[Gartner SRM Summit 2025] Opening Keynote

Jun 9-11, 2025 | National Harbor, MD

• 발표자

  • Leigh McMullen (Gartner Distinguished VP Analyst)

  • Katell Thielemann (Gartner Distinguished VP Analyst)

• 오프닝 키노트 주제

  • Harness the Hype : Turning Disruption into Cybersecurity Opportunity

(하이프를 활용하다 : 혼란을 사이버보안 기회로 전환)

최근 정말 빠르게 변화하고 불확실한 시기에서, CISO 및 보안 리더가 사이버 보안을 관리하는 방법이 필요합니다. 2025년 현재의 상황은 글로벌 하게 전례 없는 큰 변화가 특징이며, 이렇게 급변하는 상황 자체가 사이버 보안 분야에 예상치 못한 큰 충격을 주고 의도하지 않은 결과를 초래할 수도 있는 불안정성을 제공할 수도 있습니다. 이 상황을 극복하고 성공하기 위해서 다양한 하이프(Hype) 를 극복하고, 혼란한 상황을 사이버 보안을 다듬을 수 있는 기회로 전환시켜야 한다는 관점에서, 오프닝 키노트 세션은 다음과 같이 세가지 가이드 라인을 제시했습니다.

• 첫째, Mission-Aligned : 조직의 목표에 맞춰 사이버 보안 노력을 조율하는 투명성, 특히 보호 수준 협약 (PLA : Protection-Level Agreements)와 성과 중심 지표 (ODM : Outcome-Driven Metrics)의 공동 활용을 강조했습니다.  보안을 투자할 때, 100% 보호를 보장할 수 있는 방안은 없으나, 기업이 원하는 보호 수준을 제공하기 위해 지출할 예산에 대한 공식적인 합의 지표를  보호 수준 협약(PLA) 이라고 합니다. 그리고, 전통적인 보안지표인 KPI 또는SLA와는 달리 보안활동의 결과와 비즈니스 목표에 직결되는 성과중심의 측정 방식을 성과 중심 지표(ODM) 이라고 합니다. 즉, 현재처럼 불확실성이 강한 시점에는 보호수준협약(PLA) 방식과 성과중심지표(ODM) 를 함께 사용하는 방안을 적극 도입하게 되면, 보안투자와 성과를 종합적으로 측정하여 실제 기업의 보안 및 보호 수준을 높여 나갈 수 있게 됩니다. 즉, 좀 더 쉽게 접근하게 되면, 랜섬웨어 예방 솔루션 도입에 대한 ROI만 극단적으로 계산하는 것이 아니라, 이를 통한 보안 수준 향상 및 실제 운영 데이터를 바탕으로 “비용 – 효익의 투명한 분석 및 트레이드 오프” 라는 관점에서 사이버 보안의 체질 개선을 해 나가야 합니다.

• 둘째, Innovation-Ready : 인공지능(AI)의 중요성, 특히 AI 활용 능력을 개발하고 AI 보안 도구를 실험하며 조직의 AI 투자를 보호하는 것을 강조했습니다. AI는 전례 없는 하이프 환경의 대상이지만 이를 무시할 수 없으며 사이버 보안은 많은 기업이 생성형 AI 및 AI 에이전트에서 실제 가치를 찾기 시작해야만 하는 미션을 수행해야 합니다. 최근 1~2년 사이에 코드 분석, 위협 헌팅 및 모델링, 사용자 및 시스템 행위 분석, 코드 취약점 자동 교정 도구, 정책 챗봇과 같은 성공적인 사례들이 사이버 보안 영역에서 AI가 구현될 수 있다는 것으로서 지속적으로 증명되고 있습니다. 이번 가트너 서밋 컨퍼런스 동안 AI와 관련된 많은 세션을 통해서, 각 기업의 사이버 보안에 적합한 AI 적용 모델을 벤치마킹 하고 실제 적용을 고려하시는 방향을 설정해 봐야 합니다. 이는 업무 생산성, 보안성, 직원만족도, 재정적 영향까지 고려하는 것이 바람직합니다. 더불어 기업의 공식 AI 플랫폼이 아닌, 개인들이 사용중인 Shadow AI 를 무조건 금지하는 방향성 보다는 보안 지침을 수립 및 교육을 실행하는 유연성이 필요합니다. 이를 위해 기업에서 공식 승인하지 않은 생성형 AI 도구를 파악, 추적 및 공동 평가를 통해서 기업 비즈니스 요구 조건과 위험 관리를 기반으로 임직원들이 사용가능 한지에 대한 여부를 결정해 나가야 합니다. 사이버 보안은 AI에 적극적인 투자를 해야 하는 AI 보호 방향성과 AI를 이용한 위협에 대처해야만 하는 양면성을 가진 독특한 위치에 있는 것이 사실이지만, AI 적용이 필수인 상황을 인지하고 능동적으로 대처해 나가야 합니다.

• 셋째, Change-Agile : 변화 관리 전략을 논의하며, 사이버 보안팀의 번아웃(Burnout)을 방지하기 위해 확실성을 만들고, 팀원들에게 자율성을 부여하며, 지루한 작업을 자동화하기 위해 AI를 활용하는 것의 중요성을 강조했습니다. 앞서서 2025년 현재 모든 분야에서 전례 없는 변화를 경험하고 있으며, 이는 사이버 보안과 같은 분야에서 의도치 않게 직원들의 변화 피로(Change Fatigue) 를 유발시키며 번아웃(Burnout)으로 연결되는 사례가 심심치 않게 발생합니다. 사이버 보안 분야에서 번아웃은 단순하지 않으며, 보안 침해와 직접 연결될 수 있습니다. 즉 “번아웃은 침해를 낳는다 (Burnout breeds breaches)” 는 문구와 일맥 상통합니다. 왜 이런 현상이 발생할까요? 예상치 못한 변화는 업무 환경의 불확실성을 의미하며 기업 구성원의 번아웃 또는 이직 의도와 직접 연결될 수 있기 때문입니다. 더불어 잦은 변화는 업무 주체성을 설정할 수 없다는 이슈도 발생합니다. 또 지루하고 반복적인 업무 형태는 번아웃을 발생시키는 주요 원인이기도 합니다. CISO 또는 보안 리더 입장에서는 혼란이나 저항을 유발할 수 있는 불확실성의 변화를 예상할 수 있는 방안을 찾고 주기적으로 투명한 소통과 정기적인 업데이트를 통해서 임직원과 신뢰를 형성하는 것이 아주 중요합니다. 또 주체성 부문에서도 임직원들에게 간단한 전술적 자율성을 부여하여, 본인들 스스로가 권한을 부여 받고 팀의 일원이 되어 있으며, 기업의 큰 목표에 연결되어 있다는 점을 스스로 느낄 수 있게 도와야 합니다. 사이버 보안 부문에서는 수직적인 조직 문화 보다는, 상호 의견을 제시하고 보완할 수 있는 체제로서 변화 관리 아이디어가 서로에게 크라우드 소싱 될 수 있는 환경을 조성하고, 변화로 인한 영향에 대해서 솔직한 의견 교환할 수 있는 분위기가 마련되어야 합니다. 지루하고 반복적인 업무 형태의 경우에는 AI 도입을 적극.

  
  

정리 …

AI, 지정학적 긴장, 기술 혁신 등으로 인한 하이프(hype)의 물결을 위협이 아닌 전략적 기회로 전환해야 합니다. CISO와 보안리더는 기술에 대한 과도한 기대와 공포를 균형 있게 관리하며, 하이프를 활용한 보안 투자 정당화, 이해관계자와의 신뢰 강화, 전략적 리더십 강화를 수행해야 합니다. 핵심은 “혼란 속에서도 방향을 잡고, 기술과 리스크를 도구로 삼아야 한다” 입니다.

• 하이프는 선택이 아니라 환경입니다. 그것을 기회로 만들 수 있는 사람이 진정한 보안 리더입니다

• 기술은 문제 해결 도구가 아닙니다. 기술에 대한 우리의 기대와 태도가 문제 해결의 열쇠입니다

• 보안은 이제 비용 중심 부서가 아니라, 회복력과 신뢰를 설계하는 비즈니스 자산입니다

작성자 – 파고네트웍스 권영목 대표