💌 후속 콘텐츠, 계속 받아보세요 ▶

01. 한눈에 보안 운영(SecOps)의 흐름 알아보기

사이버 보안 분야의 트렌드를 통괄하는 하나의 보고서를 꼽으라면 정답은 바로 가트너(Gartner)의 ‘보안 운영 하이프 사이클(Hype Cycle for Security Operations)’일 것이다. 지난해에 이어 올해도 가트너가 보안 운영 하이프 사이클을 발표(‘25.06.23.)했다. 보안 운영 하이프 사이클은 위협과 노출을 식별하여 IT/운영 기술 시스템, 클라우드 워크로드, 애플리케이션 및 기타 디지털 자산을 공격으로부터 방어하는 보안 운영 기술과 서비스에 대해 다루고 있다. 이는 보안 및 위험 관리(Security and Risk Management, 이하 SRM) 리더들이 보안 운영(Security Operations, 이하 SecOps) 역량과 기능을 전략화하고 구현하는데 도움을 준다.

가트너는 새로운 기술이 등장하는 시점부터 안정기에 도달할 때까지 시간에 따라 5단계로 나누고, 시간의 변화에 따른 기대치를 ‘하이프 사이클(Hype Cycle)’이라는 패턴으로 표현한다. 하이프 사이클의 5가지 단계는 △발생기(Innovation Trigger) △버블기(Peak of Inflated Expectations) △환멸기(Through of Disillusionment) △계몽기(Slope of Enlightenment) △안정기(Plateau of Productivity)로 구성되어 있으며, 여기에 가트너는 각 분야별로 선정된 기술들을 하이프 사이클의 알맞은 주기 위에 포지셔닝 시킨다. 그리고 각 기술들이 시장에 안정적으로 확산되는 단계에 도달하기까지 얼마만큼의 시간이 소요될지에 대해서도 표기해 놓았는데, 이를 통해 조직이나 기업들은 향후 어떠한 기술을 선택하거나 집중해야 될지를 파악하는 데 인사이트를 획득할 수 있다.

그리고 보안 운영 하이프 사이클은 단지 IT 환경 뿐만 아니라 보안 환경 역시 매우 빠르게 변화하고 있음을 실감하게 만든다. 가트너는 지난해 보고서의 핵심 주제로 ‘위협 환경이 더욱 불안정해지고 복잡해짐에 따라 조직의 노출 관리 복잡성을 해결하는 것’을 선정했으며, 이를 위한 방안이자 아키텍처로 ‘CTEM(Continuous Threat Exposure Management)’을 제시했다. 비슷한 맥락이지만 올해는 ‘더 복잡해지고 분산되는 인프라를 보호하기 위한 능동성과 확장성의 필요성’을 제시하며 단일 주제가 아닌 3가지 핵심 주제를 조명했다. 본 기고에서는 가트너가 보안 운영(SecOps) 환경 개선을 위해 보안·리스크 관리(Security and Risk Management, 이하 SRM) 리더들이 반드시 집중해야 할 3가지 핵심 주제들과 올해 보안 운영 하이프 사이클에서 식별된 세부 기술들의 변화에 대해 알아보고자 한다.

02. 보안 운영 하이프 사이클의 3가지 핵심 주제

가트너는 복잡해지고 분산되는 인프라를 보호하기 위한 능동성과 확장성을 확보하기 위해서는 ‘식별하고 방어하는 것’에서 ‘노출을 이해하고, 민첩하게 대응하며, AI로 최적화’해야 한다고 전했다. 조직들은 점점 더 복잡해지는 환경 속에서 기존 보안 도구의 성능만으로는 대응이 어렵다는 한계에 직면하고 있으며, 이제는 자동화(Automation)와 위험(Risk) 기반의 적응형 보안 체계를 중심으로 전략을 재편하고 있다.

이에 SRM 리더들은 기존 도구(보안 Tool)에 대한 투자 수익률(ROI)과 함께 새로운 기술 도입에 대한 고민을 병행하고 있다. 특히, 클라우드 우선 전략을 채택한 조직일수록 자산 가시성 확보, 위협 우선순위 지정, 자동화된 대응 체계 구축이라는 공통 과제를 안고 있으며, 이는 전통적인 취약점 관리만으로는 해결할 수 없는 영역이다. 이러한 보안 운영의 패러다임 전환을 중심에 두고, 가트너는 ①위협 노출 관리(조직의 실제 위협 노출을 중심으로 한 보안 전략 재구성) ②TDIR 고도화(정교해지는 위협에 대응하기 위한 TDIR 체계 고도화) ③AI를 기반으로 한 보안 자동화의 확장을 핵심 축으로 제시하고 있다.

03. 보안 운영 하이프 사이클 속 26가지 기술들

보안 운영(SecOps)의 진화는 단순한 기술의 도입이 아니라, 각 기술이 조직 내에서 어떤 역할을 언제, 어떻게 수행하는가에 대한 전략적 고민과 직결된다. 올해 하이프 사이클에서 가트너는 기술이 어떻게 등장하고 성숙해지는지를 5단계로 구분하며, 각 단계별 주요 기술의 특성과 시사점을 함께 제시했다.

1) 발생기(Innovation Trigger): 기술이 막 부상하며 주목받는 시점

발생기는 이런 기술들이 정말 우리에게 필요할까?라는 고민을 하게 만드는, 시장에 막 등장한 기술들이 포함된 구간이다. 그러다 보니 하이프 사이클의 5가지 단계 중 가장 많은 관심이 쏠리는 영역이기도 하다. 올해는 AI SOC Agents와 CIRM(Cybersecurity Incident Response Management)과 같은 기술이 새롭게 등재됐는데, 여기서 AI SOC Agents는 사람처럼 판단하고 업무를 도와주는 AI 기반 보안 비서로, 알람 피로도(Alert Fatigue)에 시달리는 보안운영센터(Security Operation Center, 이하 SOC)에 유용한 기술이다. 그리고 CIRM은 사고 대응을 프로젝트 단위로 구조화하여, 대응 단계를 정형화하고 반복 가능하게 만든다.

주목할만한 점은 지난해 하이프 사이클에서 새롭게 등장했던 AEV(Adversarial Exposure Validation, ASCA(Automated Security Control Assessment)와 같은 노출 검증 기반 기술들이 실험 단계를 지나 확산 국면(다음 단계인 버블기(Peak of Inflated Expectation))에 진입하고 있다는 점이다. 이를 통해 보안 환경 역시 매우 빠르게 변화하고 있음을 알 수 있다. 해당 기술들은 단순 취약점 탐지라는 한계점에서 한발 더 나아가, 보안 통제가 실질적으로 잘 작동하는지 자동으로 확인하는 기술들로 조직의 리스크 판단력과 효율성을 강화시키는 데 도움을 준다.

2) 버블기(Peak of Inflated Expectations): 기대감이 폭발하는 구간

버블기는 시장의 관심과 기대가 한껏 부풀어 있는 단계다. 해당 구간에 포함된 기술들은 보안 운영(SecOps)과 관련해 시장에서 가장 많은 관심을 받고 있다는 것을 의미하기도 하지만, 아직 성능이나 효과가 명확하게 입증되지 않았기에 빠르게 퇴출될 가능성이 가장 높은 기술이기도 하다.

올해 가트너는 버블기에 속한 기술 중 EAP(Exposure Assessment Platforms), CPS(Cyber-Physical System) 보안, PTaaS(Penetration Testing as a Service)에 집중해야 한다고 강조했다.

해당 기술들은 가트너가 지난해부터 강조한 CTEM을 구현하기 위한 핵심 기술들이지만, 현실은 그렇게 간단하지 않다. 단순 기술 도입만으로는 CTEM 구현이 충분하지 않고, 내부 프로세스 정비와 전문 인력 확보가 병행되지 않으면 실효성이 떨어지기 때문이다. 이와 함께 CPS 보안 역시 산업계 전체에서 주목받고 있지만, 명확한 CPS 보안의 도입을 위해서는 물리(Physical) 보안과 사이버(Cyber) 보안의 통합적 이해가 요구되는 등 보편적으로 시장의 필요성(Needs) 보다 기술력(Tech)이 뒤떨어지는 단계로도 볼 수 있다.

3) 환멸기(Trough of Disillusionment): 실망의 시기

환멸기에는 실제로 조직에서 도입됐지만 기대만큼 성과를 내지 못하거나, 시장 내 위치가 애매해진 기술들이 모이는 기술들이 모이는 것으로 보여질 수 있다. 실제로 내년 보고서부터는 CAASM(Cyber Security Attack Surface Management)과 DRPS(Digital Risk Protection Services) 2개 기술이 제외되는데, 이는 해당 기술들이 더이상 필요하지 않다는 뜻이 아니다. 해당 기술들은 개별 기술로 주목받는 것이 아닌 EAP(Exposure Assessment Platforms)와 TI(Threat Intelligence)와 같은 플랫폼에 흡수되기 때문이다. 지난해에는 핵심으로 간주되던 기술들이 이제 주목받지 못하고 광범위한 솔루션의 기능으로 통합되고 있다는 점은 사이버 보안 산업의 빠른 진화를 나타내기도 한다.

사라지는 기술을 제외하고도 환멸기에 포함된 XDR, DFIR(Digital Forensics and Incident Response), ITDR(Identity Threat Detection and Response)와 같은 기술들은 여전히 핵심 기술로 평가되고 있다. 이러한 기술들이 환멸기를 넘어 다음 단계로 진출하기 위해서는 어려운 도입 난이도(예산 등)와 통합과 같은 운영 현실을 극복해내야만 한다.

4) 계몽기(Slope of Enlightenment): 기술을 신뢰하고 사용하는 단계

계몽기 단계에 포함된 제품과 서비스는 최종 사용자의 피드백을 바탕으로 기능에 대한 소비자의 이해도가 향상되고 공급업체의 지속적인 개선에 힘입어 채택이 증가한다.

실제로 최근 사이버 보안 시장에서 많은 관심을 받고 있는 △MDR(Managed Detection and Response) △NDR(Network Detection and Response) △TI(Threat Intelligence) Products and Services △SOAR △Offensive Security Programs △EASM(External Attack Surface Management)이 해당 단계에 위치한 것을 확인할 수 있다.

올해 하이프 사이클에는 ‘Offensive Security Programs’이 계몽기 단계에 새로운 기술로 추가됐는데, 이는 실제 해커와 유사한 시나리오 기반의 모의 공격 프로그램으로 가트너가 제시한 리스크(Risk) 기반의 적응형 보안 체계 전략을 구현하는데 도움을 주는 기술이다. 이를 포함한 계몽기 단계 기술들의 공통점은 ‘운영 부담은 줄이되, 탐지 정확도는 높이는 것’이다. 특히 MDR은 보안 인력이 부족한 조직에게 가장 현실적인 선택지이며, SOAR는 반복적인 대응 프로세스를 자동화해 운영 효율을 끌어올린다.

5) 안정기(Plateau of Productivity): 기술이 핵심 인프라로 안착

하이프 사이클의 마지막 단계인 안정기는 기술이 완전히 성숙해 실무에서 핵심 인프라로 자리 잡은 단계로, 지난 ‘24년 EDR(Endpoint Detection and Response)이 안정기 단계로 진입한 이후 아직까지 변동사항이 없다. 가트너는 해당 기술들이 광범위하게 채택되어 시장 성숙기에 이르렀으며 그 이점이 잘 입증되었다고 설명했는데, 실제로 SIEM과 EDR 같은 보안 솔루션들은 다수의 조직들에게 채택 받아 그 효용성을 입증해냈다. 다만 가트너는 아직도 안정기 단계에 포함된 기술을 채택하지 않은 기업에 속한 SRM 리더들의 경우에는 이러한 기술을 도입해 리스크를 줄이는 데 활용하고 더 넓은 보안 운영(SecOps) 에코시스템에 관련 기능을 통합해야 한다고 강조했다.

04. 가트너가 SRM 리더들에게 전하는 권장사항

결론적으로 가트너는 보안 운영 하이프 사이클을 통해 SRM 리더들이 급변하는 보안 환경에 효과적으로 대응하기 위해 따라야 할 권장사항을 다음과 같이 제시하고 있다. 가장 핵심은 단일 기술 도입이 아닌 보안 운영(SecOps) 전반의 전략적 정비와 체계적인 접근이 필요하다는 점이다.

마지막으로 가트너는 개별 조직이 어떠한 기술에 선제적으로 관심을 가져야 할지에 대한 정보도 제공한다. 이는 어떠한 기술이 가장 빠르게 비즈니스 현장에서 활용될 수 있고, 또 어떠한 기술이 가장 큰 혜택을 가져다줄 것인지에 대한 인사이트를 한눈에 파악할 수 있도록 도와주는 우선 순위 매트릭스(Priority Matrix)를 통해 확인할 수 있다. 가트너는 하이프 사이클 보고서 중 우선 순위 매트릭스를 개별 조직에서 가장 심도 있게 살펴봐야 한다고 매번 강조하는 만큼, 이를 토대로 ‘더 복잡해지고 분산되는 인프라를 보호하기 위한 능동성과 확장성’을 갖추기 위한 방안을 모색하는 것을 권장한다.

05. 마무리

2025년도 가트너의 보안 운영 하이프 사이클은 보안 운영(SecOps)의 방향이 단순한 도구(보안 Tool) 도입을 넘어 자동화와 위험 기반의 적응형 보안 체계로 전환되고 있음을 나타낸다. 기존 개별 솔루션을 도입하는 방식이 아닌, 이제는 인력 부족과 복잡한 사고 대응 문제를 해결하기 위해 AI, 자동화, 공격자 관점의 검증, 플랫폼 통합 같은 전략이 핵심으로 떠오르고 있다.

이러한 전략의 중심에는 올해 하이프 사이클에 새롭게 포함된 4가지 기술(△AI SOC Agents △CIRM △Predictive Modeling for Cybersecurity △Offensive Security Programs)이 큰 역할을 수행하며, 이와 함께 가트너가 올해 핵심 주제로 선정한 ‘더 복잡해지고 분산되는 인프라를 보호하기 위한 능동성과 확장성의 필요성’ 역시 충족시킬 수 있는 기술들로 보여진다. 한편 CAASM, EASM, DRPS 등은 EAP와 TI 등 더 큰 통합 플랫폼에 흡수되며 올해 하이프 사이클에서 제외됐다. 해당 기술들이 제외된 것은 보안 기능이 더 이상 독립적으로 존재하기보다는 유기적인 플랫폼 생태계 내에서 상호 연계되어야 함을 시사한다.

가트너는 이러한 흐름 속에서 보안 운영(SecOps)이 반복적 대응에 머무는 것이 아니라, 전략적 판단과 자동화된 통제, 그리고 조직 간 협업이 결합된 통합 운영 체계로 진화해야 한다고 강조한다. 국내 조직들도 이에 발맞춰 단순 기존 도구를 단순히 늘리는 방식이 아니라, 운영 구조를 재설계하고, 예측 중심의 기술 도입과 함께 조직 내부의 역할과 대응 체계를 전환해 나가야 할 시점이다.

06. 참고자료

“Hype Cycle for Security Operations, 2025”, Gartner:
https://www.gartner.com/en/documents/6625402

💌 후속 콘텐츠, 계속 받아보세요 ▶