디지털 전환과 함께 사이버 공격의 양상이 빠르게 진화하고 있는 가운데, 기술 중심 보안 체계만으로는 내부 위험 요인을 충분히 제어하기 어려운 환경이 조성되고 있다. 특히 원격 협업, 생성AI 도입, 클라우드 기반 업무 환경 확산 등은 인적 행동이 보안의 주요 변수로 떠오르게 만들고 있다.

이에 따라 단순한 보안 인식 교육을 넘어, 실시간 행동 기반 위험 가시성과 맞춤형 개입 전략을 포함한 인적 위험 관리(HRM) 체계의 중요성이 기업 전반에서 빠르게 부상하고 있다.

고위험 사용자 소수 집중, 인적 위험 대응 시급

인적 위험 관리 전문 기업 리빙 시큐리티(Living Security)는 사이엔티아 인스티튜트(Cyentia Institute)와 함께 ‘2025년 인적 사이버 위험 현황 보고서(2025 State of Human Cyber Risk Report)’를 발표했다.

보고서에 따르면, 전체 직원의 단 10%가 사이버 위험의 73%를 유발하고 있으며, 위험은 조직 내 특정 사용자에 집중되어 있는 것으로 나타났다. 이 데이터는 100개 이상의 기업, 수억 건의 사용자 이벤트를 분석한 결과로, 인적 요소 기반 보안 전략의 중요성을 입증한다.

보고서는 전통적인 보안 인식 교육(SAT)에만 의존하는 조직이 실제 위험 행동의 12%만 파악할 수 있다고 분석했다.

반면, 성숙한 HRM 프로그램을 운영하는 조직은 그보다 5배 높은 수준의 가시성을 확보하며, 고위험 사용자 수를 50% 줄이고 고위험 행동 기간을 60% 단축시켰다. 이는 행동 기반 개입이 단순한 교육보다 훨씬 효과적임을 보여준다. 특히 원격 근무자나 비정규직 근로자가 오히려 낮은 위험군으로 분류되는 결과는 기존의 인식과 다른 분석 결과다.

행동 기반 보안 전략을 위한 데이터 기반 모델 도입

리빙 시큐리티는 이 보고서에서 행동 정렬 모델과 페르소나 기반 통찰력을 통해 역할별, 산업별, 접근 수준별 위험 분포를 정량화하고 있다. 조직별로 인간의 행동 패턴을 식별하고, 이에 따른 예측 가능한 개입을 실행함으로써 보안 효율성을 높일 수 있는 기반이 마련된 것이다. 특히 이 회사의 ‘유니파이(Unify)’ 플랫폼을 사용하는 조직은 사용자 행동 데이터를 기반으로 보안 조치를 설계해 고위험 군 사용자 수와 노출 시간을 현저히 줄이는 데 성공했다.

리빙 시큐리티의 CEO 애슐리 로즈(Ashley Rose)는 “사이버 보안은 더 이상 기술의 문제가 아니라 행동의 문제”라고 강조했다. 그는 “누가 위험한지, 왜 그런지를 알지 못하면, 문제를 해결하는 것이 아니라 증상만 쫓는 셈”이라고 경고했다. 보고서는 조직 내 사이버 보안 리더들이 단순한 교육 프로그램이 아닌, 행동 가시성과 ROI 중심 전략을 수립해야 한다고 제안한다.

이번 보고서는 생성AI와 디지털 협업 툴이 보편화되는 시대에 맞춰, 보안이 기술 중심에서 인간 중심으로 이동하고 있음을 보여준다. 사이버 복원력을 위해서는 단순히 기술 보호를 넘어서, 인간의 행위가 언제, 어디서, 어떤 방식으로 위협으로 전환될 수 있는지를 식별하고 통제하는 능력이 핵심이 되고 있다. 보고서는 기업이 공유된 가시성과 표준, 책임 기반의 프레임워크를 도입함으로써, 인간과 AI 모두를 대상으로 한 보안 전략을 수립해야 함을 강조한다.

2025년 인적 사이버 위험 보고서는 사이버 보안의 중심이 기술에서 사람으로 이동하고 있음을 명확히 보여준다. 기업은 단순한 보안 인식 훈련에서 벗어나, 행동 기반 HRM 전략과 실시간 데이터 분석을 통해 실제 위협을 식별하고 대응해야 한다. 이는 보안 투자 효율성을 극대화하고, 조직 전반의 복원력을 향상시키는 핵심 전략이 될 것이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.