top of page

복합 위협 환경의 대응: Threatscape 기반 보안 우선순위 재설정

최종 수정일: 6월 3일

PAGO Gartner Security Risk Management Summit 현장 리포트


PAGO는 National Harbor, MD에서 개최되고 있는 2026 Gartner SRM Summit을 참관하고 현장에서 논의되는 핵심 보안 세션을 리포트로 연재하고 있습니다. 두 번째 순서로, 가트너의 2026~2027위협 환경을 활용한 대응을 다룹니다.


Outlook for Cybersecurity Threats: Prioritizing With Gartner’s 2026-2027 Threatscape by John Watts
Outlook for Cybersecurity Threats: Prioritizing With Gartner’s 2026-2027 Threatscape by John Watts

Executive Summary

John Watts는 지난 몇년간 랜섬웨어나 피싱과 같은 위협의 점진적 변화를 다뤄오다 올해는 다르다는 걸 느꼈다면서, “미토스(Mythos)나 글래스윙(Glasswing)의 발표, 그리고 우리가 패치할 수 있는 속도보다 더 빠르게 익스플로잇(취약점 공격)이 생성될 것이라는 개념 때문에 다르게 느껴진다”는 내용으로 세션을 시작했습니다. 


재규어 랜드로버(Jaguar Land Rover) 랜섬웨어 공격은 영국의 GDP에까지 영향을 미칠 정도로 엄청난 규모의 랜섬웨어 공격이었다는걸 언급하면서, 지난 몇 년 동안 우리가 보지 못했던 피해를 일으키는, 공격자들의 단계적인 변화(step change)를 설명했습니다. 이어 John Watts는 이번 세션을 통해 무수히 쏟아지는 위협 경고(Noise) 속에서 기업이 실제로 집중해야 할 핵심 신호(Signal)를 가려내는 방법을 제시했는데, 본 리포트에서는 가트너가 발표한 2026-2027 Threat Scape의 9대 핵심 위협과 예시를 설명하고, 기업의 보안 담당자들이 인지해야 될 내용을 다룹니다.



사이버 위협의 패러다임 전환: "올해는 다르게 느껴집니다"

John Watts는 현재의 공격들이 상호 연관된 체인을 형성하고 있다고 경고합니다. 제조 인프라를 마비시킨 대규모 공격도 결국은 서비스 데스크를 향한 초기 액세스 탈취에서 시작되었습니다. 


가장 주목할 만한 변화는 AI 위협의 급부상입니다. John Watts는 2019년 독일 프랑크푸르트에서 AI 관련 세션을 진행했을 당시, 참석자가 단 20명에 불과할 정도로 시장의 관심이 없었다는 일화를 소개했는데, 그러나 현재는 AI가 벤더의 마케팅 용어, 단순한 기술 트렌드를 넘어 공격자들이 외부 협력자 없이도 정교한 공격 체계를 스스로 설계하고 침투의 문턱을 획기적으로 낮추는 강력한 수단이 되었습니다. 이는 오프닝 키노트 리포트에서도 언급한 Script kiddies처럼 비전문가도 전문가처럼 공격할 수 있다는 관점에서 맥락이 같습니다.


2026-2027 Gartner Threatscape: 9대 핵심 위협

Threatscape는 가트너의 애널리스트들이 추출한 환경 내 위협에 대한 시각 자료입니다. 많은 전문가들이 각각의 위협을 살펴보고 이 모든 위협 정보와 소음을 실행 가능한 조치로 정제하기 위한 목적으로 제공되고 있다고 설명합니다. 


John Watts는 자금력이 막강한 국가 지원 해커나 이미 방어 체계가 확립된 기존 위협(랜섬웨어 등)을 제외하고, 기업이 당면한 전략적 위협 9가지를 세 가지 카테고리로 분류했습니다.


[전략적 위협 9가지 예시중 일부: Prompt Injection]


분류 및 위협명

핵심 내용 및 2025/2026 통계 데이터

예측 불가능한 위협 (Unpredictable)

1. 에이전틱 자동화 하이재킹 

(Agentic Automation Hijack)

2. AI 애플리케이션 침해 

(AI Application Compromise)

3. AI 증강 공격 

(AI Augmented Attacks)

  • 2025년 AI 관련 CVE(취약점)는 2,130건으로 전년 대비 34.6% 급증

  • 자율성을 가진 오픈 소스 기반 AI 에이전트가 탈취될 경우 막대한 데이터 악용 위험  존재

  • APT36 그룹은 보안 탐지를 피하기 위해 AI 코딩 도우미를 활용하여 일반적인 검사 대상이 아닌 'Crystal Reports' 기반의 악성코드를 생성하는 등 창의적인 공격을 전개

중대 위협 (Critical)

4. 딥페이크 

(Deep Fakes)

5. 프롬프트 인젝션 

(Prompt Injection)

6. SW 공급망 공격 

(Software Supply Chain)

  • 조직의 62%가 사회공학적 기법이나 자동화 프로세스 악용을 포함한 딥페이크 공격을 최소 한 번 이상 경험

  • GTI 분석에 따르면 2025년 11월에서 2026년 2월 사이 '간접 프롬프트 인젝션'이 32% 증가하였으며, 공격자들은 RAG 시스템이 수집하도록 인터넷에 악성 프롬프트를 삽입

  • 서드파티 취약점이 존재하는 애플리케이션의 62%가 오픈소스 취약점이 존재하며, GitHub을 통해 전파되는 최신 웜 형태와 npm 패키지 타겟 공격이 성행

구조적/예상 위협 

(Structural & Anticipated)

7. 경계 취약점 

(Perimeter Exploits)

8. 사이버 물리 시스템 

(CPS Compromise)

9. AI 인프라 공격 

(AI Infrastructure Attacks)

  • 버라이즌 데이터 유출 보고서에 따르면 취약점 악용이 피싱을 제치고 ‘최고의 초기 액세스 벡터’로 등극

  • 2025년 119개의 랜섬웨어 그룹이 산업 조직을 표적으로 삼았으며 이는 전년 대비 64% 증가한 수치

  • 조직의 13%가 AI 모델이나 애플리케이션과 관련된 침해를 보고하였으며, 자원 갈취를 위한 GPU 하이재킹 및 LLM 토큰 무단 사용이 포함

[전략적 위협 9가지 예시중 일부: AI-Augmented Attacks]



현장의 딜레마: 완벽한 기술 대신 현실적 프로세스

이번 세션이 MDR Service를 제공하는 입장에서 와닿았던 이유는 최신 기술을 나열하는 데 그치지 않고, 기업 내 보안팀이 겪는 ‘현실적인 장벽’을 솔직하게 짚어내어 설명했기 때문이라고 생각합니다. PAGO가 사고 대응 활동을 하다 보면 ‘인식 제고’ 라는 현실적 대응을 요구하는 상황이 적잖이 발생합니다. John Watts는 보안 프로세스가 현장에서 어떻게 무너지는지 그 딜레마를 언급하고, 이를 극복할 현실적인 설명을 덧붙였습니다.


기술의 맹점을 파고드는 ‘딥페이크’


  • 현장의 딜레마: 딥페이크로 위조된 임원의 긴급 송금 지시 앞에서는 철통같은 보안 수칙도 무용지물이 된다고 John Watts는 설명합니다. 이유는 인사상 불이익에 대한 두려움이 프로세스를 압도하기 때문입니다.

  • 실무 대응 방안: 위협을 탐지할 수 있는 도구 도입에 앞서, “우리는 절대 전화만으로 자금 이체를 지시하지 않는다”는 경영진의 명확한 사전 지시가 필요합니다. 또한, 시스템 수준의 다중 승인(Dual-approval)을 강제화하고, 가짜 IT 직원 위장 채용을 막기 위해 대면 인터뷰 및 오프라인 기기 수령을 의무화하는 방식의 마찰을 감수해야 한다고 설명합니다.


이상과 현실의 괴리


  • 현장의 딜레마: Salesloft Drift 사고 사례에서 최소 3개의 보안 벤더에서 탐지하지 못했다고 설명하면서, 클라우드 환경에서 위협을 탐지하려면 고급 로깅 설정이 필수적이지만, 막대한 비용이 수반된다고 언급했습니다. 아울러 비즈니스 부서에 “보안 예산을 40% 늘려달라”고 요구하는 것은 불가능에 가깝다는게 John Watts의 의견이었습니다.

  • 실무 대응 방안: 무작정 예산 증액을 요구하기보다, 비즈니스 부서와 ‘시스템 중단 시 발생하는 기회비용’을 수치화하여 선행 논의를 거쳐야 하며, 이후 가장 중요한 핵심 SaaS에 한정하여 강화된 텔레메트리(Telemetry) 및 로깅 예산을 우선 배정하는 타협이 필요하다고 설명합니다.


기업내 프로세스와의 딜레마


  • 현장의 딜레마: 폭증하는 공격을 막는 기본은 ‘신속한 패치’지만, 과거 패치 오류로 주요 시스템이 다운되었던 뼈아픈 경험이 있는 조직은 안정성을 이유로 패치를 기피하는 갈등을 겪습니다.

  • 실무 대응 방안: 모든 공격을 사전에 막아내려다 비즈니스를 멈추는 우를 범해서는 안되며, 위협의 맥락(Kill Chain)을 끊어내는 Detection & Response 역량을 유지하면서, 당장 패치가 어렵다면 취약한 구형 서비스(예: 기존 SSLVPN)를 아예 비활성화하거나 IPsec으로 대체하는 ‘노출 축소’ 조치를 즉각 실행해야 한다고 설명합니다.


어떻게 적응할 것인가? 우선순위와 CTEM 프레임워크

조직의 자산과 예산은 한정되어 있으므로, 20개의 위협 지표를 모두 방어할 수는 없습니다. John Watts는 위협의 우선순위를 다음과 같이 판단하라고 권고 했습니다.

  • 관련성(Relevance), 시급성(Urgency), 성숙도(Maturity), 기회비용(Opportunity cost), 측정 가능성(Measurability)



이를 실행하기 위한 방법론으로 지속적 위협 노출 관리(CTEM, Continuous Threat Exposure Management) 프레임워크를 제시했는데, 이는 무조건적인 보안 솔루션 확장이 아니라 공격자들에 맞서 방어 체계를 어떻게 조정해야 하는지 파악하는 반복적인 노출 관리 프로세스라고 설명합니다.


  1. 범위 지정(Scoping) 및 발견(Discovery): 조직의 IT/OT 환경에 어떤 노출이 있는지 파악

  2. 우선순위 지정(Prioritization) 및 검증(Validation): 실제 비즈니스에 치명적인 영향 선정

  3. 이행(Mobilization): 단순히 패치를 적용하는 것뿐만 아니라, 문제가 되는 서비스 개선 



Conclusion

가트너의 2026~2027 Threatscape 세션은 사이버 보안 실무자들에게 더 이상 새로운 위협이 등장할 때마다 단편적인 기술 도입에 급급해서는 안 된다는 내용을 전달합니다. USB 물리적 공격부터 AI 증강 공격, 정교한 딥페이크 사기까지 위협의 스펙트럼은 극도로 넓어졌습니다. 본 세션에서 제시하는 건 완벽하게 보호하기 위한 계획이나 설계, 조치보다는 한정된 자원과 한계를 직시해야 한다는 것입니다. 


CTEM과 같은 체계적인 프레임워크를 기반으로 기업 고유의 비즈니스 임팩트에 맞춰 위협의 우선순위를 정하고, 기술적 탐지와 함께 보안 운영 프로세스를 개선하는 형태로 발전시켜 나가야 된다는게 핵심입니다. 이 리포트는 보고 된 위협 사례를 기반으로 우선순위를 어떻게 설정해야 되는가에 대한 내용을 담고 있으며, 이어질 연재에서는 보안 운영과 관련된 내용을 더 자세하게 다루고자 합니다.


작성자: 권표 CPTO | DeepACT MDR Center

bottom of page