2023년에 가장 중요했던 추세를 살펴보고 2024년 이후에 조직에서 예상해야 할 사항을 알아봤습니다. 내년 한 해 동안 조직의 주요 전략과 우선순위를 준비할 때 이를 고려하세요.
AI는 지난 한 해를 대표하는 추세였으며, 2024년에도 AI가 지배적인 추세가 될 것이라고 믿을 만한 합당한 이유가 있습니다. 이는 운영 효율성을 높이는 방법부터 공격자가 조직 내에서 목표로 삼을 대상에 이르기까지 조직의 모든 측면에 영향을 미치게 됩니다. 또한 새로운 형태의 인터넷 연결, 규제 준수 복잡성 증가, 긴축 예산으로 인한 IT 및 보안에 대한 큰 변화 등이 예상됩니다. 사이버 보안 및 IT의 미래에 대하여 10가지 예측을 해본다면 다음과 같습니다.
위성을 통해 60여 개국에 인 터넷 액세스를 제공하는 스타링크는 현재 로컬 다운링크가 필요하므로 각국 통신 규제 기관의 규제를 받습니다. 2024년에 SpaceX는 스타십을 발사하여 위성 배치 속도를 가속화하고 위성 간 광 링크 도입을 허용할 예정입니다. 이러한 발전에 따라 단말기를 보유한 고객은 로컬 다운링크 없이도 위성을 통해 신호를 전송하고 전 세계 다른 곳에서 다운링크를 통해 인터넷을 사용할 수 있게 됩니다. 그 결과 일부 국가에서는 인터넷 접속을 제한할 수 있는 영향력을 상실하게 됩니다. 스타링크의 가용성으로 인해 적어도 한 국가의 국가 정책이 우회될 것으로 예상됩니다. 조직에서는 특정 지역에 앱을 배포할 때 국가 정책과 실제 정치 현실을 모두 고려해야 합니다.
AI에서 앱 개발과 웹 사이트를 위한 코드를 제공하는 능력이 향상됨에 따라 기본적인 프런트엔드 개발이 빠르고 쉬워지며 상품화됩니다. 이러한 흐름에 뒤처지지 않으려면 프런트엔드 개발자는 AI와 함께 작업해야 합니다. 성공적인 프런트엔드 개발자는 창의력, 문제 해결 능력, 비즈니스 통찰력, 고유한 전문성 등 더욱 특별한 기술을 갖춰야만 눈에 띄는 성과를 거둘 수 있습니다. 더 새로운 프레임워크를 활용하면 AI가 심층 학습해온 기존 프레임워크에 비해 유리한 고지를 선점할 수 있습니다. 프런트엔드 개발자가 어떤 프 레임워크를 선택하고 어떤 고유한 기술을 활용하느냐에 따라 고용 시장과 개발 프로세스의 변화 양상이 달라질 수 있습니다.
위협 행위자들은 조직의 성공에 중요한 역할을 하는 신기술을 노리는 경우가 많으며, AI도 예외는 아닙니다. 이미 데이터 유출과 같은 주요 AI 보안 이슈가 발생했지만, 2024년은 위협 행위자들이 AI 모델 자체를 노리는 해가 될 것입니다. 조직에서는 데이터 유출, 모델 복제 및 도난, 심지어 모델 변조(모델에 학습되는 입력을 변경하여 AI 출력을 조작하려는 시도)에도 대비해야 합니다. 자체 조직의 AI 모델을 안전하게 보호하려는 기업은 국가사이버보안센터(NCSC)와 사이버보안 및 인프라 보안국(CISA)의 안전한 AI 시스템 개발을 위한 가이드라인을 참조해야 합니다.
2024년은 생성형 AI를 적극적으로 도입하는 조직에서 이 기술이 결코 저렴하지 않다는 사실을 깨닫게 되는 해가 될 것입니다. AI 칩 공급망 문제, 제한된 AI 최적화 코로케이션 공간, 에너지 가격 상승 등 2024년에 높은 비용이 발생할 것으로 예상되는 이유는 다양합니다. 여기에는 탄소 배출로 인한 사회적 비용은 포함되지도 않았습니다. 투자 수익률에 대한 명확한 경로가 없다면, CFO는 계량화되지 않은 비용을 더 오래 허용하지는 않을 것입니다.
이를 위해 Cloudflare에서는 조직에서 특히 실험 단계에서 AI 배포에 대한 인사이트, 보안 대책, 모니터링을 제공할 수 있는 개발자 도구를 구현하여 비용을 지속적으로 관리할 수 있기를 기대합니다. 개발자는 또한더 적은 컴퓨팅 리소스로 더 많은 작업을 수행해야 한다는 압박을 받게 됩니다. 기본 모델에서 학습된 작업별 모델은 필요한 컴퓨팅 공간을 줄이는 데 핵심적인 역할을 합니다. 솔루션은 서버의 단일 GPU, CPU 전용 서버, 랩톱, 휴대폰 등 더 작은 컴퓨팅 공간으로 구현할 수 있어야 합니다.
인터넷은 이제 핵심 인프라이며, 내년에는 인터넷이 그 어느 때보다 더 많은 공격의 대상이 될 것이라는 데는 논란의 여지가 없습니다. zero-day, 인기 있는 소프트웨어의 결함, 공급망 문제 등이 늘어나며 위협 행위자의 전술이 진화하고 현실화됨에 따라 조직에서는 복원력을 유지하기 위해 취할 수 있는 조치에 대하여 준비 태세를 유지해야 합니다. 2024년에 보안 리더들은 사고 관리, 패치 적용, 보안 보호 기능의 진화를 지속적인 프로세스로 전환하는 사고방식의 전환을 시작할 것입니다. 책임감 있는 공개는 CISO의 우선순위나 스타일과 관계없이 복원력을 유지하는 데 중요한 초석이 될 것입니다. zero-day 같은 사고를 관리하는 것은 "패치를 실행하면 끝입니다"라고 말하는 것처럼 간단한 일이 아닙니다. 취약점의 변종에 대한 패치 등의 완화 조치로 위험을 줄일 수는 있지만, 위험을 완전히 제거할 수는 없습니다.
보안이 취약한 네트워크를 보호하려는 조직의 경우 Zero Trust 구현은 매우 어려운 일이었습니다. 네트워크 내에서 과도한 액세스를 제거하고 데이터, 앱, 사용자 간의 위치 배열을 처리하는 것은 어려운 과제입니다. 2024년에는 Zero Trust 프로젝트가 네트워크 경로에 제품을 삽입하는 방식에서 벗어나 보안 액세스 서비스 에지(SASE)를 통해 보안 제어 및 상황별 정책을 시행하는 방식으로 전환되는 변곡점을 맞이할 것으로 예상됩니다. 그러면 사실상 사용자와 데이터 간의 네트워크 연결 내부가 아닌 위에 있는 Zero Trust 제어판이 생성됩니다.
2023년에 IPv6 채택률은 45~50%에 달했습니다. 2024년에는 채택률이 50%를 넘어설 것입니다. 하지만 오늘 날 많은 네트워크 및 보안 벤더는 IPv6를 완전히 지원하지 않습니다. 더 심각한 문제는 보안 벤더가 자체 클라우드 시행 지점으로 트래픽을 전송하기 위해 고객에게 제공하는 최종 사용자 장치, 앱 서버, 로컬 네트워크용 소프트웨어 기반 커넥터가 명시적인 IPv6 전용 지원 없이 우회되는 경우가 점점 더 많아진다는 점입니다. IPv4 고갈과 네트워크 주소 변환의 한계 증가 문제로 인해 가입자에게 IPv6 액세스를 제공하는 인터넷 서비스 공급자가 늘어나고 있는 지금이야말로 이용 중인 벤더에게 언제, 어디서, 어떻게 IPv6를 지원할 것인지 문의해야 할 때입니다.
모든 유형의 조직에서 중요한 비즈니스 기능을 수행하기 위해 AI 모델에 적극적으로 투자하며 의존하고 있습니다. 또한, 월스트리트에서는 AI를 언급하는 기업의 주가가 상향 조정되고 기술 흐름에 뒤처진 것으로 보이는 기업에는 불이익을 주어지는 등 기업에서는 경쟁 우위를 유지하기 위해 AI를 추진하고 있습니다. AI의 급속한 영향력 면에서 앞서 나가기 위해 조직에서는 AI 전략을 추진하고 책임을 통합할 최고 AI 책임자를 임명할 것입니다. 비즈니스 운영, 제품 개발, 사용자 경험에 대한 AI의 영향력이 점점 더 커지면서 AI의 사용과 윤리를 감독하고 관련 위험을 관리할 전담 리더십이 필요해졌습니다.
생성형 AI를 사용하면 개인화된 텍스트를 쉽게 만들 수 있습니다. 공격자의 손에 들어갈 경우 공격자는 광범위한 개인 맞춤형 피싱 공격을 수행할 역량을 늘릴 수 있습니다. 2024년은 AI가 공격자를 위한 툴킷의 표준이 되는 해입니다. 이러한 추세는 이미 임직원을 겨냥하여 사기 결제를 유도하는 비즈니스 이메일 손상(BEC) 공격에 AI가 생성한 메시지가 사용되는 등 실제 사례로 나타나고 있습니다. 음성 딥페이크 생성 도구가 더 보편화되고 모델 학습을 위해 특정 인물의 녹음 자료가 증가함에 따라 음성 딥페이크도 증가할 것으로 예상됩니다.
피싱과 소셜 엔지니어링 공격은 새로운 것이 아닙니다. 여기서 진정한 변화는 그 양과 질 측면의 증가입니다. ML 기반 메시지 분석 및 적응형 링크 격리 등의 고급 이메일 보안 기능과 다단계 인증(MFA)에 사용되는 피싱 방지 하드 키는 피싱과의 전쟁에서 필수적인 요소가 되고 있습니다. AI 기반 소셜 엔지니어링 공격이 이루어지면 프로세스, 리소스, 도구가 부족한 소규모 조직에서 더 큰 피해를 입을 수 있습니다.
데이터 개인정보 보호 및 정보 보안 관련 법률과 요건을 준수하는 것은 결코 쉬운 일이 아니며, 2024년에는 새로운 규정과 강화된 조사로 인해 이러한 어려움이 더욱 커질 것입니다. 2023년 12월 미국에서 새로 운 SEC 사이버 보안 규정이 시행되고, EU에서 확장된 네트워크 및 정보 시스템 지침(NIS2)이 시행되며, 2024년에 AI를 다루는 획기적인 유럽 프레임워크가 개발되는 등 전 세계적으로 주요 규제 변화가 진행되고 있습니다. 규제 준수 팀에서는 기존의 개인정보 보호 및 보안 기술 및 프로세스를 최적화하여 늘어나는 규제 준수 의무를 충족하는 동시에 규제 준수 전용 AI 소프트웨어 등의 틈새 도구에 전략적으로 투자해야 합니다.
보안 인증 측면에서는 조직에서 보안 제어 능력을 최적화하여 점점 더 많이 사용되는(그리고 중요한 경우가 많은) 보안 인증과 기존 표준에 대한 업데이트를 준수해야 합니다. 보안 표준은 요구 사항을 충족하기 위해 규범적 접근 방식이 아닌 위험 기반 접근 방식으로 전환될 것으로 예상됩니다. 이러한 접근 방식은 이미 PCI 4.0으로 업데이트된 결제 카드 보안 표준(PCI-DSS)을 비롯한 여러 보안 인증에서 확인되고 있습니다. 클라우드 서비스에 대한 유럽연합 사이버 보안 인증 제도(EUCS)와 같은 지역 인증 노력에 일부 진전이 있었지만, 국가별 인증이 늘어나면서 정부 규제 준수 영역이 확대될 것으로 예상됩니다.
2024년에 IT 및 보안 팀에서는 신기술, 위협, 규제, 비용 증가에 맞서 싸워야 할 것입니다. 특히 AI는 조직에서 무시할 수 없는 중요한 요소입니다. 빠르게 혁신하지 못하는 기업은 경쟁사에 뒤처질 수밖에 없습니다. 그러나 IT 및 보안 의사결정권자의 39%가 조직에서 디지털 환경에 대한 제어 능력을 상실했다고 생각하는 상황에서 신속한 혁신은 말처럼 쉬운 일이 아닙니다.
조직에서 보안을 유지하면서 혁신에 필요한 민첩성과 효율성을 확보하고 제어 능력을 되찾으려면 어떻게 해야 할까요? 클라우드 연결성 - 도구를 통합하고 모든 도메인을 연결하는 통합 플랫폼으로 제어 능력을 되찾고 비용을 절감하며 확장된 네트워크 환경을 보호하는 데 따른 위험을 줄일 수 있습니다.
Cloudflare는 주요 클라우드 연결성 기업입니다. Cloudflare에서 지원하는 조직에서는 복잡성과 비용을 줄이면서 직원, 애플리케이션, 네트워크를 어디에서든 더 빠르게 하고 더 안전하게 보호할 수 있습니다. Cloudflare의 클라우드 연결성은 클라우드 네이티브 제품 및 개발자 도구로 구성된 가장 완전한 기능의 통합 플랫폼을 제공하므로 모든 조직에서는 업무, 개발, 비즈니스 가속화에 필요한 제어 능력을 확보할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Grant Bourzikas — @grantbourzikas
최고 보안 책임자, Cloudflare
John Engates - @jengates
기술 책임자, Cloudflare
이 글을 읽고 나면 다음을 이해할 수 있습니다.
AI 채택이 가파른 도전에 직면하게 될 이유
조직에서 IT 및 보안에 투자를 고려해야 하는 분야
새로운 위협과 규제 준수 의무가 조직에 미치는 영향
관련 리소스: