AI와 IoT 확산은 기업의 보안 환경에 새로운 위협을 불러오고 있다. 빠른 개발 주기와 API 중심 아키텍처 확산으로 공격 표면이 확대되면서 전통적인 방어 방식만으로는 대응이 불가능한 상황이 나타나고 있다. 동시에 보안 예산 감소라는 현실 속에서도 조직은 더 많은 위협에 대비해야 하며, 공격적 보안 테스트와 커뮤니티 협력 중심의 전략이 필요하다는 목소리가 커지고 있다.

이러한 현실을 데이터와 사례를 기반으로 제시하며, 보안 리더에게 구체적 지침을 제공하기 위해 버그크라우드(Bugcrowd, CEO 데이브 개리)는 “2025년 CISO의 사고방식: AI 가속화 시대의 회복탄력성” 보고서를 발표했다. 이번 보고서는 전년도 수천 건의 공공·민간 취약점 공개 및 버그바운티 활동에서 수집된 수십만 건의 데이터 포인트를 분석했다.

분석 결과 IoT 확산으로 하드웨어 취약점이 88% 증가했으며, 보안 연구원의 81%가 지난 12개월 동안 새로운 하드웨어 취약점을 발견했다고 답했다. 네트워크 취약점은 두 배로 늘었고, API 취약점도 10% 증가했다.

또한 손상된 액세스 제어 취약점은 36% 증가해 최상위 위협으로 기록됐다. 민감한 데이터 노출은 42% 늘어나 심각한 취약성의 주요 원인으로 꼽혔다. 중요한 점은 심각한 취약점 발견에 대한 평균 지급액이 32% 상승했다는 것이다. 이는 보안 예산이 줄어드는 환경에서도 보안팀이 윤리적 해커의 발견에 점점 더 많은 투자를 하고 있음을 보여준다.

AI 확산과 공동 대응의 필요성

버그크라우드의 CISO 닉 맥켄지(Nick McKenzie)는 “AI 발전으로 보안 환경은 기하급수적으로 복잡해지고 있으며, 공격자들은 하드웨어와 API 같은 기반 계층을 여전히 노린다”고 지적했다. 그는 “어떤 CISO도 단독으로는 이 경쟁에서 승리할 수 없다”며 “해커 커뮤니티와의 지식 공유와 협력을 통해 새로운 위협에 대응해야 한다”고 강조했다. 이번 보고서는 공격적 보안 테스트와 커뮤니티 중심의 협력 전략이 회복탄력성 확보의 핵심임을 제시했다.

버그크라우드의 최고 전략 및 신뢰 책임자 트레이 포드(Trey Ford)는 “많은 CISO가 명확한 성공 척도 없이 보안 이니셔티브를 추진해 이사회의 지지를 얻는 데 어려움을 겪는다”고 밝혔다. 그는 “이번 보고서는 실질적인 보안 성과를 입증하는 증거 기반 프레임워크를 제공해 이러한 악순환을 끊는 것을 목표로 한다”고 설명했다. 또한 그는 “적대적 테스트와 객관적 측정을 활용하면 수동적 대응을 넘어 진정한 회복탄력성을 구축할 수 있고, 궁극적으로는 조직을 보호할 자원을 확보할 수 있다”고 덧붙였다.

이 보고서는 AI 지원 코딩을 통한 빠른 기능 출시 압박, API와 하드웨어 같은 새로운 공격 경로의 취약성, 민감한 데이터 보호 실패의 증가 등 CISO가 당면한 다양한 문제를 다뤘다. 더불어 보안 프로그램이 심각한 취약성에 대비해 시스템을 강화하는 방식과 성숙한 조직이 보여주는 측정 가능한 진전도 제시했다.

버그크라우드의 2025 CISO 보고서는 AI 가속화로 확대되는 공격 표면의 위험을 데이터 기반으로 보여주며, 하드웨어·네트워크·API 취약점 증가라는 현실을 구체적으로 드러냈다. 보고서는 공동 협력, 적대적 보안 테스트, 데이터 기반 리더십이 회복탄력성 확보를 위한 핵심임을 강조했다. 이는 보안 리더가 변화하는 위협 환경 속에서 전략적 투자를 설계하고, 이사회와 조직의 신뢰를 얻는 데 중요한 지침이 될 전망이다.