2025년 사이버 보안, 당신이 놓치면 안 될 5가지 핵심 변화

업무 환경 전반에 인공지능(AI)과 클라우드 기술이 그 어느 때보다 빠르게 스며들고 있습니다. 생산성을 높이고 새로운 비즈니스 기회를 창출하는 이 기술들은 동시에 우리가 전에 경험하지 못했던 새로운 보안의 문을 열고 있습니다.

이러한 기술적 전환 속에서 사이버 위협은 어떻게 진화하고 있으며, 우리는 무엇을 준비해야 할까요?

이 글에서는 2025년 한 해 동안 나타난 가장 중요한 사이버 보안 트렌드와 정책 변화 5가지를 분석합니다.

Content

1. AI의 양면성: 새로운 위협과 방어의 진화

인공지능(AI)은 2025년 사이버 보안의 가장 중요한 화두였습니다.

이제 AI는 공격자들이 사용하는 가장 정교한 무기이자, 방어자들이 의존해야 할 핵심적인 방패가 되었습니다.

AI의 이러한 이중적 역할을 이해하는 것은 현대 보안 전략의 출발점입니다.

더욱 교묘해진 공격: 딥페이크와 AI 피싱의 부상

생성형 AI 기술의 발전은 사이버 공격의 문턱을 크게 낮추는 동시에 그 정교함을 극대화했습니다.

팔로알토 네트웍스의 보고서에 따르면, 특히 아시아·태평양 지역에서는 금전적 이득을 노린 딥페이크 사기가 본격화되고 있습니다.

홍콩의 한 엔지니어링 기업이 화상회의에 등장한 CFO와 경영진의 딥페이크에 속아 수백만 달러를 송금한 사건은 대표적인 사례입니다.

삼성SDS와 팔로알토 네트웍스는 2025년에 정교한 음성 복제를 활용한 오디오 딥페이크와 AI 기반 피싱 공격이 급증할 것으로 전망했습니다.

이러한 공격은 기술적인 취약점이 아닌 인간의 신뢰를 파고들어 기존의 보안 체계를 쉽게 우회합니다.

방어의 진화: 능동형 AI와 설명가능 AI(XAI)의 등장

공격 기술이 진화함에 따라 방어 기술 역시 AI를 통해 한 단계 도약하고 있습니다.

이제 보안 솔루션은 단순히 위협에 반응하는 것을 넘어, 위협을 예측하고 선제적으로 대응하는 능동형 AI(Active AI) 로 발전하고 있습니다.

가트너가 제시한 ‘선제적 사이버보안(Preemptive Cybersecurity)‘ 개념처럼, AI가 스스로 위협을 사냥하고 방어하는 시대가 열린 것입니다.

동시에 AI의 ‘블랙박스’ 문제를 해결하기 위한 설명가능 AI(XAI, Explainable AI) 가 주목받고 있습니다.

XAI는 AI가 특정 위협을 탐지하거나 차단했을 때, 그 판단의 근거와 과정을 인간 분석가가 이해할 수 있도록 설명해 줍니다.

이는 분석가가 AI의 결정을 신뢰하고, 오탐을 줄이며, 대응의 정확도를 높이는 데 결정적인 역할을 합니다.

금융보안원의 계획처럼 금융 기관들도 AI를 활용해 1차 분석 업무를 자동화하고 전문 인력의 효율성을 높이는 추세입니다.

AI가 공격과 방어의 전장을 바꾸는 동안, 기업이 지켜야 할 경계 자체도 클라우드와 소프트웨어 공급망 속으로 녹아들며 그 형태를 바꾸고 있습니다.

2. 클라우드와 공급망: 보이지 않는 새로운 경계

클라우드 도입이 보편화되고 소프트웨어 개발이 고도로 연결되면서, ‘내부’와 ‘외부’를 나누던 전통적인 보안 경계의 개념은 사라지고 있습니다. 이제 기업의 보안은 눈에 보이지 않는 클라우드 인프라와 소프트웨어 공급망 전체로 확장되었습니다.

클라우드 보안의 함정: 설정 오류와 ‘공동 책임 모델’

클라우드 환경에서 발생하는 보안 사고의 가장 주된 원인은 놀랍게도 최첨단 해킹 기술이 아닙니다.

다수의 보고서들은 ‘잘못된 클라우드 설정’ 과 ‘장기간 방치된 자격 증명’ 이 가장 치명적인 취약점이라고 지적합니다.

많은 기업이 클라우드 서비스 제공업체(CSP)가 모든 보안을 책임질 것이라고 오해하지만, 클라우드 보안은 ‘공동 책임 모델(Shared Responsibility Model)’ 을 따릅니다.

즉, CSP는 인프라 자체의 보안을 책임지지만, 그 위에서 운영되는 데이터, 애플리케이션, 접근 권한에 대한 보안 책임은 전적으로 사용자에게 있습니다.

소프트웨어 공급망: SBOM 의무화 시대의 도래

현대 소프트웨어는 수많은 오픈소스 구성요소의 결합으로 만들어집니다.

내가 사용하는 소프트웨어에 어떤 부품이 들어있는지 모른다면, 잠재적인 위험에 무방비로 노출될 수밖에 없습니다.

이에 대한 해결책으로 소프트웨어 자재명세서(SBOM, Software Bill of Materials) 가 부상하고 있습니다.

SBOM은 소프트웨어를 구성하는 모든 요소(라이브러리, 모듈 등)의 목록과 그 관계를 명시한 문서입니다.

미국과 유럽연합(EU)이 SBOM 제출을 의무화하면서, 이는 국내 소프트웨어 수출 기업에게 필수적인 요건이 되었습니다.

한국 정부(과기정통부, KISA) 역시 국내 기업들의 SBOM 도입을 적극적으로 지원하고 있습니다.

이러한 외부 환경의 변화는 결국 기업 내부의 운영 실패가 얼마나 치명적인 결과로 이어지는지를 보여줍니다.

3. “기술이 아닌 운영의 실패”: 2025년 사고가 남긴 교훈

2025년에 발생한 주요 보안 사고들을 면밀히 들여다보면 한 가지 공통된 교훈이 드러납니다.

대부분의 대형 침해 사고는 막을 수 없는 제로데이 공격 때문이 아니라, 가장 기본적인 보안 운영 원칙을 지키지 않은 ‘운영의 실패’에서 비롯되었습니다.

기업	사고 시기	공격 유형	주요 원인	유출 규모	주요 피해 및 시사점
GS리테일	2025년 초	크리덴셜 스터핑	동일 비밀번호 재사용 + MFA 등 기본 보호 미적용	수백만 명 규모 (상세 미공개)	가장 단순한 공격으로 대규모 유출. 계정 보호 기본 정책 부재의 위험성 강조.
SK텔레콤	과거 (수년 잠복)	내부망 침투	평문 비밀번호 저장 + 접근 통제 실패	막대량 (수년간 유출)	장기 미탐지로 인한 치명적 피해. 핵심 인증 정보 암호화 의무화 필요.
쿠팡	2025.6 ~ 11	내부자(퇴사자) 인증키 악용	퇴사자 장기 유효 키 미회수 + 접근 통제 부실	3,370만 계정 (국내 최대)	사실상 전 고객 정보 유출. 내부 권한 관리 실패의 극단적 사례. 2차 피해(피싱 등) 우려 급증.
예스24	최근	랜섬웨어	백업/복원 시스템 미비	서비스 마비	데이터 암호화 + 업무 중단. 복원력 부족 드러남.
SGI서울보증	최근	랜섬웨어	백업/복원 시스템 미비	서비스 마비 + 사회적 파장	금융/부동산 거래 영향. 사이버 복원력(RTO/RPO 기반 백업) 전환 시급함.

계정 관리의 실패가 부른 대규모 유출

GS리테일 (2025년 초):
크리덴셜 스터핑(Credential Stuffing) 공격으로 대규모 고객 정보 유출.
사용자가 여러 사이트에서 동일 아이디/비밀번호를 재사용하는 습관을 노린 단순하지만 효과적인 방식.
기본적인 다중 인증(MFA) 미적용과 계정 보호 정책 부재가 원인으로, 개인정보 보호의 가장 기본이 무너진 사례.

SK텔레콤 (과거 사례, 장기 미탐지):
내부 시스템 관리망 서버에 평문 비밀번호 저장, 취약한 접근 통제 실패.
공격자가 이를 이용해 내부망을 수년간 자유롭게 이동하며 막대한 정보 유출.
암호화 미적용과 내부 접근 로그 미감시가 장기 잠복을 가능하게 함.

쿠팡 (2025년 6월~11월 발생, 11월 말 공식 발표):
퇴사한 중국 국적 전직 개발자(2024년 말 퇴사)가 재직 중 탈취한 장기 유효 인증키(Access Key/Signature Key)를 악용해 고객 계정을 사칭, 약 3,370만 개 계정(사실상 전체 고객)의 개인정보 무단 접근 및 유출. 유출 정보: 이름, 이메일, 전화번호, 배송지 주소, 최근 주문 이력 등 (결제 정보 및 로그인 비밀번호는 유출되지 않음).
공격 기간 약 5개월간 탐지되지 않았으며, 고객 민원으로 뒤늦게 인지. 내부 권한 관리 부실(퇴사자 키 무효화 미실시), 운영 데이터 접근 통제 실패가 핵심 원인.
이는 “인재(人災)”로 평가되며, ISMS-P 인증 보유에도 불구하고 실질적 내부 통제가 작동하지 않은 전형적 사례.

결과: 주가 폭락(5~8%), 정부 민관합동 조사단 가동, 과징금 최대 매출액 3~10% 검토(수천억~1조원대 예상), 영업정지 가능성, 집단소송 및 보상(1인 5만원 바우처 제안) 논란.

랜섬웨어 대응, ‘방어’에서 ‘복원력’으로

예스24와 SGI서울보증의 랜섬웨어 공격은 단순히 데이터를 암호화하는 것을 넘어, 기업의 핵심 서비스를 며칠간 마비시키는 결과를 초래했습니다. 특히 SGI서울보증의 업무 중단은 금융 및 부동산 거래 전반에 영향을 미치며 사회적 파장을 일으켰습니다.

이 사건들은 랜섬웨어 대응의 패러다임이 바뀌어야 함을 명확히 보여주었습니다.

이제 목표는 단순히 감염을 ‘방어’하는 것을 넘어, 공격을 당했을 때 얼마나 빨리 서비스를 복구하고 업무 연속성을 확보할 수 있는가, 즉 사이버 복원력(Cyber Resilience) 에 초점을 맞춰야 합니다.

복구 목표 시간(RTO)과 복구 목표 시점(RPO)에 기반한 견고한 백업 및 복구 계획이 그 핵심입니다.

4. 정부와 기관의 대응: 정책과 제도의 변화

2025년에 연이어 발생한 대규모 침해 사고는 대한민국 정부와 유관 기관이 국가 사이버 보안 체계를 근본적으로 재검토하는 계기가 되었습니다.

정부는 더 이상 사후약방문식 대응에서 벗어나, 선제적이고 구조적인 변화를 추진하기 시작했습니다.

‘망분리 완화’와 데이터 중심 보안으로의 전환

정부는 ‘범부처 정보보호 종합대책’ 을 통해 기존의 물리적 망분리 정책을 2026년부터 단계적으로 완화하겠다는 계획을 발표했습니다.

이는 공공 부문의 보안 패러다임이 경계 기반 방어에서 데이터 중심의 유연한 보안 체계로 전환됨을 의미하는 중대한 변화입니다.

국가정보원이 발표한 ‘N2SF’ 가이드라인 역시 공공 부문의 클라우드 도입을 장려하며 이러한 변화를 뒷받침합니다.

더 이상 네트워크를 물리적으로 나누는 것만으로는 클라우드와 AI 시대의 보안 요구를 충족할 수 없다는 인식이 정책에 반영된 것입니다.

실전 같은 훈련과 CEO 책임 강화

정부는 민간 기업의 대응 역량을 강화하기 위한 실질적인 조치들도 병행하고 있습니다.

한국인터넷진흥원(KISA)은 사이버 위기대응 모의훈련에 생성형 AI를 활용하여 실제 공격과 거의 흡사한 시나리오를 만들어 훈련의 효과성을 극대화하고 있습니다.

더 나아가, 정부는 기업의 책임을 강화하는 제도적 장치를 마련하고 있습니다. 정보보호 공시 의무를 상장사 전체로 확대하고, 기업의 보안 역량을 평가하는 보안 등급제를 도입하며, 최고경영자(CEO)의 정보보호 책임을 법적으로 명문화하는 방안을 추진 중입니다.

5. 사람과 제도의 간극: CISO의 현실과 미래

아무리 뛰어난 기술과 강력한 정책이 마련되어도, 결국 보안의 성패는 이를 실행하는 ‘사람’과 ‘조직 문화’에 달려있습니다.

기술과 제도가 빠르게 변화하는 동안, 현장의 보안 리더십과 조직 구조는 그 속도를 따라가지 못하는 딜레마에 직면해 있습니다.

“CISO는 죄인인가?”: 법과 현실의 괴리

국내의 많은 정보보호최고책임자(CISO)들은 보안 사고 발생 시 모든 책임을 짊어져야 하는 ‘죄인’이 되는 현실에 놓여있습니다.

한 보안 전문가의 기고에 따르면, CISO는 법적으로 막중한 책임을 지고 있지만, 실제로는 예산과 인사에 대한 실질적인 권한이 없는 경우가 많습니다.

또한, 침해사고 의무 신고 제도와 같은 규제는 역설적으로 기업이 신고를 꺼리게 만드는 부작용을 낳기도 합니다.

신고로 인한 평판 하락과 영업적 피해가 미신고 시의 과태료보다 훨씬 크기 때문에, 문제를 투명하게 공개하기보다 숨기려는 유인이 발생하는 것입니다.

새로운 해법: ‘사이버 복원력’과 ‘vCISO’

이러한 조직적 문제를 해결하기 위한 새로운 대안이 제시되고 있습니다. 첫째는 ‘사이버 복원력(Cyber Resilience)’ 의 내재화입니다.

이는 “사고는 언제든 발생할 수 있다”는 사실을 인정하고, 예방뿐만 아니라 사고 발생 시 피해를 최소화하고 신속하게 복구하는 능력에 집중하는 것입니다.

둘째는 전문 인력 부족 문제에 대한 현실적인 해법인 ‘vCISO(가상 CISO, virtual CISO)’ 입니다.

이는 보안 전문가를 정규직으로 채용하기 어려운 중소·중견기업이 외부 전문 서비스를 통해 높은 수준의 보안 전략을 설계하고 운영할 수 있도록 지원하는 모델입니다.

궁극적으로 CISO의 고민은 기술과 제도의 한계를 넘어, 보안을 조직의 생존 전략으로 받아들이는 성숙한 문화 없이는 어떠한 해법도 완성될 수 없다는 현실을 보여줍니다.

2025년의 사이버 보안 환경을 관통하는 핵심 메시지는 명확합니다.

보안은 더 이상 기술 전문가들만의 영역이 아니며, 단순히 기술적인 문제 해결을 넘어섰습니다.

성공적인 보안 전략은 이제 정교한 기술, 선제적인 운영, 현실적인 정책, 그리고 권한과 책임이 조화를 이루는 조직 문화가 통합된 총체적인 접근을 요구합니다.

AI의 위협에 AI 기술로 맞서고, 보이지 않는 클라우드 경계를 새로운 원칙으로 관리하며, 과거의 실패에서 배운 운영의 교훈을 체화해야 합니다.

또한, 정부의 정책 변화에 능동적으로 대응하고, 무엇보다 보안을 책임지는 사람이 제대로 일할 수 있는 조직 구조를 만드는 것. 이 모든 것이 조화를 이룰 때, 우리는 비로소 다가오는 위협 속에서 비즈니스의 지속 가능성을 확보할 수 있을 것입니다.