, 사이버 보안 관점에서 위험 가치 이해의 세 가지 주요 영역에서 사이버 보안과 비즈니스 가치의 중요한 교차점을 강조합니다. 더 알아보기
• Vanir 출시 발표: 오픈 소스 보안 패치 검증: 새로운 오픈 소스 보안 패치 검증 도구인 Vanir의 가용성을 발표합니다. Android 플랫폼 개발자는 이 도구를 사용하여 사용자 지정 플랫폼 코드에서 누락된 보안 패치를 빠르고 효율적으로 스캔하고 적용 가능한 사용 가능한 패치를 식별할 수 있습니다. 더 알아보기

위협 인텔리전스 소식

• AppSec 테스트로 레드 팀 평가 향상: 애플리케이션 보안 전문 지식을 통합하면 조직은 포괄적인 레드 팀 참여 또는 표적화된 외부 평가를 통해 현대적인 적대자의 전술과 기술을 더 잘 시뮬레이션할 수 있습니다. 더 알아보기
• QR 코드로 탈출하기, 브라우저 격리 환경에서의 C2: 맨디언트 연구원들은 QR 코드를 사용하여 브라우저 격리 환경에서 명령과 제어를 달성하는 새로운 기술을 시연하고 이를 방어하기 위한 권장 사항을 제공합니다. 더 알아보기

최신 팟캐스트

• 모든 CTO는 CSTO여야 합니다: LastPass의 최고 보안 기술 책임자인 Chris Hoff는 호스트 Anton Chuvakin과 게스트 코호스트 Seth Rosenblatt와 함께 CSTO의 가치, LastPass의 기술 스택 재구축을 지원한 경험, 그리고 회사의 기업 문화를 개편하는 데 어떻게 도움이 되었는지에 대해 논의합니다. 팟캐스트 듣기
• Google의 워크로드 보안 방법: 구글의 보안 및 안정성 애호가인 Michael Czapinski는 Anton과 함께 워크로드 보안의 필수 요소인 제로 터치 프로덕션, 보안 링, 기초 서비스 등에 대해 이야기합니다. 팟캐스트 듣기
• Defender's Advantage: 인시던트 대응에서의 복구의 기술: 맨디언트 컨설팅 리더 Jibran Ilyas는 호스트 Luke McNamara와 함께 인시던트 대응의 일부로서 복구의 역할에 대해 논의합니다. 팟캐스트 듣기

이상으로 2024년 12월 첫 번째 클라우드 CISO 관점 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 찾아 뵙겠습니다.