보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

가트너(Gartner)의 2024년 보안 운영 하이프 사이클

2024.09.04

47,865

올 한 해 사이버 보안 분야를 뒤흔든 키워드는 무엇일까? 생성형 AI(GenAI)? 제로 트러스트(Zero Trust)? 모두 정답이다. 그러나 리서치 기관 가트너(Gartner)는 조금 다르게 바라봤다.

가트너는 시장에서 주목할 만한 신기술을 선정하고 기술의 수명주기를 분석한 ‘하이프 사이클(Hype Cycle)’ 모델을 사이버 보안 분야에 적용한 ‘2024년 보안 운영 하이프 사이클(Hype Cycle for Security Operations, 2024)’에서 ‘공격 표면 관리(Attack Surface Management)의 복잡성을 해결하는 것‘에 초점을 맞췄다. 가트너는 지난해에도 같은 보고서를 통해 공격 표면 관리의 중요성에 대해 강조했는데, 올해는 공격 표면 관리의 ‘복잡성(Complexity)’을 어떻게 해소할 것인지에 대해 초점이 맞춰졌다.

본 기고에서는 ‘2024년 보안 운영 하이프 사이클‘에 포함된 기술들에 대해 상세하게 알아보고, 개별 조직들이 보안 운영 하이프 사이클을 어떻게 읽어야 하고 활용해야 하는지에 대해서도 알아보고자 한다.

01. 가트너의 하이프 사이클이란?

지난해에 이어 올해도 가트너(Gartner)가 보안 운영 하이프 사이클(Hype Cycle for Security Operations)’을 발표했다. 보안 운영 하이프 사이클은 보안 및 위험 관리(Security and Risk Management, 이하 SRM) 리더들이 보안 운영(Security Operations, 이하 SecOps) 역량과 기능을 전략화하고 제공하는 데 도움을 준다.


가트너는 새로운 기술이 등장하는 시점부터 안정기에 도달할 때까지 시간에 따라 5단계로 나누고, 시간의 변화에 따른 기대치를 ‘하이프 사이클(Hype Cycle)’이라는 패턴으로 표현한다. 하이프 사이클의 5가지 단계는 △발생기(Innovation Trigger) △버블기(Peak of Inflated Expectations) △환멸기(Through of Disillusionment) △계몽기(Slope of Enlightenment) △안정기(Plateau of Productivity)로 구성되어 있으며, 여기에 가트너는 각 분야별로 선정된 기술들을 하이프 사이클의 알맞은 주기 위에 포지셔닝 시킨다. 그리고 각 기술들이 시장에 안정적으로 확산되는 단계에 도달하기까지 얼마만큼의 시간이 소요될지에 대해서도 표기해 놓았는데, 이를 통해 조직이나 기업들은 향후 어떠한 기술을 선택하거나 집중해야 될지를 파악하는 데 인사이트를 획득할 수 있다.

[그림 1] 가트너의 하이프 사이클 관련 인포그래픽 (출처: Everyday Concepts)

02. 2024년 보안 운영 하이프 사이클 속 기술들

올해 보안 운영 하이프 사이클에는 총 23개의 기술들이 포함됐다. 올해 가장 강조된 항목으로는 △지속적인 위협 노출 관리(CTEM) △사이버 보안 메시 아키텍처(Cybersecurity Mesh Architecture, 이하 CSMA)를 꼽을 수 있는데, 가트너는 이를 통해 개별 조직들이 공격 표면 관리의 복잡성을 해결할 수 있다고 강조했다.

[그림 2] ’24년도 보안 운영 하이프 사이클 (출처: Gartner, 재구성: 이글루코퍼레이션)

2.1. 신기술이 부상하는 단계 ‘발생기’ (6개)

가장 먼저 가트너는 신기술이 부상하는 단계인 발생기(Innovation Trigger)에 포함된 기술들의 핵심은 “SRM 리더들이 혁신적인 보안 이니셔티브에서 더 큰 역할을 하고 보안 투자를 활성화하는데 더 큰 영향력을 발휘할 수 있도록 행동을 촉구하는 것”이라고 강조했다. 가트너가 언급한 혁신적인 보안 이니셔티브에는 △위협 노출 관리(Threat Exposure Management) △노출 평가 플랫폼(Exposure Assessment Platforms) △적대적 노출 검증(Adversarial Exposure Validation) 등이 결합된 ‘지속적인 위협 노출 관리(CTEM)’와 ‘사이버 보안 메시 아키텍처(CSMA)’ 등을 꼽을 수 있다. 조직들은 이 같은 혁신적인 보안 이니셔티브에 관심을 갖고 있는데, 급진적인 변화가 아닌 기술 및 서비스 통합과 자동화 기회를 활용하여 가치 실현 시간과 관리 오버헤드를 줄이면서 점진적으로 전환할 것을 권장했다.


또한 더 높은 수준의 위협 탐지 성능과 빠른 사고 대응이 요구되고 있는 상황이다. 이를 충족하기 위해서는 가시성을 넓히고 기술 및 비즈니스 영역 전반에서 탐지할 수 있도록 더 많은 데이터가 필요하다고 설명했는데, 이와 함께 인력 및 예산의 제한은 조직이 이러한 목표를 달성하지 못하게 하는 장애물이라고 언급했다. 이를 해결하기 위해 발생기 단계에 포함된 기술 중 데이터 관리 비용을 절감할 수 있는 기술인 ‘텔레메트리 파이프라인(Telemetry Pipelines)’과 운영 효율성을 확장 가능토록 지원하는 ‘사이버 보안 AI 어시스턴트(Cybersecurity AI Assistant)’를 활용할 것을 권장했다.

[표 1] 발생기 단계에 포함된 6가지 기술 (출처: Gartner)

2.2. 시장에서의 가장 많은 관심을 받는 단계 ‘버블기’ (5개)

보안 운영(SecOps)과 관련해 시장에서 가장 많은 관심을 받고 있다는 것을 의미하는 버블기(Peak of Inflated Expectations) 단계에 포함된 기술 중 가트너는 △사이버 자산 공격 표면 관리(Cyber Asset Attack Surface Management, 이하 CAASM) △위협 노출 관리(Threat Exposure Management)에 주목해야 한다고 설명했다.


바로 조직들은 확장된 공격 표면(CPS 보안, 위협 노출 관리, 사이버 자산 공격 표면 관리)에 대한 가시성을 확보하는데 많은 관심을 보이고 있기 때문이다. 그리고 이는 보고서 서두에서 가트너가 “올해 보안 운영 하이프 사이클의 주제로 위협 환경이 더욱 불안정해지고 복잡해짐에 따라 조직의 노출 관리 복잡성을 해결하는 것”이라고 언급한 것과 일맥상통한다.

[표 2] 버블기 단계에 포함된 5가지 기술 (출처: Gartner)

2.3. 기술에 대한 가치를 입증해야 할 단계 ‘환멸기’ (6개)

기술에 대한 관심이 정점을 찍은 후, 미디어와 대중의 관심이 식어가는 환멸기 단계에는 총 6개 기술이 선정됐다. 환멸기에 포함된 기술들과 관련해 가트너는 SRM 리더들은 예산(사이버 보안 분야)의 정당성을 입증해야 하는 경우가 많기 때문에, 기술에서 얻을 수 있는 실질적인 가치에 대해 재평가하고 있다고 설명했다.


대표적인 예시로 조직들은 아직 △디지털 포렌식 및 사고 대응(Digital Forensics and Incident Response, 이하 DFIR) △디지털 리스크 보호 서비스(Digital Risk Protection Services, 이하 DRPS) 등에 예산을 소비할 준비가 되어있지 않다고 설명했다. 다만 환멸기에서 살아남은 일부 기술들은 본격적으로 시장의 선택을 받기 시작하는 계몽기에 진입하는 만큼 해당 기술들에 대한 지속적인 추적 및 검증이 필요하다고 설명했다.

[표 3] 환멸기 단계에 포함된 6가지 기술 (출처: Gartner)

2.4. 시장에서 점차 인정받는 단계 ‘계몽기’ (4개)

환멸기를 지나 살아남은 일부 기술이 성숙 단계로 진입해가는 계몽기 단계에 포함된 기술들의 경우 조직에게 어떠한 이익을 가져다줄 수 있는지에 대한 사례가 더 많이 구체화되고 널리 이해되기 시작한다. 2~3세대 제품들이 출시되고 더 많은 조직들이 관련 사업에 투자하기 시작하며 시장에 안착하기 시작한다.


계몽기 단계에는 △공동 관리형 보안 모니터링(Co-Managed Security Monitoring Services) △관리형 탐지 및 대응(MDR Services) △네트워크 탐지 및 대응(Network Detection and Response, 이하 NDR) △위협 인텔리전스 제품 및 서비스(Threat Intelligence Products and Services)가 선정됐으며, 해당 기술들은 기능적인 측면은 물론 시장의 성숙도와 고객 채택이 크게 개선됐다고 평가됐다.

[표 4] 계몽기 단계에 포함된 4가지 기술 (출처: Gartner)

2.5. 기술이 광범위하게 채택되는 단계 ‘안정기’ (2개)

마지막으로 안정기 단계에는 △엔드포인트 탐지 및 대응(Endpoint Detection and Response, 이하 EDR) △보안 정보 및 이벤트 관리(Security Information and Event Management, 이하 SIEM)가 포함됐다.

[표 5] 안정기 단계에 포함된 2가지 기술 (출처: Gartner)

가트너는 해당 기술들이 광범위하게 채택되어 시장 성숙기에 이르렀으며 그 이점이 잘 입증되었다고 설명했는데, 실제로 SIEM과 EDR 같은 보안 솔루션들은 다수의 조직들에게 채택 받아 그 효용성을 입증해냈다. 다만 가트너는 아직도 안정기 단계에 포함된 기술을 채택하지 않은 기업들의 SRM 리더들의 경우에는 이러한 기술을 도입해 리스크를 줄이는 데 활용하고 더 넓은 SecOps 에코시스템에 관련 기능을 통합해야 한다고 강조했다.

03. 보안 운영 하이프 사이클의 변화

가트너는 올해 보안 운영 하이프 사이클의 주제로 ‘‘위협 환경이 더욱 불안정해지고 복잡해짐에 따라 조직의 노출 관리 복잡성을 해결하는 것”을 선정했다. 지난해에는 ‘공격 표면 관리(Attack Surface Management)’에 중점을 두었다. 가트너가 2년 연속으로 증가하는 공격 표면과 이를 관리하는 것이 중요하다고 밝힌 것은 개별 조직들이 공격 표면을 관리하는 것에 대한 중요성은 인지했으나, 실질적으로 어떻게 관리해야 하는지에 대한 방향성을 잡고 있지 못하고 있다는 것을 의미한다. 그리고 사이버 공격자들 역시 이러한 사실을 인지하고 있으며, 이를 악용하려는 시도가 급증하고 있다는 것을 나타낸다.


지난해 가트너는 공격 표면 관리를 위해 △디지털 위험 보호 서비스(DFIR) △확장된 탐지 및 대응(XDR) △침해 공격 시뮬레이션(BAS)을 제시했는데, 올해는 일부 변화가 생겼다. 공격 표면을 식별하는 것보다는 이를 관리하는데 초점이 맞춰진 △위협 노출 관리(Threat Exposure Management) △노출 평가 플랫폼(Exposure Assessment Platforms) △적대적 노출 검증(Adversarial Exposure Validation) 등이 결합된 ‘지속적인 위협 노출 관리(CTEM)’와 ‘사이버 보안 메시 아키텍처(CSMA)’를 강조한 것이다. 가트너는 “보안 위험은 조직의 우선순위에 따라 관리해야 하며, 특히나 일부 특정 위협을 해결하는 데 있어서는 확고한 기반을 두어야 한다.”, “이를 위해서는 다음과 같은 아키텍처가 반드시 필요하다.”라고 강조했다. 개별 솔루션의 도입을 통해 보안을 강화하기보다는 새로운 보안 아키텍처 적용을 통해 근본적으로 보안을 강화해야 한다는 것이다.

뿐만 아니라 가트너는 “하이브리드 및 원격 근무 환경은 계속되고 있고, 생성형 AI(GenAI)가 사이버 보안 업계를 흔들고 있다.”라며 이에 보안관제센터(Security Operation Center, 이하 SOC)는 GenAI를 활용하여 성과를 개선하는 동시에 새로운 공격에 맞서야 한다는 점을 강조했다. 실제로 올해 보안 운영 하이프 사이클에 신규로 선정된 기술과 제외된 기술들을 살펴보면 가트너가 의도하는 바가 무엇인지 쉽게 알아챌 수 있다.

[표 6] ’24년도 보안 운영 하이프 사이클에서 식별된 기술 변화 (출처: Gartner)

3.1. ’24년도 보안 운영 하이프 사이클 속 특이점

’24년도 보안 운영 하이프 사이클을 눈여겨봤다면, 환멸기에 포함된 기술 중 특이점을 하나 확인했을 것이다. 바로 가트너가 보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response, 이하 SOAR) 기술의 ‘정점에 도달하는데 소요되는 기간(Plateau will be Reached)’이 ‘정점에 도달하기 이전 소멸(Obsolete Before Plateau)’로 평가했다는 점이다. 이에 대해 가트너는 “SOAR는 개별 솔루션으로의 구입이 아닌 SIEM, XDR과 같은 기존 기술에 기능적인 측면으로 탑재하는 것이 일반화되고 있다.”라고 설명했다.


다만 이는 SOAR가 시장에서 관심을 받지 못했다는 것을 의미하진 않는다. 실제로 지난해 보안 운영 하이프 사이클에 포함된 기술 중 올해 제외된 기술들의 경우 상위 개념의 기술에 종속된 것을 확인할 수 있는 만큼, SOAR가 기능적인 측면으로 전환되고 있다는 사실을 나타낸다.

[표 7] ’24년도 보안 운영 하이프 사이클에서 제외된 ’23년도 기술 (출처: Gartner)

3.2. ’24년도 보안 운영 하이프 사이클 우선 순위 매트릭스

마지막으로 가트너는 개별 조직이 어떠한 기술에 선제적으로 관심을 가져야 할지에 대한 정보도 제공한다. 이는 어떠한 기술이 가장 빠르게 비즈니스 현장에서 활용될 수 있고, 또 어떠한 기술이 가장 큰 혜택을 가져다줄 것인지에 대한 인사이트를 한눈에 파악할 수 있도록 도와주는 우선 순위 매트릭스(Priority Matrix)를 통해 확인할 수 있다. 가트너는 하이프 사이클 보고서 중 우선 순위 매트릭스를 개별 조직에서 가장 심도 있게 살펴봐야 한다고 매번 강조한다.

[표 8] ’24년도 보안 운영 하이프 사이클 우선 순위 매트릭스 (출처: Gartner)

우선 순위 매트릭스의 가로축은 시장의 주류에 도달하기까지 소요되는 시간(Years to Mainstream Adoption)을 뜻하며, △2년 미만 △2~5년 △5~10년 △10년 이상으로 구분되어 있다. 그리고 세로축은 혜택(Benefit)을 의미하며, △전환 △높음 △보통 △낮음으로 구분되어 있다. 이를 통해 조직이나 기업은 보안 운영 서비스와 기능 등에 투자하기 전에 어떠한 분야에 집중해야 하고, 얼마만큼의 예산을 지출해야 하는지에 대해 쉽게 식별할 수 있다. 다만 가트너는 보안 운영에 부합하는 기술과 서비스가 조직이나 기업에게 즉각적인 혜택을 제공하는 경우는 거의 없다며, 이를 효과적으로 활용하기 위해서는 반드시 조직에 알맞은 프로세스를 구축해야 한다고 강조했다.


이와 함께 기술(혁신)의 빠른 도입은 큰 이점을 가져다줄 수 있으나, 이를 시도하는 조직의 경우 시장의 과대 광고와 임원의 기대에 의해 안전 지대(Comfort Zone)를 벗어나는 리스크를 떠안을 수 있다는 점을 경고했다.

[그림 3] 하이프 사이클 모델 단계별 리스크 (출처: Gartner, 재구성: 이글루코퍼레이션)

Type A형 조직의 경우에는 모든 기술(혁신)이 큰 리스크를 감수할 만한 가치가 있는 것은 아니므로 일찌감치 기술을 도입하는 것에 대해 선택적으로 공격적이어야 한다. 반대로 Type B, C형 조직은 기술이 비즈니스 목표에 실질적인 기여도가 높을 것으로 판단된다면, 이를 일찍 도입하는 공격적인 자세를 갖춰야 한다고 강조했다. 하지만 이러한 조직들이 개별 산업에 대한 모든 인사이트를 갖출 수는 없기에, 가트너가 이를 돕기 위해 ‘우선 순위 매트릭스’를 제공하고 있는 것이다.

04. 마무리

지난해 가트너가 보안 운영 하이프 사이클을 통해 제시한 핵심 주제는 ‘공격 표면 관리(Attack Surface Management)’의 중요성이었다. 올해는 ‘위협 환경이 더욱 불안정해지고 복잡해짐에 따라 조직의 노출 관리 복잡성을 해결하는 것’을 핵심 주제로 선정했는데, 비슷한 것 같지만 사실 다르다. 공격 표면을 식별하는 것보다는 이로 인해 발생할 ‘복잡성을 어떻게 잘 관리할 것인가?’에 초점이 맞춰져 있다. 이에 가트너는 개별 솔루션의 도입을 통해 보안을 강화하기보다는 △지속적인 위협 노출 관리(CTEM) △사이버 보안 메시 아키텍처(CSMA)와 같은 새로운 보안 아키텍처 적용을 통해 근본적으로 보안을 강화해야 한다는 것을 강조했다.


가트너의 예상처럼 다수의 기업들이 공격 표면 관리의 복잡성으로 이 같은 새로운 보안 아키텍처를 빠른 시일 내에 도입할 것으로 예상된다. 다만 반드시 명심해야 할 점이 하나 존재한다. 이러한 아키텍처는 완전히 새로운 도구를 사용하는 것이 아니라 현재 조직이 보유한 프로세스와 기술(솔루션, 서비스)의 사용을 새롭게 모델링 하는 방법이라는 점이다. 그간 사이버 보안 분야에서 강조되어왔던 ‘제로 트러스트(Zero Trust)’가 새로운 기술의 도입을 통해 달성할 수 있는 것이 아닌, 현재 보유한 기술들을 바탕으로 점차 보안성을 강화시켜 나가야 한다는 점과 유사하다.


결론적으로 ‘24년도 보안 운영 하이프 사이클의 핵심은 ‘우선적으로 관리해야 할 공격 표면을 식별하는 것이 중요함’이라고 정리할 수 있을 것이다. 그리고 가트너는 이를 달성하기 위해서는 단지 개별 솔루션의 도입이 아닌 조직이 보유한 프로세스와 기술 그리고 보안 운영 하이프 사이클에서 제시한 다양한 기술들과 아키텍처를 결합하는 것이 중요하다고 강조한 것이다.

05. 참고자료

1.Hype Cycle for Security Operations, 2024. Gartner
2.Gartner Hype Cycle Research Methodology, Gartner