2025년 사이버 보안 전략은 기술보다 규정 중심으로 전환되고 있다. 유럽연합(EU)의 NIS2, DORA, 사이버 복원력법과 같은 사이버 보안 규정이 기업의 보안 투자, 아키텍처 설계, 공급업체 선택에 실질적인 영향을 미치고 있다. 이는 단순한 규정 준수를 넘어서 조직의 보안 운영 전반을 형성하는 기준이 되고 있다.

오픈시스템(Open Systems)은 독일, 영국, 오스트리아, 스위스의 보안 의사결정권자 371명을 대상으로 설문조사를 진행한 결과, CIO 및 CISO의 48%가 명시적으로 유럽 기반 보안 공급업체를 요구하고 있으며, 전체 조직의 43%, C레벨 임원의 72%가 EU 규정이 전략 수립과 공급업체 선정에 지대한 영향을 미친다고 응답했다.

규제 중심의 전략 전환과 보안 주권 강화

조사에 따르면 사이버 보안에서 주권 개념이 백오피스를 넘어 이사회 의제로 확장되었다. 오픈시스템 이사회 의장 다니엘 거버는 “규정 준수는 이제 전략, 아키텍처, 공급업체 후보 결정의 동인이 되고 있다”고 밝혔다. 이는 유럽 내 보안 주권 강화와 글로벌 공급망 의존도 완화에 대한 수요 증가로 이어지고 있다.

CIO와 CISO들은 공급업체 종속성보다 규제 정렬과 인증, 주권 보장을 우선시하고 있으며, EU 호스팅, 제로 트러스트, 감사 준비 등을 갖춘 플랫폼을 선호하는 경향이 뚜렷하게 나타났다. 오픈시스템 CTO 마르쿠스 에렌만은 “보안 리더는 규제에 대응하는 수준을 넘어, 규정을 중심으로 팀과 아키텍처를 재구성하고 있다.”라고 설명했다.

관리형 서비스의 역할 확대와 공급업체 요건 변화

이번 조사에서 보안 리더들은 복잡한 기술 환경에서의 실행 격차를 지적했다. 하이브리드 인프라와 멀티 클라우드 도입, 그리고 기술 격차는 여전히 주요한 도전 과제로 남아 있으며, 이를 해결하기 위한 관리형 서비스에 대한 수요가 증가하고 있다.

응답자의 55%는 유럽 공급업체를 선호하며, 70%는 규정 프레임워크로부터 실질적인 압력을 받고 있다고 밝혔다. 반면, 공급업체 종속성에 대한 우려를 주요 요인으로 꼽은 응답자는 25%에 불과했다. 이는 규정 적합성과 실행력 중심으로 공급업체 평가 기준이 변화하고 있음을 시사한다.

공급업체는 각 조직의 구조 및 위험 프로필에 맞춘 아키텍처 설계와, 배포 후 구성 및 운영에 대한 긴밀한 기술 지원을 제공해야 한다. 특히 내부 인력이 부족한 조직에 대한 팀 연장선 역할 수행이 요구되고 있다.

규정 주도 IT 프로젝트 우선순위와 산업별 요구

설문조사 응답자들은 EU 규정 영향으로 인해 ▲보안 운영 및 사고·감사 대응(45%) ▲데이터 투명성 및 가시성 확보(SIEM 등)(37%) ▲IT/OT 융합 보안(36%) 등 세 가지 IT 프로젝트를 우선 추진하고 있다고 밝혔다.

이와 함께 보안 공급업체에 대한 새로운 기대도 형성되고 있다. 보안 사고 발생 시 지속 가능한 운영 방안, 보안 데이터의 위치와 접근 방식에 대한 투명성, 실시간 대시보드·드릴다운·API를 통한 접근 가능성 등이 중요하게 부각되고 있다.

산업별로는 제조업의 48%, 금융 및 의료 분야 응답자의 44%가 OT 보안을 시급한 과제로 지목했다. 이는 보안 제공업체가 OT 방화벽, ZTNA 기술뿐 아니라 현실적인 아키텍처 설계와 변환 계획을 제시할 수 있는 컨설팅 역량을 갖춰야 함을 보여준다.

이번 조사는 2025년 2분기에 시행되었으며, DACH 지역(독일, 오스트리아, 스위스)과 영국의 다양한 산업군에서 근무하는 IT, 인프라, 보안 담당 임원 및 관리자 371명이 참여했다. 응답자는 C레벨, 중간 관리자, 기술 전문가 등 다양한 역할을 균형 있게 대표하고 있다.

2025년 유럽의 사이버 보안 전략은 기술 효율성 중심에서 규제 중심으로 재편되고 있다. 이는 공급업체 평가 기준의 변화뿐 아니라, 기업 내부의 보안 설계와 운영 방식 전반에 걸쳐 결정적인 영향을 미치고 있으며, 유럽 공급업체 중심의 시장 환경 재편을 가속화하고 있다.