사이버 보안 전문가에게 2025년 최고의 예측을 물었습니다.

2024년 말에 이르면서 사이버 보안 업계는 많은 어려움 에 직면해 있습니다. 우선, 한 보고서에 따르면 사이버 범죄로 인한 손실은 2017년 이후 4배 증가하여 25억 달러에 달했습니다 .

주요 기업들은 랜섬웨어로 인해 수백만 달러의 손실을 입었고, T-Mobile의 경우 고객 데이터 노출로 인해 3천만 달러의 합의금을 잃었습니다. 미국의 한 사이버보안 회사는 실수로 북한 해커를 고용한 적도 있다.

새천년을 맞이한 25년이 지나면서 온라인 보안 환경은 계속해서 우리 모두의 발 아래서 변화할 것입니다. 최신 동향을 지속적으로 파악하려면 어떻게 해야 합니까? 아래 가이드를 통해 수십 명의 사이버 보안 전문가의 예측, 주의 사항 및 전망을 자세히 살펴보고 가장 중요한 정보를 수집했습니다.

새해에 사이버 보안 세계에서 기대할 수 있는 사항은 다음과 같습니다.

2025년 가장 큰 사이버 보안 예측:

• 사물인터넷을 위한 강화된 보안
• 제로 트러스트 아키텍처는 장치를 넘어 확장됩니다.
• 위험 정량화가 핵심 보안 도구가 됨
• 중간 수준의 사이버 기술 격차에 초점
• AI 도구는 기업의 보안 프로토콜에 더욱 통합될 것입니다
• 제대로 관리되지 않는 자산에 주의하세요

사물인터넷을 위한 강화된 보안

"사물 인터넷" 또는 IoT는 스마트 냉장고부터 온도 조절 장치, 초인종, 심박 조율기까지 인터넷에 연결되고 소프트웨어 업데이트에 의존하는 모든 기술 장치를 의미합니다. 오늘날 모든 장치는 그 어느 때보다 더 잘 작동하고 있으며 이는 많은 사이버 보안 전문가의 마음에 두려움을 불러일으킵니다. 왜냐하면 모든 장치가 이제 사이버 공격에 새롭게 취약해졌기 때문입니다.

KnownHost의 CEO인 Daniel Pearson은 IoT가 스마트 홈만을 위한 것이 아니라고 지적합니다. 기업은 센서, 모니터링 장비, 에너지 관리 시스템, 전구, 도어 잠금 장치, CCTV 시스템을 포함한 일상적인 사무용품 등 수많은 IoT 장치를 구내에 보유하고 있습니다.

수많은 잠재적인 취약점을 처리하기 위해 2025년 기업은 "다단계 인증, 정기적인 암호화 및 펌웨어 업데이트를 사용하여 스마트 장치가 적절하게 보호되도록 해야 합니다"라고 Pearson은 말합니다.

제로 트러스트 아키텍처는 장치를 넘어 확장됩니다.

제로 트러스트 아키텍처에는 암시적 신뢰를 최소화하여 측면 공격 위험을 완화하기 위한 지속적인 검증이 필요합니다. 2025년에는 이러한 전술이 단순한 장치 보안을 넘어 모든 사용자, 장치, 애플리케이션 및 상호 작용을 포괄하게 될 것입니다.

Faddom의 CTO인 Ofer Regev는 제로 트러스트가 장치를 뛰어넘을 것으로 예상합니다.

“제로 트러스트(Zero Trust)는 장치와 네트워크를 넘어 모든 디지털 상호 작용을 위한 신원 확인 프레임워크를 포함하도록 확장될 것입니다. 원격 근무와 분산형 시스템이 급증하면서 전통적인 신원 모델은 부족해질 것입니다. 이를 위해서는 역동적인 IT 환경 전반에서 사용자와 시스템 행동을 추적하고 검증할 수 있는 도구가 필요할 것입니다.” -레게브

제로 트러스트 확장은 사이버 보안 전문가가 회사의 안전을 보장하기 위한 추가 조치를 계속 모색할 것이기 때문에 나타날 것입니다.

위험 정량화가 핵심 보안 도구가 됨

Bitsight 와 Diligent 의 보고서에 따르면 사이버 보안 기업이 동종 기업보다 4배 더 높은 재무 성과를 제공하고 있음에도 불구하고 이사회에 사이버 전문가가 있는 기업은 5%에 불과합니다.

IT 전문가는 이사회와 어떻게 소통할 수 있나요? Diligent의 자체 CISO인 Monica Landen에 따르면 위험 정량화는 "2025년에 사이버 위험을 이사회에 알리는 가장 강력하고 신뢰할 수 있는 도구"로 등장할 것이라고 말했습니다. Landen은 보안 부문의 위험 정량화를 보험 업계의 위험 평가와 비교합니다. 지속적으로 개선되고 있습니다.

“2025년은 사이버 위험을 이사회에 적절하게 전달하기 위해 더 많은 조직 간 소통이 이루어지는 해가 될 수 있습니다. 보안 팀은 역사적으로 고립되어 있었지만 문제와 성공을 고객 영향, 판매 파이프라인 또는 제품 개발과 연결할 수 있다면 이러한 장벽은 약화될 것이며 열악한 보안의 긍정적이든 부정적 영향이 이사회에 적절히 반향을 일으킬 것입니다." -랜든

기업은 사이버 보안이 새해 전체 위험 관리 전략의 초석으로 유지되도록 강력한 GRC 프레임워크가 필요합니다. 2025년에는 사이버 보안이 조직의 모든 수준에서 우선순위가 되어야 합니다.

중간 수준의 사이버 기술 격차에 초점

기술 향상과 재교육은 사이버 보안을 다루는 사무직 근로자에게 끊임없는 문제입니다. 소프트웨어 업데이트가 지속적으로 출시되므로 작업자는 이를 따라잡기 위해 항상 새로운 학위와 인증을 취득해야 합니다.

Infosec Institute의 AI 전략 부사장인 Keatron Evans는 기술 격차와 이를 해소하는 데 필요한 학습이 2025년에 그 어느 때보다 중요해질 것이라고 예측합니다. 그리고 책을 읽어야 할 사람은 초급 직원뿐만이 아닙니다.

“사이버 보안 기술 격차에 관해 이야기할 때 사람들이 흔히 하는 잘못된 진술 중 하나는 그 격차를 모든 초급 수준 역할의 탓으로 돌리는 것입니다. 그러나 업계 전반에 걸쳐 우리는 가장 큰 격차 중 일부가 몇 년간의 경력을 지닌 숙련된 인재의 필요성에 있다는 것을 깨달았습니다. […]” -Evans

업계에서는 실무적이거나 검증 가능한 기술과 이를 가르치는 데 필요한 몰입형 학습이 증가할 것으로 예상됩니다. Evans는 "업계에서 요구되는 학위 및 인증 수준이 문제의 일부입니다"라고 덧붙였습니다. 근로자는 소진 위험과 새로운 인증을 계속 추가해야 하는 필요성 사이의 균형을 맞춰야 합니다.

Ofer Regev는 기술 격차에 대한 논의를 한 단계 더 발전시켜 경량 자동화 도구를 가속화할 것이라고 예측합니다. Regev는 "2025년에는 숙련된 IT 전문가의 전 세계적 부족 현상이 더욱 악화될 것입니다."라고 말합니다. Regev는 "기업이 더 가볍고 자동화된 도구를 채택하도록 압력을 가하고 있습니다. 광범위한 전문 지식이 필요한 복잡한 솔루션은 배포를 빠르게 단순화하고 가치를 제공하는 에이전트 없는 기술의 기반을 잃게 될 것입니다.”

물론 이것이 AI 기술 활용과 관련된 유일한 예측과는 거리가 멀다.

AI 도구는 기업의 보안 프로토콜에 더욱 통합될 것입니다

이 기사를 위해 우리가 상담한 사이버 보안 전문가들은 AI 관련 예측을 많이 했지만 일반적인 추세는 다음과 같이 요약할 수 있습니다. AI는 업계 전체에서 계속해서 자리를 찾을 것입니다. AI는 오랫동안 문제를 찾는 솔루션이었으며 2025년에는 이러한 문제를 찾기 시작할 수도 있습니다.

Keatron Evans가 주장하는 것처럼 이는 기술에 대한 상향식 이해가 증가하는 것처럼 보일 수 있습니다.

“사이버 우위를 유지하는 데 진지한 사람들은 소비자의 기술 사용뿐만 아니라 기술에 더 가까이 다가가야 합니다. 내년은 기본 기술과 그 작동 방식에 대한 이해를 진정으로 옹호하는 해가 될 것입니다. 이를 통해 직원의 가치가 기하급수적으로 높아질 것입니다.” -에반스

데이터 개인 정보 보호 회사인 Kiteworks의 2025 예측 보고서에 따르면 AI의 데이터 교육 의존으로 인해 발생하는 데이터 보안 위험을 강화하는 것처럼 보일 수 있습니다.

“2025년에는 더욱 엄격한 글로벌 규정으로 인해 AI 데이터 처리에 대한 투명성과 책임이 요구될 것이며, 조직은 민감한 콘텐츠를 잘못 처리할 경우 처벌을 받게 될 것입니다. 이러한 위협에 맞서기 위해 기업은 강력한 AI 거버넌스 프레임워크를 구현하고, 개인정보 보호 기술의 우선순위를 정하고, 보안 모델 개발 관행을 채택하여 규정 준수를 보장하고 신뢰를 보호해야 합니다.” - 카이트웍스

N2W의 수석 솔루션 아키텍트인 Sebastian Straub는 AI가 백업 자동화에도 힘을 실어줄 것이라고 말했습니다.

“2025년에는 관리 개입이 거의 없는 백업 시스템이 시작될 것입니다. AI는 데이터 사용, 규정 준수 요구 사항 및 조직 요구 사항의 복잡한 패턴을 학습하여 사전 예방적인 데이터 관리 전문가가 되어 GDPR, HIPAA 또는 PCI DSS와 같은 규정 준수 표준 준수를 포함하여 백업해야 할 대상과 시기를 자율적으로 결정합니다.” -스트라우브

그러나 AI 적응은 힘든 싸움이다. Staub는 또한 AI가 "만병통치약은 아니다"라고 경고하며, 기업이 2025년 이후에도 AI를 시스템에 통합하려고 애쓰면서 "불행한 신뢰 침해 및 규정 준수 위반"을 많이 보게 될 것이라고 경고했습니다.

제대로 관리되지 않는 자산에 주의하세요

CyCognito의 CMO인 Tim Matthews는 "알 수 없고 제대로 관리되지 않는 자산"으로 인해 데이터 침해가 증가할 것이라고 주장합니다. Matthews는 2025년 침해의 70%가 이러한 자산에서 추적될 것이라고 예측합니다. 이는 오늘날 많은 분석가들이 추정하는 60%보다 증가한 수치입니다.

“이는 점점 더 복잡해지는 공격 표면, 클라우드 마이그레이션, 타사 종속성 및 원격 작업 인프라로 인해 더욱 가속화될 것입니다. 조직은 사후 대응적 자산별 보안에서 알려진 재고 이외의 항목에 초점을 맞춘 검색 우선 접근 방식으로 전환해야 할 것입니다." -매튜스

이는 더 많은 업계의 기술 전문가로부터 수집한 광범위한 기술 동향 예측과 일치합니다. 2025년에는 사후 조치뿐만 아니라 보다 적극적인 조치가 필요할 것입니다.

결국 온라인 보안 사업에서도 마찬가지다. 도구와 프로토콜이 AI 기능, 제로 리스크 아키텍처, 위험 정량화 등 모두 악의적인 행위자와 사이버 보안 전문가 사이의 끊임없는 기술 향상 경쟁을 의미하며 진정한 끝은 보이지 않습니다.