| 본 내용은 RSA 전시회 참관에 대한 개인적인 의견으로 회사의 공식적인 입장 또는 의견이 아닙니다. 또한 본 내용에 언급된 특정 회사 및 기술 등에 대한 내용은 Q&A 및 검색 등에 의한 것으로 그 내용을 보증하지 않습니다. 필자는 20년 이상 정보보안 분야에서 기획 및 마케팅 업무를 담당하고 있습니다. 환경과 기술의 변화 속에서 새로운 기회를 찾고 이를 실현, 가속시키는 것이 주된 업무입니다. 이 글의 내용이 국내 정보보안 시장의 발전에 보탬이 되기를 바랍니다. |
이번 RSA Conference (RSAC) 2025는 "다양한 목소리, 하나의 커뮤니티 (Many Voices. One Community)"라는 주제 아래 사이버 보안 산업이 인공지능(AI), 특히 자율적으로 판단하고 행동하는 에이전틱 AI(Agentic AI)의 혁신적인 잠재력과 내재된 위험을 동시에 마주하고 있음을 명확히 보여준 중요한 행사였다.
컨퍼런스 전반에 걸쳐 AI 기반 위협 탐지 및 대응 자동화가 핵심 화두로 떠올랐으며 동시에 AI 모델 자체의 보안과 거버넌스에 대한 깊은 고민이 제기되었다. 이와 함께 신원(Identity) 보안은 여전히 가장 중요한 방어선이자 주요 공격 벡터로 강조되었다.
Microsoft, Cisco, Google 등 주요 기술 선도 기업들은 이러한 거시적 흐름에 발맞춰 AI를 자사 보안 플랫폼(XDR, SASE, CNAPP 등)에 깊숙이 통합하고 신원 중심 보안을 강화하며 클라우드 네이티브 환경 보호에 주력하는 전략적 방향성을 명확히 제시했다.
시장 전체적으로 AI 도입 가속화와 함께 플랫폼 통합 추세가 심화되고 있으나 동시에 기본적인 보안 원칙 강화와 레거시 시스템 보안 그리고 증가하는 위협에 대응하기 위한 산업 전반의 협력 필요성이 더욱 부각되는 양상을 보였다.
RSAC 2025는 "다양한 목소리, 하나의 커뮤니티 (Many Voices. One Community)"라는 공식 주제를 내걸었다. 이는 사이버 보안이라는 공동의 목표 즉 사고 예방, 위협 대응, 끊임없이 진화하는 위협 환경에 대한 정면 대응을 위해 다양한 배경과 전문성을 가진 구성원들의 협력이 필수적임을 강조하는 메시지다.
이번 주제는 단순히 구호에 그치지 않고 오늘날 사이버 위협의 규모와 정교함이 개별 조직이나 고립된 팀의 역량을 넘어서고 있다는 현실 인식을 반영한다. 특히 AI 기반 공격의 증가, 국가 지원 해킹 그룹의 활동 강화, 그리고 공급망 공격과 같은 복잡한 위협들은 단일 조직, 단일 솔루션으로 방어하기 어렵다. 따라서 IT 부서와 보안 부서 간의 긴밀한 협력 그리고 공공 부문과 민간 부문 간의 적극적인 정보 공유 및 협력이 그 어느 때보다 중요해졌다.
이러한 배경에서 "커뮤니티"와 "협력"은 단순한 이상이 아닌 생존을 위한 필수 전략으로 부상했다. 또한 지속적인 사이버 보안 인력 부족 문제 역시 지식 공유와 협력을 통해 완화될 수 있다는 기대를 담고 있다. 즉, RSAC 2025의 주제는 고도화되는 위협과 자원 제약이라는 이중고 속에서 산업 전체의 상호 의존성을 인정하고 집단 지성과 공동 대응의 필요성을 역설하는 시대적 요구를 반영한다고 볼 수 있다.
RSAC 2025에서 가장 두드러진 주제는 단연 인공지능(AI)이었다. 특히 생성형 AI(GenAI)와 더 나아가 자율적인 판단과 행동이 가능한 에이전틱 AI(Agentic AI)는 컨퍼런스의 거의 모든 세션과 부스에서 볼 수 있었다. AI는 양날의 검으로 인식되었는데 한편으로는 보안 운영 센터(SOC)의 효율성을 높이고 위협 탐지 및 대응을 자동화하여 분석가의 역량을 강화하는 강력한 방어 도구로 주목받았다. 다른 한편으로 공격자들이 AI를 악용하여 더욱 정교하고 규모가 큰 공격(예: 딥페이크를 이용한 사회 공학, 지능형 피싱, LLM 자체의 취약점 공격)을 감행할 수 있다는 우려가 커졌다.
주요 보안 기업들은 이러한 흐름에 발맞춰 AI 에이전트를 앞다퉈 선보였다. Microsoft의 Security Copilot 에이전트, SentinelOne의 Purple AI Athena, Cisco의 Foundation AI 기반 에이전트, CrowdStrike의 Charlotte AI 에이전트 등이 대표적이다. 이들 에이전트는 SOC 업무 자동화, 위협 헌팅 지원, 분석가 역량 강화 등을 목표로 개발되었다.
그러나 AI 도입은 새로운 과제도 안겨주었다. AI 모델 자체의 보안(프롬프트 인젝션, 데이터 포이즈닝, 모델 탈취 등) 확보, AI 거버넌스 수립("Shadow AI" 문제 해결), 그리고 AI 시스템의 보안 상태를 지속적으로 관리하는 AI 보안 상태 관리(AI-SPM)의 필요성이 대두되었다.
전반적으로 RSAC 2025는 AI가 더 이상 미래의 가능성이 아닌 현실이며 그 잠재력을 최대한 활용하는 동시에 내재된 위험을 효과적으로 관리해야 하는 복합적인 과제를 안고 있음을 보여주었다.
특히 보안 분야에서 에이전틱 AI의 부상은 주목할 만한 변화다. 이러한 AI는 단순히 작업을 보조하는 것을 넘어 스스로 목표를 설정하고 복잡한 문제를 해결하며 자율적으로 보안 조치를 수행할 잠재력을 지닌다. 이는 SOC 운영 효율을 극대화할 수 있는 기회인 동시에 새로운 차원의 보안 과제를 제기한다. 에이전틱 AI가 자율적으로 작동함에 따라 이 AI 에이전트 자체의 행동을 모니터링하고 의사결정 과정을 감사하며 잠재적인 오작동이나 악의적인 조작으로부터 보호하는 새로운 프레임워크가 필요할 수 있다. 즉, 기업을 보호하는 AI를 보호해야 하는 순환적 보안 문제가 발생하는 것이다. 이는 향후 AI 에이전트의 행동과 무결성에 초점을 맞춘 특화된 "AI SecOps" 역할과 관련 도구 시장의 성장을 예고한다. 더불어AI가 보안 운영의 신뢰 모델 자체를 근본적으로 변화시킬 수 있음을 암시한다.
RSAC 2025에서 AI와 함께 가장 중요하게 다뤄진 주제는 신원(Identity) 보안이었다. 이는 신원 정보 탈취 및 오용이 여전히 주요 침해 사고의 핵심 원인이자 가장 효과적인 공격 경로로 활용되고 있기 때문이다. 컨퍼런스 직전 발표된 2025년 Verizon 데이터 침해 조사 보고서(DBIR)에서도 초기 침투 벡터로서 크리덴셜 오용의 심각성이 재확인되었다.
컨퍼런스에서는 강력한 신원 보안 체계 구축의 시급성이 강조되었다. 기본적인 조치로 복잡하고 고유하며 충분히 긴(16자 권장 등) 암호 사용, 엔터프라이즈 암호 관리자(EAM) 도입, 다중 요소 인증(MFA)의 강제 적용 등이 제시되었다. 그러나 단순히 초기 인증 강화만으로는 충분하지 않다는 인식이 확산되면서 신원 위협 탐지 및 대응(ITDR), 권한 있는 접근 관리(PAM), 그리고 제로 트러스트 원칙 기반의 신원 중심 접근 통제의 중요성이 더욱 부각되었다.
AI 기술의 발전은 신원 보안의 복잡성을 더욱 증가시키는 요인으로 작용했다. 공격자들은 AI를 이용해 암호 해독의 속도를 높이고 더욱 정교한 딥페이크 기술로 사회 공학적 공격을 감행하며 피싱 공격의 성공률을 높이고 있다. 또한 API Token, Key, Secret 및 AI 에이전트와 같은 Non-Human ID 관리 및 보안 문제도 새로운 과제로 떠올랐다. 이러한 위협에 대응하기 위해 ITDR(ID Treat Detection & Response), 패스워드리스(Passwordless) 및 ISPM (ID Security Posture Management)등 신원 보안에 특화된 솔루션들이 주목받았다.
ITDR과 PAM에 대한 관심은 시장 변화를 시사한다. AI가 공격 도구로 활용되면서 크레덴셜 침해를 완벽하게 방어하는 것이 점점 더 어려워 짐(불가능)에 따라 업계의 초점이 침해 이후의 악의적인 행동을 신속하게 탐지하고 권한 상승 및 내부 망 확산(lateral movement)을 차단하는 방향으로 이동하고 있음을 보여준다. 이는 제로 트러스트의 핵심 원칙인 '지속적인 검증'과 '최소 권한'을 통해 침해 사고 발생 시 피해를 최소화하려는 회복탄력성(resilience)을 중시하는 전략적 전환을 의미한다. 초기 침해 자체를 막는 노력은 계속되어야 하지만 침해가 발생할 수 있다는 가정 하에 그 피해 범위를 제한하는 데 더 많은 무게를 두는 것이라고 볼 수 있다.
단위 보안 솔루션의 파편화를 극복하고 운영 효율성을 높이려는 움직임 속에서 보안 플랫폼 통합 추세는 이번행사 화두 중에 하나였다. 작년에 이어 엔드포인트 탐지 및 대응(EDR)을 넘어 확장된 탐지 및 대응(XDR)이 핵심 개념으로 부상하며 많은 논의를 이끌었다. XDR은 엔드포인트 뿐 아니라 네트워크, 클라우드, 이메일, 크리덴셜 등 다양한 보안 계층에서 데이터를 수집하고 통합 분석하여 개별 솔루션의 한계를 넘어서는 포괄적인 위협 가시성과 자동화된 대응 역량을 제공하는 것을 목표로 한다.
XDR은 기존 EDR솔루션이 가진 한계점, 예를 들어 제한된 가시성 범위, 과도한 경보, 컨텍스트 부족 등을 해결하기 위한 대안으로 제시되고 있다. 또한 전통적인 보안 정보 및 이벤트 관리(SIEM) 시스템의 복잡성, 높은 오탐율, 느린 대응 속도 등의 문제점을 개선하려는 시도로도 해석된다. XDR 플랫폼 내에서 AI 기술은 방대한 데이터의 자동 분석, 위협 상관관계 분석, 지능형 위협 탐지, 자동화된 대응 등 핵심적인 역할을 수행하며 그 중요성이 더욱 커지고 있다.
XDR과 기존 SIEM, 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션과의 관계는 여전히 논의 중이다. XDR이 SIEM과 SOAR의 일부 기능을 통합하거나 강화하는 형태로 발전하고 있지만 로그 관리 및 컴플라이언스 중심의 SIEM이나 복잡한 워크플로우 자동화에 특화된 SOAR를 완전히 대체하기보다는 상호 보완적인 역할을 수행할 것이라는 의견도 존재한다. 특정 벤더에 종속되지 않고 다양한 솔루션을 통합할 수 있는 개방형 XDR(Open XDR) 접근 방식 역시 주목할 만하다.
XDR 플랫폼으로의 전환은 단순히 여러 도구를 하나로 묶는 것을 넘어, 보안 운영(SecOps) 전략의 근본적인 변화를 의미한다. 이는 개별 도구 관리와 수동적인 분석에서 벗어나 통합된 데이터를 기반으로 자동화된 탐지, 조사, 대응을 수행함으로써 보안 운영의 결과 즉 평균 탐지 시간(MTTD) 및 평균 대응 시간(MTTR) 단축과 운영 인력의 효율성 향상을 추구하는 방향으로 나아갈 수 있다는 것을 의미한다. 하지만 이러한 통합 플랫폼은 잠재적으로 벤더 종속성을 강화하고 다양한 환경과의 원활한 통합을 위한 기술적 과제를 안고 있다는 점도 고려해야 한다.
클라우드 환경, 특히 멀티 클라우드 및 하이브리드 환경의 보안은 주요 관심사였다. 복잡한 환경을 효과적으로 보호하기 위한 통합 솔루션으로 ‘클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)’의 중요성이 강조되었다. CNAPP는 클라우드 보안 형상 관리(CSPM), 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 인프라 권한 관리(CIEM) 등 다양한 클라우드 보안 기능을 단일 플랫폼에 통합하여 제공하는 것을 목표로 한다.
RSAC 2025에서는 코드 개발 단계부터 런타임 운영까지 클라우드 애플리케이션의 전체 수명 주기에 걸쳐 통합된 가시성, 위험 관리, 위협 방어 역량을 제공하는 CNAPP 솔루션들을 확인할 수 있었다. 특히 클라우드 환경 내 AI 워크로드 보안 확보가 새로운 과제로 떠오르면서 AI 모델과 데이터 저장소에 대한 보안 상태 관리 및 위협 탐지 기능이 CNAPP의 중요한 요소로 부각되었다. Microsoft의 Defender for Cloud, SentinelOne의 Singularity Cloud, Aqua Security, AccuKnox, Orca Security 등 주요 벤더들이 자사의 CNAPP 솔루션과 관련 업데이트를 선보이며 시장 경쟁을 예고했다.
CNAPP의 부상은 클라우드 보안에 대한 기존의 단편적이고 사일로(Silo)화된 접근 방식의 한계를 명확히 보여준다. 마이크로서비스, 컨테이너, 서버리스 등 클라우드 네이티브 아키텍처는 서로 긴밀하게 연결되어 작동하며 개발과 운영이 통합되는 DevSecOps 문화가 보편적이라 할 수 있다. 이러한 환경에서는 개별 보안 도구들을 따로 운영하는 것만으로는 전체적인 보안 상태를 파악하고 위협에 효과적으로 대응하기 어렵다. CNAPP는 이러한 클라우드 네이티브 환경의 특성을 반영하여 개발-보안-운영(DevSecOps) 팀 간의 장벽을 허물고 코드부터 런타임까지 이어지는 통합적인 보안 관리 체계를 구축하려는 시도라고 볼 수 있다. 즉, 기술적 통합을 넘어 조직적 협업을 촉진하는 플랫폼으로서의 의미를 지닌다.
제로 트러스트(Zero Trust)는 더 이상 새로운 개념이 아닌 현대 보안 전략의 핵심으로 자리 잡았다. 특히 클라우드 보안을 위한 파운데이션 모델이라 할 수 있다. 이번 행사에서는 제로 트러스트가 단순한 유행어를 넘어 실제 구현 단계에서 성숙도와 실질적인 과제 해결에 초점을 맞출 수 있음을 확인하는 계기가 되었다. 제로 트러스트의 핵심 구현 기술 중 하나인 제로 트러스트 네트워크 액세스(ZTNA)는 "결코 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙에 따라 기존 VPN이 제공했던 광범위한 네트워크 대상의 접근 권한 대신 특정 애플리케이션에 대한 최소한의 접근만을 허용하는 방식으로 주목을 받았다.
ZTNA의 핵심 원칙으로 지속적인 검증(Continuous Verification), 최소 권한 원칙(Least Privilege), 마이크로세분화(Micro-segmentation), 그리고 신원 중심(Identity-centric) 접근이 중요하다. ZTNA 도입의 주요 동력은 원격 및 하이브리드 근무 환경 지원, 클라우드 환경 보안 강화, 그리고 전통적인 VPN의 보안 및 성능상 한계 극복이다. (실제 당사의 ZTNA를 도입하는 고객의 요구사항과 동일하다.)
그러나 ZTNA의 성공적인 구현은 여전히 많은 기업에게 도전 과제로 남아있다. 고객은 구현의 복잡성, 초기 도입 비용, 사용자 경험 저하(보안 강화와 생산성 간의 균형 문제), 레거시 시스템과의 통합 어려움, 그리고 대규모 환경에서의 정책 관리 복잡성 등의 어려움을 토로하고 있다. 이러한 과제를 해결하기 위해 ZTNA는 점차 보안 액세스 서비스 엣지(SASE) 프레임워크의 핵심 구성 요소로 통합되는 추세이며, AI/ML 기술을 활용하여 사용자 행동 분석 기반의 동적이고 적응적인(adaptive) 접근 통제를 구현하려는 시도도 활발히 이루어지고 있다.
| 기능 | ZTNA (Zero Trust Network Access) | 전통적 VPN (Virtual Private Network) |
| 접근 범위 | 특정 애플리케이션/리소스에 대한 제한적 접근 (Least Privilege) | 일단 연결되면 전체 네트워크 또는 서브넷에 대한 광범위한 접근 허용 |
| 보안 모델 | "신뢰하지 않고, 항상 검증" (Never Trust, Always Verify), 신원/컨텍스트 기반 지속적 검증 | "신뢰하되 검증" (Trust but Verify), 초기 인증 후 네트워크 내부 신뢰 가정 |
| 신뢰 가정 | 기본적으로 모든 사용자/디바이스 불신 | 네트워크 내부에 있거나 초기 인증 통과 시 신뢰 가정 |
| 주요 기술 | 신원 기반 접근 통제, 마이크로세분화, 컨텍스트 인식 정책 엔진, 암호화된 애플리케이션 터널 (TLS) | IPsec 또는 TLS 기반 암호화 터널, 네트워크 수준 접근 제어 |
| 성능 영향 | 직접적인 애플리케이션 연결로 VPN 대비 지연 시간 감소 및 성능 향상 가능성 높음 | 트래픽 백홀링(backhauling) 및 암호화 오버헤드로 인한 지연 시간 발생 및 성능 저하 가능성 |
| 확장성 | 클라우드 기반 아키텍처로 높은 확장성 제공 | 중앙 집중식 게이트웨이 방식으로 확장성 제한적일 수 있음 |
| 사용자 경험(UX) | 특정 앱 접근 시 원활할 수 있으나, 지속적/적응적 인증 요구로 불편함 발생 가능 | 초기 연결 후 자유로운 접근 가능하나, 연결 불안정 또는 성능 저하 시 불편함 발생 |
| 관리 복잡성 | 정책 설정 및 관리가 세분화되어 초기 설정 복잡성 높을 수 있음 | 상대적으로 단순한 네트워크 접근 정책 관리, 단 사용자/앱별 세분화된 제어 어려움 |
| 주요 사용 사례 | 원격 근무자, 제3자 접근, 클라우드/하이브리드 환경, 민감 데이터 접근 제어 | 전통적인 원격 근무, 지점 간 연결, 네트워크 수준의 보안 터널링 |
표 1: ZTNA vs. 전통적 VPN 주요 차이점
ZTNA가 제공하는 명확한 보안상의 이점에도 불구하고, 사용자 경험 저하, 레거시 시스템 통합의 어려움, 구현 및 관리의 복잡성이라는 현실적인 장벽이 지속적으로 언급되는 것은 시장이 ZTNA의 '무엇'을 넘어 '어떻게' 효과적으로 도입하고 운영할 것인가에 대한 해답을 찾고 있음을 시사한다. 이는 ZTNA 도입 과정을 단순화하는 데 초점을 맞춘 새로운 솔루션이나 서비스(예: 직관적인 정책 엔진, 향상된 레거시 통합 도구, AI 기반 정책 추천, 관리형 ZTNA 서비스 등)에 대한 시장 기회가 열려 있음을 의미한다. 이러한 기술 및 솔루션이 ZTNA의 캐즘을 뛰어넘어 더 넓은 시장으로 ZTNA를 확산시키는 촉매제가 될 수 있을 것이다.
이는 필자의 개인적 의견이다. 매년 꾸준히 전시회를 참가해 보니 어렴풋이 보안 산업의 구성과 흐름을 엿볼 수 있다. 컨퍼런스를 통해 미래 보안의 방향과 정책적 대안이 제시된다. North에 위치한 Big Brother(Cisco, MS, Google 등)가 통합대응전략을 제시하고 기술과 솔루션으로 가능성을 시사한다. South에 위치한 기업이 특정 영역(Niche Market or Regulation 등)에 전문적으로 대응하거나 Big Brother 가 미처 대응하기 어려운 영역에 초점을 맞춘다. Sandbox 또는 통로(Aisle)에 위치한 신생업체(Startup)가 완전히 새로운 기술이나 컨셉을 제시한다. (그리고 이들 중 소수가 South 또는 North의 기업에 인수·합병된다.)
결국 Big Brother의 메시지와 솔루션이 산업계를 성장시키는 동력이 된다. 다양한 유사 솔루션이 출시되고 새로운 니치마켓이 생긴다. 올해 Microsoft, Cisco, Google 등 선도 기업들은 AI 통합, 플랫폼 확장, 신원 및 클라우드 보안 강화라는 공통된 흐름 속에서도 각자의 강점과 비전을 바탕으로 차별화된 접근 방식을 제시했다.
Microsoft는 행사에서 자사의 통합 보안 플랫폼(Microsoft Defender XDR + Microsoft Sentinel)을 중심으로 AI 기술을 접목하여 보안 운영(SecOps)을 혁신하겠다는 메시지를 전달했다. 핵심 전략은 "보안을 위한 AI(AI for Security)"와 "AI 자체의 보안(Security for AI)"을 동시에 추구하는 것으로 보인다. 이를 위해 Microsoft Security Copilot을 필두로 한 자율적인 AI 에이전트 기능을 대거 선보이며 AI가 주도하는 미래의 SOC 비전을 제시했다.
MS는 자사의 광범위한 클라우드 및 엔터프라이즈 소프트웨어 생태계를 기반으로 AI 기술을 보안 포트폴리오에 깊숙이 통합하고 있다. Security Copilot 에이전트 출시는 단순한 보조 도구를 넘어 자율적인 보안 운영으로 나아가려는 의지를 보여준다. Defender XDR과 Sentinel을 중심으로 엔드포인트, 신원, 이메일, 클라우드, 데이터 보안을 아우르는 통합 플랫폼 전략은 AI 기반 분석 및 자동화된 대응을 통해 더욱 강화되고 있다.
MS의 자율 AI 에이전트 추진은 방대한 원격 측정 데이터 및 위협 인텔리전스와 결합될 때 SOC 효율성을 재정의할 잠재력을 지닌다. 그러나 이러한 심층적인 통합은 Microsoft 생태계에 대한 의존도를 높이는 결과를 낳는다. 이는 벤더 종속성 문제를 야기할 수 있으며 자율적인 보안 조치의 투명성과 통제 가능성에 대한 우려를 불러일으킬 수 있다. 자동화의 이점과 인간의 감독 및 AI 의사결정에 대한 신뢰 사이에서 균형을 맞추는 것이 Microsoft AI 보안 전략의 성공을 좌우할 핵심 요소가 될 것이다.
Cisco는 이번 행사에서 네트워킹 분야의 강점과 최근 인수한 Splunk의 역량을 결합하여 AI 시대의 보안 과제에 대응하겠다는 전략을 발표했다. 특히 AI 보안 기술의 보편화를 위해 파운데이션 모델을 공개하는 등 오픈소스 이니셔티브를 강조하며 업계 전반의 협력을 촉구하는 모습을 보였다.
Cisco는 자사의 강력한 네트워크 인프라와 Splunk 인수를 통해 확보한 데이터 분석 및 SecOps 역량을 결합하여 네트워크부터 클라우드, 엔드포인트, 보안 운영까지 아우르는 포괄적인 AI 기반 보안 플랫폼 구축을 목표로 하는 것으로 보인다.
특히 보안에 특화된 Foundation AI 모델의 공개는 경쟁사들의 독점적인 접근 방식과 차별화되는 전략으로 커뮤니티를 활성화하고 자사의 AI 보안 접근 방식에 대한 영향력을 확대하려는 의도로 해석된다. 이는 단순한 기술 공유를 넘어선 전략적 행보로 해석될 수 있다. AI 보안 분야에서 자사의 접근 방식을 중심으로 생태계를 구축하려는 시도로 보인다. 모델과 관련 도구를 공개함으로써 파트너와 고객들의 통합 장벽을 낮추고 모델에 내재된 Cisco의 보안 개념과 프레임워크(예: 위협 분류, 대응 방식 등)가 자연스럽게 확산되도록 유도할 수 있다.
이러한 행보는 Cisco가 단말부터 네트워크, 그리고 클라우드에 이르는 AI 보안 생태계(Eco System)를 꿈꾸고 있다는 생각을 갖게 한다. AI 산업발전과 고객 고착(Lock In) 두 마리 토끼를 노리는 전략으로 해석되어 향후 결과가 주목된다.
Google Cloud Security는 이번행사에서 Mandiant의 위협 인텔리전스와 Google의 AI(Gemini) 및 클라우드 기술력을 결합하여, 인텔리전스 기반의 선제적 방어 체계를 구축하는 데 주력하는 모습을 보였다. Google Unified Security 플랫폼을 중심으로 Chronicle(SecOps), Security Command Center(클라우드 보안) 등 핵심 솔루션 전반에 걸쳐 Mandiant의 통찰력과 Gemini AI의 분석 능력을 통합하는 데 중점을 두었다.
Google의 보안 전략은 Mandiant를 통해 확보한 최상위 위협 인텔리전스 및 사고 대응 전문성과 강력한 AI 및 클라우드 인프라를 결합하는 데 핵심을 두고 있다. Google Unified Security를 통해 파편화된 보안 솔루션들을 통합하고 Gemini AI와 Mandiant의 통찰력을 활용하여 위협 탐지부터 대응까지 전 과정을 지능화 자동화하려는 목표를 분명히 하고 있다. 에이전틱 AI 도입은 경쟁사와 유사한 방향이지만 Mandiant의 실제 운영 경험과 데이터를 기반으로 한다는 점에서 차별점을 가진다.
Google이 AI 자동화(에이전트, Gemini)를 추진하는 동시에 Mandiant의 인간 전문가 서비스에 대한 접근성을 확대하는 전략은 주목할 만하다. 이는 순수한 자동화에 대한 시장의 잠재적 우려를 인식하고 '인간 참여형(Human-in-the-loop)' AI 모델을 SecOps에 제시하려는 의도로 보인다. 즉 AI가 대규모 데이터 처리와 신속한 초기 대응을 담당하되 복잡하거나 새로운 유형의 위협 분석 및 최종 판단에는 Mandiant 전문가의 개입과 검증을 활용하는 방식이다. 이는 자율 시스템에 대한 신뢰가 아직 높지 않은 상황에서 AI 도입의 문턱을 낮추고 AI의 효율성과 인간 전문가의 신뢰성을 결합한 균형 잡힌 접근법을 제공함으로써 경쟁 우위를 확보하려는 전략으로 보인다.
행사에서는 Big Brother 외에도 여러 보안 기업들이 AI와 플랫폼 통합이라는 큰 흐름에 동참하며 각자의 전략을 선보였다.
이들 주요 기업 모두 AI와 플랫폼 전략에 막대한 투자를 하고 있지만 그 접근 방식에는 미묘한 차이가 존재한다.
이는 "AI 기반 SOC"라는 공동 목표를 향해 나아가면서도, 각 기업이 자사의 기존 인프라, 핵심 역량, 그리고 시장 전략에 따라 서로 다른 경로를 선택하고 있음을 보여준다. 고객들은 이러한 다양한 전략들을 고려하여 자신의 환경과 우선순위에 가장 적합한 플랫폼을 선택할 수 있을 것이다.
이번 행사는 사이버 보안 시장의 몇 가지 중요한 변화를 명확하게 보여주었다.
첫째, AI는 더 이상 미래 기술이 아닌 현재 시장을 주도하는 핵심 동력으로 자리 잡았다. 벤더들의 제품 로드맵과 고객들의 투자 우선순위 모두 AI를 중심으로 재편되고 있으며 특히 에이전틱 AI는 차세대 보안 패러다임을 예고하고 있다.
둘째, 거시 경제의 불확실성에도 불구하고 사이버 보안 지출은 지정학적 긴장 고조와 위협의 진화로 인해 필수 투자 영역으로 인식되며 상대적으로 견조한 흐름을 유지할 것으로 예상된다. 특히 통합 및 플랫폼 제공 기업은 성장률은 시장성장률을 뛰어넘은 결과를 보여준다.
셋째, XDR, SASE, CNAPP 등 플랫폼 기반 솔루션으로의 통합 및 전환이 가속화되고 있다.
넷째, 투자자들은 AI 우선 전략을 가진 혁신 기업에 높은 관심을 보이며 이는 시장의 가치 평가에도 반영되고 있다. 아래 표는 작년 하반기부터 올해까지 진행된 사이버 보안 분야의 주요 인수합병 사례이다.
마지막으로, 지속적인 사이버 보안 인력 부족 현상은 자동화 기술과 관리형 서비스(MDR, Managed XDR 등)에 대한 수요를 더욱 부추기고 있다.
이러한 흐름은 최근 발생한 정보보안 분야 주요 인수합병 사례를 통해 확인할 수 있다. 아래 표는 ‘24년 하반기부터 올해 상반기까지 발생한 주요 인수합병 사례이다.
| 인수 기업 | 피인수 기업 | 발표 / 완료 시기 | 거래 금액 (USD) | 주요 분야 / 목표 |
| Wiz | 2025년 3월 발표 | 320억 | 클라우드 보안 (CNAPP), 멀티 클라우드 경쟁력 강화 | |
| Palo Alto Networks | Protect AI | 2025년 4월 발표 | 4.5억-7억 | AI 보안 (모델, 데이터, 에이전트), Prisma AIRS 플랫폼 가속 |
| Mastercard | Recorded Future | 2024년 9월 발표 | 26.5억 | 위협 인텔리전스 통합, 사기 방지 및 ID 서비스 강화 |
| CyberArk | Venafi | 2024년 10월 완료 | 15.4억 | 머신 아이덴티티 관리, 엔드투엔드 정체성 보안 플랫폼 구축 |
| Thoma Bravo (PE) | Darktrace | 2024년 10월 완료 | 53억 | AI 기반 위협 탐지/대응 (NDR/XDR), 독립 기업 성장 지원 |
| Sophos | Secureworks | 2024년 4분기 발표 | 8.59억 | 매니지드 보안 운영 (MSO) 역량 확장 |
| CrowdStrike | Adaptive Shield | 2024년 11월 발표 | 3억 | SaaS 보안 상태 관리 (SSPM) 강화 |
| N-able | Adlumin | 2024년 11월 발표 | 2.66억 | MSP를 위한 SIEM/XDR 플랫폼 통합 |
| Wiz | Dazz | 2024년 11월 발표 | 4.5억 | 애플리케이션 보안 (AppSec) 및 CNAPP 내 교정 역량 강화 |
| Cisco | Robust Intelligence | 2024년 8월 발표 | 비공개 | AI 모델 보안 및 거버넌스, Cisco Security Cloud 통합 |
| Armis Security | OTORIO | 2025년 3월 발표 | 비공개 | 운영 기술 (OT)/산업 제어 시스템 (ICS) 보안 역량 확장 |
표 2: 사이버 보안 분야 주요 인수합병
AI 자동화가 인력 부족 문제 해결의 열쇠로 제시되는 동시에, 위협 헌팅, AI 시스템 운영 및 검증, 관리형 서비스 등 인간 전문가의 중요성이 여전히 강조되는 현상은 흥미롭다. 이는 AI가 보안 전문가의 역할을 완전히 대체하는 것이 아니라, 업무 방식을 근본적으로 변화시키고 있음을 시사한다. 미래의 보안 전문가는 AI를 효과적으로 활용하고 AI 시스템 자체의 보안을 관리하며 AI가 처리하기 어려운 고도의 분석 및 전략 수립 그리고 AI의 의사결정을 감독하는 역할을 수행하게 될 것이다. 다시 말해 AI는 분석가를 보강하고 반복적인 작업을 자동화하는 동시에 AI 보안, 프롬프트 엔지니어링, AI 거버넌스 등 새로운 기술 역량에 대한 수요를 창출하며 자연스럽게 인력 시장의 재편을 이끌게 될 것이다.
앞서 언급한 보안의 주요 동향들은 기업의 사이버 보안 전략 수립에 중요한 시사점을 제공한다.
첫째, 기업은 AI를 방어·대응 역량 강화에 적극적으로 활용하는 동시에 AI 도입으로 인해 발생할 수 있는 새로운 위험(데이터 유출, 모델 조작, 규제 준수 등)에 대한 관리 방안을 마련해야 한다.
둘째, 신원 보안의 중요성이 재확인됨에 따라 IAM(Identity and Access Management), ITDR, PAM 솔루션 도입 및 강화 그리고 제로 트러스트 원칙 기반의 신원 중심 접근 통제 정책 수립이 필수적이다.
셋째, 제로 트러스트 구현은 더 이상 미룰 수 없는 과제이며 사용자 경험 저하, 레거시 시스템 통합 등의 현실적인 어려움을 극복하고 실질적인 성숙도를 높이는 데 집중해야 한다.
넷째, XDR, SASE, CNAPP 등 플랫폼 기반 솔루션 도입을 검토하되 개별 솔루션의 기능, 통합 용이성, 총소유비용(TCO) 그리고 특정 벤더에 대한 종속성 심화 가능성을 신중하게 평가해야 한다.
기업들은 또한 명확한 AI 거버넌스 정책을 수립하여 "Shadow AI" 문제가 발생할 수 있음을 인정하고 필요하다면 AI 업무 라이프사이클 자체의 보안을 강화해야 한다. 지속적인 위협 노출 관리(CTEM)는 사전 예방적 보안 프레임워크로 주목받았으나 일부 취약점 관리(VM) 벤더들의 과장된 마케팅에 주의할 필요가 있다. 마지막으로 기술만으로는 완전한 보안을 달성할 수 없으므로, 피싱, 사회 공학, 안전한 AI 사용법 등에 대한 지속적인 직원 교육과 인식 개선 노력이 병행되어야 한다.
AI 도입, 플랫폼 통합, 제로 트러스트 성숙이라는 세 가지 주요 흐름이 동시에 진행되면서 기업 보안팀은 중대한 '통합(Integration)' 과제에 직면하게 된다. 이러한 트렌드를 성공적으로 활용하기 위해서는 단순히 새로운 도구를 도입하는 것을 넘어, 이들 시스템이 어떻게 상호 작용할 것인지 전략적으로 설계해야 한다. 예를 들어, AI 에이전트가 XDR 플랫폼의 데이터를 효과적으로 소비하고 분석할 수 있어야 하며 신원 관리 시스템에서 발생하는 위험 신호가 실시간으로 ZTNA 정책에 반영되어 접근 통제를 동적으로 조정할 수 있어야 한다. 더불어 클라우드 보안 상태 정보가 전사적인 위험 평가 시스템에 통합되어 종합적인 판단을 지원해야 한다.
이는 개별 솔루션의 성능만큼이나 시스템 간의 연동성, API의 개방성, 그리고 OCSF(Open Cybersecurity Schema Framework)와 같은 표준화된 데이터 형식의 중요성이 더욱 커질 것임을 시사한다. 따라서 향후 보안 솔루션 선택 및 아키텍처 설계 시 이러한 통합 역량과 개방형 생태계 지원 여부가 핵심적인 평가 기준이 될 것이다. (필자가 국내 보안시장에서 가장 시급하고 보완이 필요한 역량이라고 생각하는 부분이다.)
출장기간 매일 아침 숙소에서 RSAC 행사장으로 가는 길에 ‘트윈픽스(Twin Peaks)’를 보게 된다. 두 개의 봉우리(Peak)가 있는 샌프란시스코에서 가장 유명한 전망대 중에 하나이다. 동시에 보안 시장에 두 개의 봉우리가 보이는 것 같다. 하나는 클라우드 네이티브 및 AI 중심의 혁신을 주도하는 기업들의 봉우리다. 나머지는 기존의 레거시 방식에서 벗어나지 못하는 기업들의 봉우리다. 보안시장이 양극화되어 나뉘고 있다는 것을 느낄 수 있다.
다행인 점은 우리에게 다소 시간이 남아있다는 점이다. 이번 RSAC 2025행사는 플랫폼과 AI 등 첨단 기술의 발전만으로 완전한 보안을 달성할 수 없으며 강력한 레거시(신원 관리, 취약점 관리 등), 실용적인 전략(제로 트러스트) 그리고 산업 전반의 협력과 공유가 필수적임을 다시 한번 확인시켜 주었다. 이러한 가운데 다양한 보안기술 및 솔루션과 AI를 효과적으로 통합하고 조율하는 능력이 미래 사이버 보안의 핵심 경쟁력이 될 것으로 전망된다. 우리는 이러한 거시적 흐름을 이해하고 저마다의 환경과 목표에 맞는 균형 잡힌 보안 전략을 수립하여 끊임없이 진화하는 위협 환경에 대비해야 할 것이다.
지니언스 전략마케팅실을 담당하고 있습니다. 회사의 성장전략을 수립하고 실행합니다.