사이버 보안은 역동적인 산업이다. 새로운 트렌드, 기술, 기법이 놀라운 속도로 현황을 재편하고 있어 따라가기가 쉽지 않은 상황이다.

2025년에 접어들면서 애플리케이션과 앱프로그래밍인터페이스(API) 보안의 중요성이 어느 때보다 분명해졌다. 지난해 API는 디지털 혁신의 중추로서의 역할을 공고히 했다. 하지만 API 도입 증가는 공격 표면을 확장시켰고, API 공격 27%가 비즈니스 로직 취약점을 노리고 있어 전년 대비 10% 증가했다. 현대 비즈니스의 원동력인 데이터 보호가 올해 조직 주요 관심사로 떠오른 이유다.

특히 데이터 보안 환경이 변화하면서 기업은 새로운 도전과 과제에 직면하고 있다. 특히 규제 강화와 기술 발전이 맞물리면서 주요 변화가 예상된다.

글로벌 데이터 프라이버시 규제 현황

유엔무역개발회의(UNCTAD)에 따르면 현재 80%의 국가들이 데이터 보호 및 프라이버시 법안을 보유하고 있거나 준비 중이다. 이러한 규제들은 국제 법 집행과 관련된 위험에 대응하기 위해 특정 관할권 내에서 데이터를 저장하고 처리하도록 의무화하고 있다.

클라우드 제공업체와 기업들은 현지 데이터 주권법을 준수해야 하고, 조직들은 새로운 시스템과 애플리케이션에 프라이버시 중심 설계 원칙을 반영해야 한다. 2024년에 제안된 미국 연방 프라이버시 권리법(APRA)은 연방 데이터 프라이버시 규제 수립을 향한 중요한 진전을 보여주지만, 캘리포니아와 같은 주별 법률들이 계속해서 규제 환경을 형성하고 있다.

선제적 위험 관리의 진화

인공지능(AI)이 사이버 공격 빈도와 규모를 증가시키면서, 조직들은 단순한 규정 준수 중심 접근방식에서 보다 선제적인 위험 중심 전략으로 전환해야 한다. 이는 조직, 자산, 규제 위험을 포함한 주요 차원에서의 위험을 이해하는 것이 필요하다. 전체 데이터 자산에 걸친 주요 데이터 위험 지표를 활용함으로써, 조직은 정보에 입각한 효과적인 보안 결정을 내릴 수 있는 실행 가능한 관점을 만들 수 있다.

지속적인 모니터링과 잠재적 위협에 대한 선제적 대응이 표준 관행이 될 것이며, 더욱 강력한 인증 조치도 함께 도입될 것이다. NIS2, DORA, PCI DSS 4.0, 영국 사이버 복원력법, EU AI법과 같은 새로운 규제 준수는 조직들이 IT 시스템의 가장자리에서 핵심에 이르기까지 포괄적인 보안 조치를 채택하도록 이끌 것이다.

보안 운영에서의 AI 도구

AI와 머신러닝(ML)은 위협 탐지 및 대응 강화, 위협 사냥 개선, 보안 태세 관리와 행동 분석을 결합하여 대규모 데이터셋을 실시간으로 모니터링하고 보호하는 데 도움을 주는 등 사이버보안에서 점점 더 중심적인 역할을 할 것이다.

사이버보안 공급업체들이 전 세계적으로 480만 명에 달하는 인재 부족 문제를 해결하기 위해 AI 지원 코파일럿을 점점 더 통합하고 있지만, 이러한 도구들은 내부 팀을 대체하기보다는 보완하는 역할을 한다. 보안 팀은 특히 데이터 유출 시도나 비정상적인 데이터 접근 패턴과 같은 위험을 식별하는 데 있어 AI 도구의 기능을 효과적으로 활용하는 데 집중해야 한다.

주요 기반시설 보호

주요 기반시설을 겨냥한 공격이 기하급수적으로 증가했으며, 대부분이 내부 IT 인프라에서 발생했다. IT, OT 및 지정학적 문제 간의 단절은 2025년에 내부자 위협이 번성할 수 있는 환경을 만들고 있다.

주요 기반시설이 광범위한 영향을 미칠 수 있는 잠재력으로 인해 사이버 범죄자들의 주요 표적이 되고 있는 상황에서, 조직들은 포괄적인 보안 조치와 운영 기술 및 정보 기술 시스템 간의 강화된 조정을 통해 이러한 격차를 해결해야 한다. 이러한 도전은 포스트 양자 컴퓨팅 위협의 도입으로 더욱 복잡해지고 있고, 진화하는 보안 표준에 적응할 수 있는 양자 안전 네트워크와 암호 민첩성 솔루션의 필요성을 촉진하고 있다.

2025년 애플리케이션 및 API 보안 전망

2025년에 접어들면서 애플리케이션과 API 보안의 중요성이 그 어느 때보다 분명해졌다. 2024년에 API는 디지털 혁신의 중추로서의 역할을 공고히 했다. 하지만 API 도입의 증가는 공격 표면도 확장시켰으며, API 공격의 27%가 비즈니스 로직 취약점을 노리고 있어 전년 대비 10% 증가했다. 더불어 계정 탈취(ATO) 공격의 46%가 API 엔드포인트를 대상으로 하여 2022년의 35%에서 증가했다.

이러한 수치들은 API 주도 혁신의 양면성을 보여준다. 연결성과 효율성을 가능하게 하는 동시에 새로운 취약점도 만들어내고 있다. 기업들이 계속해서 API를 디지털 전략의 핵심으로 받아들이면서, 이러한 중요한 경로를 보호해야 할 필요성이 커지고 있다. 2025년의 문제는 단순히 API 특정 위협에 대한 방어가 아니라, 혁신을 저해하지 않으면서도 안전하고 복원력 있는 인프라를 선제적으로 구축하는 것이다.

DevSecOps와 API 성장의 진화

2025년은 API 붐의 4년차를 맞이하는 해다. 임퍼바(Imperva)의 연구에 따르면 작년 평균적인 기업이 613개의 API 엔드포인트를 관리했고, API 트래픽이 웹 트래픽의 71% 이상을 차지했다. 불행히도 API의 원활한 데이터 통합 기능은 공격자들에게 매력적인 표적이 되고 있다. API 관련 보안 문제로 조직들은 현재 연간 870억 달러의 비용을 지출하고 있다.

2025년에는 API와 관련된 위험이 증가함에 따라 조직들이 개발 초기 단계부터 보안을 강화하도록 압박받게 될 것이다. 더 많은 기업들이 API를 도입함에 따라, 데브섹옵스(DevSecOps) 관행으로의 전환이 이루어져 개발 프로세스에 보안이 내장될 것이다. 조직들은 지속적인 가시성, 분류, API를 통한 데이터 흐름 모니터링을 통해 자신들을 보호하면서 API 발견에 더 많은 초점을 맞추게 될 것이다.

LLM 애플리케이션과 API 보안 위험

조직들이 계속해서 대규모 언어 모델(LLM) 기반 애플리케이션을 도입함에 따라, LLM 에이전트와 같은 맞춤형 구성 요소들이 점점 더 널리 퍼질 것이다. 이러한 구성 요소들이 종종 다른 시스템과의 기능과 통합을 위해 API에 의존하기 때문에, 2025년에는 API 연결의 취약점과 관련된 LLM 애플리케이션의 고강도 보안 침해가 적어도 한 건 발생할 가능성이 있다.

이러한 침해는 상당한 주목을 받게 될 것이며, 더욱 강력한 API 보안 조치의 시급한 필요성을 부각시킬 것이다. 최고정보보안책임자(CISO)들은 자신의 조직 내 API의 수에 대해 점점 더 인식하고 있고, API를 보호하기 위한 협력적인 노력을 이끌고 있어 2025년에는 API 보안이 새로운 성숙도 수준에 도달할 것이다.

AI 기반 사이버범죄의 진화

생성형 AI는 이미 사이버 범죄자들의 진입 장벽을 낮춰, 경험이 부족한 공격자들도 비교적 정교한 공격을 신속하고 쉽게, 그리고 규모있게 감행할 수 있게 했다.

이 문제는 내년에 더욱 악화될 것으로 보인다. 2025년에는 기업 표적의 이름만으로도 일련의 악의적인 활동을 시작할 수 있는 사이버 공격 도구가 등장할 수 있다. 사이버 범죄자들은 이 도구를 사용하여 피싱 이메일을 자동으로 생성하고 전송할 수 있다. 표적 네트워크에 침투한 후에는 이 기술을 활용하여 추가적인 접근 권한을 획득할 수 있다. 이러한 도구들의 사용 편의성과 효과성은 전반적인 사이버 공격의 양과 정교함을 증가시킬 것으로 보인다. 이러한 진화는 현재 거의 또는 전혀 보안이 마련되어 있지 않은 새로운 위협 벡터인 프롬프트 인젝션의 출현과 맞물려 있다.

공급망 보안의 필수 사항

공급망이 더욱 복잡해지고 상호 연결되면서, 지난해 'XZ유틸(Utils·SSH) 공격과 같은 중요한 오픈소스 공급망 공격이 발생할 가능성이 높아질 것으로 예상된다.

조직들은 이러한 공격의 위험을 줄이기 위해 다층적인 보안 접근 방식을 채택해야 한다. 이 접근 방식에는 정기적인 코드 감사, 자동화된 취약점 스캐닝, 강력한 접근 통제와 같은 엄격한 보안 조치의 구현은 물론, 사이버보안 커뮤니티 내에서의 위협 정보와 모범 사례 공유도 포함된다. 또한, 모든 소프트웨어 구성 요소와 그 종속성에 대한 명확한 인벤토리를 유지하는 것은 조직이 취약점을 신속하게 식별하고 해결하는 데 도움이 될 것이다. 현대 공급망의 복잡성과 공격의 증가하는 정교함을 고려할 때, 이는 2025년 보안 팀의 중요한 초점 영역이 될 것이다.

조직들은 운영 효율성과 규제 준수를 유지하면서 선제적 위험 관리와 강력한 기술적 통제 사이의 균형을 맞춰야 한다. 새로운 해를 향해 나아가면서, 데이터 프라이버시와 API 보안에서부터 신흥 기술과 인프라 보호에 이르기까지 다양한 전선에 노력이 집중될 것이다.

성공을 위해서는 전통적인 위협과 새롭게 등장하는 위협 모두에 대한 포괄적인 이해가 필요하고, 이와 함께 디지털 생태계의 모든 측면에서 효과적인 보안 조치를 구현할 수 있는 능력이 요구될 것이다.

웨인 후이(Wayne Hui) 탈레스 세일즈 디렉터

<기고와 칼럼은 본지 편집 방향과 무관합니다.>