사이버 보안 산업은 2025년 들어 규제 준수와 접근 통제의 복잡성 문제를 중심으로 실질적인 개선이 요구되고 있다. 금융 기관과 핀테크 기업들은 점점 더 강화되는 규제 환경과 복잡한 보안 요구 속에서 감사 대응과 특권 접근 제어에 대한 역량을 강화하고 있으나, 여전히 수동 관리와 자동화 부족으로 인한 리스크가 존재하고 있다.

제로 트러스트 접근 제어 전문 기업인 스트롱DM(StrongDM)은 이러한 문제를 진단하기 위해 보안, IT, 규정 준수 전문가 1000명을 대상으로 설문을 실시하였다.

감사 대응 역량과 접근 통제 현실 간의 간극

설문 결과에 따르면, 금융기관의 88.4%는 기습 감사를 통과할 수 있다고 자신하지만, 실제로는 49.3%가 감사 증거를 준비하는 데 매달 10시간 이상을 소모하고 있다. 이처럼 조직의 인식과 현실 간에는 명확한 괴리가 존재하고 있으며, 이로 인해 규정 준수 대응의 비효율성이 드러나고 있다.

조사에 따르면 주요 규정 준수 과제로는 타사 액세스 관리(35%), 최소 권한 추적(24.2%), 감사 로그 생성(23.1%)이 가장 많이 지적되었다. 이와 더불어 특권 접근 관리 측면에서도 문제점이 발견되었다. 전체 응답자 중 52%는 10~20개의 고위험 시스템을 운영하고 있으며, 이 중 실시간 접근 로깅을 도입한 기업은 35.3%에 불과하다. 나머지는 수동 승인(30.7%)이나 제한적 감사 기능을 가진 접근 제어(33.9%)에 의존하고 있었다.

일부 응답자는 직원 퇴사나 역할 변경 후에도 접근 권한이 해제되지 않은 상태가 장시간 유지될 수 있다고 지적했으며, 2.1%는 접근 상태에 대한 가시성이 전혀 없다고 답변했다. 한 참가자는 "시간이 많이 걸리고 시간도 낭비된다. 사용자 해지 및 접근 추적을 자동화해야 한다"고 강조하였다.

규정 준수는 여전히 시간 소모적인 업무로 나타났다. 전체 응답자의 49.3%는 매달 10~25시간을 감사 데이터 준비에 소비하고 있으며, 17.7%는 25시간 이상을 소요한다고 응답했다. 자동화된 프로세스를 활용하고 있는 조직은 45.2%에 불과하며, 여전히 다수는 수작업에 의존하고 있다. 5시간 미만을 소모하는 응답자는 전체의 4.8%에 그쳤다.

규제 부담 확대와 자동화 투자 전략

규제별로 보면 GDPR(19.4%)과 ISO 27001/27002(18.2%)가 가장 관리하기 어려운 규정으로 나타났으며, 그 뒤를 이어 SOX(10.9%), GLBA(8.4%), NYDFS(7.4%)가 주요 과제로 지목되었다. 이는 문서화와 지속적 통제 요구의 복잡성이 높기 때문인 것으로 분석된다.

앞으로의 전략적 투자 우선순위로는 실시간 감사 로그 솔루션(35.2%)과 규정 준수 자동화 플랫폼(25.1%), 자동 접근 제어 시스템(23.8%)이 꼽혔다. 이 외에 ID 수명 주기 관리(8.9%)와 타사 위험 모니터링(7.0%)도 관심을 받고 있는 것으로 나타났다. 이는 금융 기관들이 감사 및 규정 대응 역량을 실시간 기반으로 전환하고자 하는 의지를 반영한 것이다.

한 응답자는 "저희 규정 준수 프로그램에서 하룻밤 사이에 한 가지만이라도 수정할 수 있다면, 모든 시스템에서 정책 시행에 대한 완전 자동화되고 쉽게 감사할 수 있는 증거를 확보하는 것입니다"라고 말했다. 또 다른 응답자는 "수동 개입 없이 모든 시스템에서 최소 권한을 추적하고 적용할 수 있도록 접근 검토 프로세스를 자동화하고 간소화하겠다"고 답했다.

이번 조사 결과는 금융기관들이 감사 대비에 대한 자신감을 가지고 있으면서도, 실제 운영상 자동화 부족과 수작업 의존도가 높은 현실을 명확히 보여준다. 지속적인 규정 준수와 보안 강화를 실현하기 위해서는 단순한 정책 선언을 넘어서, 실시간 가시성 확보와 자동화 기반 접근 제어 시스템의 도입이 필수적임을 시사한다.