디지털 전환이 가속되면서 인공지능(AI)과 클라우드는 기업과 정부 혁신의 핵심 동력이 됐다. 그러나 최근 S사·K사·C사 등 주요 기업의 대형 보안 사고는 디지털 환경에서 보안 사고가 곧 비즈니스의 근간을 흔드는 치명적 리스크임을 보여줬다. 실제 2024년 글로벌 데이터 유출 사고의 평균 비용은 488만달러(약 65억원)에 달했고, 국내외에서는 조 단위 손실과 브랜드 신뢰도 추락으로 이어진 사례도 나왔다. 이제 디지털 시대의 보안 경쟁력은 곧 비즈니스 경쟁력이자 기업 존립을 좌우하는 경영 변수가 됐다.
이처럼 보안의 전략적 가치가 커졌지만 지난해 전례 없는 사고가 이어지며 위기감은 더 커졌다. 발생 빈도와 피해 규모, 비즈니스 중단 영향은 매년 최고치를 경신하고 있다. 원인은 분명하다. 디지털 전환으로 공격 표면은 급증했고, 기술 발전 속도는 보안 대응을 앞서며 복잡성을 키웠다. 통합되지 못한 보안 기술은 사일로로 분절돼 감시 사각지대를 만들었다. 여기에 AI와 서비스형 랜섬웨어(RaaS)의 결합으로 공격은 더 정교해졌고 범죄 진입 장벽은 더 낮아졌다. '우리는 안전할 것'이라는 낙관 편향, 만성적 인력 부족, 낮은 조직 위상도 대응 한계를 키운다.
이런 위협 확산에도 기업의 대응 체계는 구조적 문제를 드러낸다. 아이덴티티 중심 침해 대응 역량 미비, 클라우드·쿠버네티스 가시성 부족, 공급망 리스크 확대 등 기술적 문제도 있지만, 본질은 '기술 부족'이 아니라 경영 전략 차원의 구조적 무관심이다. 핵심은 세 가지다.
첫째, 경영진이 보안의 전략적 중요성을 정량적으로 이해하지 못해 투자 부실로 이어진다. 지난해 보안 공시 기업 773개의 기술 부문 대비 정보보호 투자 비율은 평균 6.28%로, 미국의 11~13% 수준에 비해 절반에 그친다. 인력도 정보기술(IT) 인력 대비 6.7%에 불과하고, 공시 대상 중 보안 인력이 한 명도 없는 기업도 228개다. 공시 기업이 국내 전체의 0.01% 수준에 불과하다는 점을 감안하면, 나머지 99% 기업의 현실은 더 취약할 가능성이 크고 인력 부재는 더 심각할 수 있다.
둘째, 위협의 본질을 꿰뚫고 통합 보안 체계를 설계할 전문가가 부족하다. 현장에는 보안 담당자가 많지만 상당수는 특정 기술을 다루는 엔지니어다. 컴플라이언스, 정책, 아키텍처, 다층 기술을 아우르며 전사 보안 형상을 파악하는 인력은 드물다. 공격자는 전체 관점에서 약한 고리를 찾는데, 방어는 여전히 파편화된 기술 대응에 머물러 있다.
셋째, 보안 사일로가 대응 효율을 무력화한다. 기업은 적게는 20개, 많게는 70개 이상의 솔루션을 운용하지만 유기적으로 연동되지 않아 복잡성만 키운다. 대형 사고를 겪은 기업조차 100개 가까운 솔루션을 도입하고도 우회 침투를 막지 못했다. 파편화된 기술이 전사 가시성을 확보하지 못했기 때문이다. 특히 클라우드·AI 보안은 기존 체계와의 통합이 더 까다로워 탐지와 실시간 대응을 어렵게 만든다.
이제 보안은 더 이상 IT 이슈가 아니다. 기업 존립을 좌우하는 경영 리스크다. 따라서 세 가지 전환이 필요하다.
우선 보안을 최상위 경영 의제로 격상해야 한다. 정보보호 투자는 기술 부문 대비 평균 6%에서 최소 12% 수준으로 높이고, 사고 이후 복구가 아니라 사고 이전 예방 중심으로 전환해야 한다. 공격 표면, 취약점 처리 리드타임, 핵심 자산 커버리지, 규제 리스크, 서비스 중단 비용을 경영 언어로 설명할 수 있어야 한다.
또 특정 기술 엔지니어가 아니라 정책·컴플라이언스·아키텍처·운영을 통합적으로 설계할 수 있는 보안 전문가를 확보해야 한다.
마지막으로 보안을 소비하고 제공하는 방식을 바꿔야 한다. 보안은 집단지성과 운영 노하우가 핵심이며, 단위 기술 나열보다 '통합 운영'이 성패를 좌우한다. 따라서 기업은 솔루션을 계속 덧붙이는 방식에서 벗어나, 여러 보안 소프트웨어(SW)와 운영 역량을 함께 제공하는 통합 서비스(vCISO)를 적극 활용해야 한다. 시간이 갈수록 보안은 더 복잡해지고 내재화 난이도는 높아질 가능성이 크다.
보안 기업도 단품 판매 중심에서 고객의 제품 통합과 운영 노하우를 함께 제공하는 서비스형 모델로 진화해야 한다. 보안은 병원·은행처럼 '기술+전문가+운영'이 결합된 통합형 제품이어야 하며, 이 전환을 위해 수요자와 공급자 모두의 노력이 필요하다.
정현석 아톤 시큐리티센터장 jhs@atoncorp.com
