디지털 전환과 보안 위협이 동시에 확산되는 환경에서, 사이버 위험 관리(CRM: Cyber Risk Management)는 더 이상 규정 준수 중심의 기능에 머무르지 않는다. 오늘날 기업은 보안을 경영 전략의 일부로 통합하고 있으며, 사이버 위험 데이터를 투자, 운영, 이사회 의사결정에 적극적으로 활용하고 있다. 자동화와 인공지능(AI), 그리고 정량적 위험 분석 모델은 이를 가능케 하는 주요 수단으로 자리잡고 있다.

페어 연구소(FAIR Institute)가 가이드포인트 시큐리티(GuidePoint Security)와 세이프(SAFE)의 후원으로 ‘2025 사이버 위험 관리 현황 보고서’를 발표했다. 이 보고서는 전 세계 402명의 사이버 위험 리더의 인사이트를 기반으로, 현대 기업이 디지털 리스크를 어떻게 관리하고 비즈니스 가치와 연결하고 있는지를 정리했다. 보고서는 CRM이 이제 고립된 IT 리스크가 아닌 경영진의 전략적 의사결정에 직접 영향을 주는 요소로 발전했음을 보여준다.

CRM, 전략적 경영 도구로 부상

보고서에 따르면, 성숙한 CRM 프로그램을 운영하는 조직은 ▲신뢰도 향상 ▲조직 간 협업 강화 ▲보안 지출 최적화 ▲위험 감소 ▲적극적인 보안 태세 강화 등 다양한 성과를 보고했다. CRM은 단순한 규정 준수가 아닌, 비즈니스 위험-수익 균형에 기여하는 역량으로 평가되고 있다. 특히 기술 경영진인 CTO, CIO, CISO, CRO 등이 사이버 위험 정보를 전략 수립, 투자 결정, 자원 배분의 핵심 도구로 활용하고 있다.

FAIR 연구소 이사회 멤버이자 텍사스 뮤추얼 보험사의 CISO인 존 샙은 “사이버 리스크 관리는 점점 더 데이터 중심적이고, 비즈니스 가치에 정렬된 방향으로 진화하고 있다”고 밝혔다. 그는 이 보고서가 리스크 관리가 규제 중심을 벗어나 실질적인 사업 가치를 창출하고 있음을 보여준다고 평가했다.

정량화된 리스크 모델과 AI 자동화 도입 확산

응답자의 약 절반은 사이버 위험을 재무적 수치로 표현할 수 있는 FAIR(정보 위험 요인 분석) 모델을 사용하거나 도입 계획이 있다고 밝혔다. 이는 위험 정보를 보다 명확하고 신뢰 가능한 방식으로 경영진에게 전달하려는 시도로 해석된다. 보고서는 이러한 정량화 모델의 도입이 조직의 보안 커뮤니케이션을 한층 강화한다고 분석했다.

또한, 응답자의 70%는 CRM의 상당 부분 또는 전부를 자동화했으며, 거의 절반은 AI 기반 기능을 도입해 리스크 관리 프로그램을 확장 및 고도화하고 있다. AI는 위협 탐지, 분석 자동화, 리스크 예측 등 다양한 영역에서 활용되고 있으며, 운영 데이터를 CRM 시스템에 통합하는 것도 일반적인 관행으로 자리잡고 있다.

CRM 수요 증가와 이사회 관여 확대

조직 내 CRM에 대한 수요는 빠르게 증가하고 있다. 전체 응답자의 대부분은 내부 CRM 수요가 증가하고 있다고 응답했으며, 특히 성숙도 높은 조직 중 25%는 “수요가 크게 증가했다”고 밝혔다. 이러한 흐름은 사이버 리스크 관리가 기존의 보안 부서만의 과제가 아닌, 전체 조직이 공유하는 사업 전략의 일부로 전환되고 있음을 보여준다.

이사회 참여 수준에 있어서는 여전히 과제가 존재한다. 대다수 응답자는 이사회 차원에서 리스크 허용 수준이 정의되어 있다고 답했지만, 실제로 이사회가 사이버 위험 정보를 정기적으로 활용하는 조직은 절반 미만에 그쳤다.

이에 대해 JC2 벤처스(Ventures) 파트너이자 상장기업 이사회 멤버인 이베트 카누프는 “이사회가 리스크 선호도를 명확히 정의하는 방향은 긍정적”이라면서도, “정량적 리스크 정보가 CIO, CISO의 정기 보고 체계에 더 깊이 통합될 필요가 있다”고 밝혔다.

워싱턴 주립대학교의 CISO 마이클 월터스는 “페어 모델을 통해 위험을 달러 단위로 정량화한 것이 경영진과의 소통에 매우 효과적이었다”고 설명했다. 그는 사이버 리스크가 단순한 기술 이슈가 아니라, 실제 비즈니스에 영향을 미치는 요소로 인식되기 시작했다고 평가했다.

페어 연구소는 이번 보고서를 통해 CRM을 비즈니스 운영에 통합하는 전략, 조직 내부의 저항과 거버넌스 한계를 극복하는 모범 사례, 그리고 정량화·자동화·AI 기반 접근 방식이 어떻게 현대 보안 전략의 핵심으로 자리잡고 있는지를 명확히 했다. 이는 향후 사이버 보안이 기업 내에서 더욱 전략적이고 측정 가능한 가치 창출의 수단으로 자리잡을 가능성을 시사한다.