[Gartner SRM Summit 2025] 2025년 보안 운영의 4가지 핵심 동향과 생존 전략

2025년 사이버 보안 환경은 어떻게 변화할까요? 최근 Gartner Eric Ahlm이 발표한 'Outlook for Security Operation 2025'는 이 질문에 대한 심층적인 분석과 명확한 지침을 제공했습니다. 인력 부족이 지속되고 AI 기술에 대한 기대와 혼란이 공존하는 현재, 이 강연은 SOC 및 MDR 서비스 제공자에게 중요한 통찰을 제공했습니다. 본 리뷰에서는 에릭이 제시한 네 가지 핵심 내용을 중심으로 2025년 보안 운영의 미래를 살펴보고 주어진 과제를 검토해보는 시간이 되기를 바랍니다.

패러다임의 전환 '최고의 조합'에서 '에코시스템’으로

지금까지 보안 아키텍처는 각 분야의 최고 솔루션들을 결합하는 방식으로 구축되어 왔습니다. 필요한 기능에 특화된 솔루션들을 모아 '드림팀'을 만드는 것은 이론상 완벽해 보였지만,이러한 접근 방식이 이제는 "운영 비용이 막대하게 들고 위험한 과정"이 되었다고 지적합니다. 수많은 솔루션들을 복잡하게 통합하고 유지하는 것은 이제 소수의 대기업만이 감당할 수 있는 부담이 되었다는 것이 그의 설명입니다.

기능 중심에서 측정 가능한 결과로

제시된 대안은 바로 '에코시스템'입니다. SentinelOne, Palo Alto, Crowdstrike, Microsoft 등 거대 벤더들이 자사의 제품군을 유기적으로 통합해 제공하는 플랫폼이 새로운 표준으로 떠오르고 있습니다. 여기서 중요한 변화는 평가 기준의 전환입니다. 이제 질문은 "이 솔루션에 어떤 기능이 있는가?"가 아니라, "이 에코시스템이 우리 조직의 복잡성을 실제로 줄여주고, 우리가 원하는 보안 '결과(Outcome)'를 가져다 주는가?"여야 합니다.

• 에코시스템의 딜레마

분명히 에코시스템 접근법에는 몇 가지 중요한 조건이 따르는데, 그 중 핵심은 '전체 에코시스템을 받아들여야 한다'는 점입니다. 특정 공급업체가 제공하는 통합적인 시너지를 얻으려면, 그들의 제품군을 전적으로 믿고 도입해야 됩니다. 다양한 벤더의 제품을 어설프게 조합한 '하이브리드 에코시스템'으로는 진정한 효율성을 얻을 수 없다는 경고를 전달했습니다.

이러한 상황은 필연적으로 '벤더 종속'이라는 오랜 문제점을 상기시킵니다. 그러나 이것을 "어느 정도 불가피한 현실"로 인정해야 합니다. 긍정적인 부분은 강력한 에코시스템을 제공하는 경쟁자들이 증가하면서 우리에게 다양한 선택지가 생겼다는 점입니다. 

 한편, 플랫폼 경쟁 속에서도 SIEM 시장이 여전히 17%의 높은 성장률을 유지하며 그 중요성을 입증하고 있습니다. 따라서 SIEM을 단순히 배제할 것이 아니라, 기업의 전체 플랫폼 전략 내에서 SIEM이 제공하는 가치를 심층적으로 분석하고, 에코시스템 솔루션이 SIEM의 역할을 더욱 효율적으로 대체하거나 보완할 수 있는지에 대한 근본적인 검토가 필요합니다.

• 하이브리드 SOC '전략적 분업'

현재 보안 운영 센터(SOC)는 하이브리드 형태로 전환되거나, 그러한 방향으로 발전하고 있습니다. 이는 더 이상 일부의 견해가 아닌, 업계 전반의 추세를 보여줍니다. 12명 미만의 소규모 내부 인력만으로 연중무휴 24시간 고도화되는 위협에 대응하는 것은 대다수 조직에게 불가능한 목표입니다.

• 기술 및 전술적 역량은 서비스 제공사로부터, 전략은 내부에서

그렇다면 성공적인 하이브리드 SOC는 어떻게 구축해야 할까요? 전략적 자원 할당'이라는 개념을 살표보겠습니다. 이는 단순히 인력이 부족한 부분을 서비스 제공사를 통해 채우는 것을 넘어섭니다. "보안 지식만으로 처리 가능한 기술 및 전술적 업무는 MDR 서비스 제공자 등에 역할을 일임하고,기업의 비즈니스 맥락(Business Context) 까지 이해해야 하는 전략적 업무는 내부 인력이 담당해야 한다” 라는 점입니다.

예를 들어, 초기 경보 대량 분석이나 단순 반복적인 취약점 스캐닝 같은 업무는 외부 서비스의 규모의 경제를 활용하는 편이 효율적이지만, 회사의 핵심 자산과 비즈니스 프로세스를 깊이 이해 해야만 가능한 위협 모델링이나 내부 규제 위반 등은 반드시 내부 팀의 역량으로 남겨두어야 합니다.

• 진화하는 서비스 시장과 '빈틈없는' 모델링

보안 매니지드 서비스 시장은 이제 과거의 일괄적인 매니지드 서비스 형태에서 벗어나, 특정 기능이나 목표에 집중하는 포인트 서비스로 발전하고 있습니다. 이는 필요한 부분만 레고 블록처럼 유연하게 조합하여 비용을 최적화하고 내부 팀이 핵심 전략 과제에 집중할 수 있도록 돕는 환경을 조성하는 긍정적인 변화입니다.

PAGO MDR 서비스 또한 위협을 탐지하는 레이어를 명확히 구분해 위험 구간을 특정할 수 있도록 지원합니다.

MDR이 단지 보안 위협 분석만 제공한다고 생각할 수 있지만, PAGO는 기업의 위협 모니터링에서 부족한 부분을 파악하여 개선 방향을 제시합니다. 예를 들어 웹 공격 비율이 높으면 필요한 보안 도구 정보와 학습 자료를 제공해 기능과 필요성을 설명합니다. 이는 불필요한 비용을 줄이고 실질적인 투자수익률(ROI)을 높이는 방법입니다.

노출 관리(Exposure Management)는 방어의 최전선

보안팀과 SOC의 주요 관심사는 '탐지와 대응'이었으나, 꾸준히 '노출 관리'의 중요성을 강조해 왔습니다. 특히 가트너는 '지속적인 위협 노출 관리(CTEM)'가 SOC에 혁신적인 이점을 제공할 것이라고 강조합니다.

• '내가 무엇에 노출되었는가'를 알아야 하는 이유

SOC가 노출 관리에 집중해야 하는 이유는 명확합니다. 실질적인 위협에 대한 방어 체계의 작동 여부를 검증할 수 있기 때문입니다. 이는 오탐으로 어려움을 겪는 분석가들에게 중요한 해결책이 됩니다. 특정 공격 유형에 기업이 노출되지 않거나 취약점이 악용되지 않는다면, 관련 경보의 우선순위를 낮출 수 있습니다. 반대로, 공격자들이 쉽게 이용할 수 있는 경로를 미리 파악하여 해당 영역에 방어 역량을 집중함으로써 방어 최적화를 달성할 수 있습니다. 즉, '선택과 집중' 전략을 통해 효율적인 방어가 가능해집니다.

• “Augmented Operations” AI는 최고의 조력자

AI에 대한 논의에서 에릭은 증강된 보안 운영 센터, 즉 Augmented SOC가 이미 현실화되었다고 강조하면서도 현실적인 접근을 권고했습니다. 가장 중요한 것은 '어떤 AI가 최고인가?'를 따지는 것이 아니라, 'AI를 활용해 우리 팀의 능력을 어떻게 향상시킬 수 있을까?'에 초점을 맞추는 것이라고 그는 조언했습니다.

AI의 목표 '인력 대체'가 아닌 '인적 역량의 확장'

이번 가트너 서밋 리뷰 중에서, Augmented SOC /Autonomous SOC 주제와 관련된 세션 리뷰 내용이 있습니다. 가트너 애널리스트인 에릭과 슈미트는 "2025년 예측 : 자율 SOC는 결코 없을 것이다"라는 자료를 공동 작성했습니다. 결론적으로, AI는 특정 프로세스에 내장되거나 백엔드에서 조용히 작동하는 '보이지 않는 손' 처럼 더 강력한 역할을 한다고 설명합니다.

AI는 분석가를 대체하는 'AI 팀원'이 아닙니다. 적어도 현재로서는 의심의 여지가 없습니다. AI의 진정한 가치는 분석가들이 반복적이고 전술적인 업무에서 벗어나, 위협 헌팅이나 보안 아키텍처 개선과 같은 고부가가치 활동에 더 많은 시간을 쏟을 수 있도록 '증강(Augment)'하는 데 있습니다. AI가 주당 40시간의 업무 중 10시간을 절약해준다면, 우리 팀은 10시간의 추가적인 '인적 역량'을 확보하는 것과 같다고 설명합니다.

지금 바로 적용 가능한 AI 활용 사례

그렇다면 우리는 AI를 구체적으로 어디에 활용해야 할까요? 다음과 같은 실용적인 사례들을 제시해 봅니다

• 오탐 감소 : AI가 경보 발생 시 관련 정보를 자동으로 수집/요약하고(Automated Alert Enrichment), 공격 경로를 매핑하여 명백한 오탐들을 1차로 걸러내는 것만으로도 분석가의 업무의 획기적 감소 효과

• 조사 지원 : 분석가가 조사를 시작하기 전에, AI가 먼저 관련 위협 인텔리전스를 검색하고 공격 타임라인을 구성하고 풍부한 초기 컨텍스트를 제공

• 탐지 룰 생성 : CTI 보고서를 읽고 IoC를 추출하여 SIEM이나 EDR에 맞는 탐지 룰을 만드는 지루한 작업을 AI가 대체

• 보고서 작성 : 정기 보고서나 침해사고 보고서처럼 대량의 데이터를 요약하고 구조화하는 작업에 AI 활용

이와 더불어, SOAR와 같은 전통적인 자동화 기술의 가치 역시 여전히 유효함을 강조합니다. 명확한 절차(SOP)에 기반한 피싱 메일 분석이나 악성 IP 차단과 같은 '결정론적' 업무는 자동화 스크립트와 플레이북의 역할로 남겨두는 것이 효과적입니다.

효율적 SOC 운영을 위한 결론

2025년 가트너가 제안한 보안 운영의 핵심은 '전략적 선택과 집중'입니다. 기업이 모든 보안 업무를 직접 처리하기에는 인력과 역량이 부족할 수 있으므로, 먼저 우리에게 부족한 부분이 무엇인지 명확히 파악해야 합니다.

• 플랫폼 전략 : 우리에게 필요한 것은 수많은 기능의 집합인가, 아니면 복잡성을 줄여주는 통합된 결과물인가?

• 인력 운용 : 무엇을 우리 손으로 직접 하고, 무엇을 전문가에게 맡길 것인가?

• 방어 철학 : 이미 발생한 경보를 처리하는 데 급급할 것인가, 아니면 공격자가 노릴만한 '노출 지점'을 먼저 찾아내 제거할 것인가?

• 기술 활용 : AI를 막연한 기대감으로 바라볼 것인가, 아니면 지금 당장 우리 팀의 시간을 벌어줄 명확한 '도구'로 활용할 것인가?

“위협 중심 모의 침투 테스트 (TLPT : Threat-Led Penetration Testing)” 세션 리뷰에서 언급했듯이, 보안 환경이 통합적인 턴키 방식으로 운영된다면 최적화된 보안 시스템을 구축할 수 있습니다. 앞서 말한 보안 벤더들은 기업의 필요에 맞춰 맞춤형 기능과 기술을 제공하는 형태로 발전해 왔습니다. 즉, 이 벤더들을 활용하면 턴키 기반의 보안 환경을 충분히 구축할 수 있다는 점을 강조하고 싶습니다. 진화하는 위협에 대응할 수 있는 SOC를 빌드하기 위해 이 세션 리뷰 내용이 도움이 되기를 바랍니다. 

작성자 – 파고네트웍스 권표 이사 (CPTO)