전 세계 기업의 디지털 환경은 클라우드 전환, 원격 근무, 생성AI 기반 서비스 확산으로 인해 사이버 위협에 노출되는 표면이 빠르게 확대되고 있다. 특히 AI 자동화 기술의 급격한 성장과 외부 공급망 의존도 증가로 인해 사이버 보안 담당자들이 직면하는 업무 강도와 위험 관리 복잡성이 높아지고 있다.

글로벌 기업들은 공격 형태가 다양화되면서 단순 방어 중심의 기존 체계만으로는 위협을 사전에 식별하고 완전한 가시성을 확보하기 어려운 상황에 직면하고 있다. 이로 인해 대응 속도와 효과가 저하되고, 보안 인력의 피로도가 급격히 증가하는 악순환이 나타나고 있다.

사이버 위험 관리의 어려움 심화

사이버 위험 인텔리전스 기업 비트사이트(Bitsight, CEO 스티븐 보이어)는 2025년 7월 29일 "2025년 사이버 위험 및 노출 현황" 보고서를 발표했다. 이 보고서는 500명 이상 직원을 보유한 전 세계 기업의 보안 및 위험 담당자 1000명을 대상으로 한 조사를 바탕으로 한다.

보고서에 따르면 응답자의 90%가 5년 전보다 사이버 위험 관리가 더 어려워졌다고 밝혔다. 주요 원인은 AI 기술의 폭발적 성장(39%)과 빠르게 확대되는 공격 표면(38%)으로 나타났다. 사이버 보안 및 위험 전문가 47%가 탈진을 경험하고 있으며, 위협에 대한 완전한 가시성을 확보한 담당자는 17%에 불과했다.

가시성 부족과 제3자 위험의 심각성

조사 결과, 사이버 보안 투자가 확대되고 있음에도 기업 중 29%만이 비즈니스 목표에 부합하는 공식 보안 프로그램을 운영하고 있으며 20%는 관행이 미숙하다고 답했다.

지속적인 모니터링 역량을 보유한 조직은 17%에 불과해 위협 탐지와 대응에 격차가 존재한다. 99%의 조직이 공급업체 위험을 평가하고 있지만 장기적인 모니터링을 수행하는 곳은 3분의 1에 그쳤고, 2024년 침해 사고의 30%는 제3자 연관으로 발생해 전년 대비 두 배 증가했다.

또한 사이버 리스크를 경영진에 효과적으로 전달하는 조직은 28%에 불과했으며, 자산 가시성이 높은 조직은 그렇지 않은 조직보다 경영진에게 효과적으로 보고할 가능성이 2.5배 높았다.

비트사이트 최고혁신책임자 스티븐 보이어(Stephen Boyer)는 “AI 자동화 위협이 가속화됨에 따라 기업들은 위험 관리의 기술적 복잡성과 보안 노력을 비즈니스 우선순위에 맞춰 조정해야 하는 필요성이 높아지고 있다”고 강조했다. 그는 지속적 모니터링과 사이버 위험 인텔리전스 기반의 포괄적 가시성이 효과적인 위험 관리와 보안팀의 번아웃 대응에 필수라고 언급했다.

보고서는 단순 취약성 관리에 머무르지 않고 데이터 중심의 자동화된 접근법을 도입해 변화하는 위협 환경에 대응할 것을 기업들에게 요구하고 있다. 이 결과는 기업 보안이 기술뿐 아니라 조직 운영 측면에서도 전면적인 변화가 필요함을 보여준다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.