가트너가 21일(현지시간)부터 양일간 오스트레일리아 시드니에서 열린 ‘가트너 시큐리티&리스크매니지먼트 서밋’에서 사이버보안과 관련한 8대 예측을 발표했다.

가트너는 개인정보 권리 보장을 포함해 ▲랜섬웨어 협상 금지법 수립 ▲시큐리티 서비스 엣지(SSE) 활용 ▲제로트러스트 접근법 확립 ▲파트너사의 사이버 보안 의무화 ▲인명 피해를 일으키는 사이버 공격 등장 ▲ 조직 회복력 요구 증대 ▲보안 책임, 고위 비즈니스 리더로 전환 등을 주요 이슈로 꼽았다. 

잇단 보안 사고로 인해 개인정보보호 관련 규제는 지속적으로 강화되는 추세다. 최근에는 개인정보 이용에 관련해 소비자 권리를 보장하는 규제가 전세계 각국으로 확산돼 전세계 50개국이 관련 법안을 마련한 상황이다.

가트너는 이러한 추세가 지속돼 2023년에는 전세계 대부분의 국가에서 관련 법안이 시행될 것으로 예상했다.

랜섬웨어와의 협상도 금지된다. 현재 랜섬웨어 공격자와 협상, 몸값을 지불하는 피해 기업에 대한 처벌은 거의 없다.

하지만 가트너는 2025년에는 전세계 국가의 30%가 랜섬웨어 협상 금지법을 마련할 것으로 예상했다. 이를 통해 랜섬웨어 공격에 개별 기업의 대응보다 전문가와 규제 기관 등이 함께 대응하는 체제를 마련한다는 것이다.

경영진의 평가에서 사이버 위험 관리 역량의 비중이 높아질 것으로 예상했다. 사이버보안은 기술적 IT 문제가 아닌 비즈니스 위험으로 간주되고 있으며, 이에 따라 2026년에는 최고경영진의 50%가 사이버 위험 관리와 관련한 성과를 요구받게 된다.

이는 사이버 위험 관리에 대한 공식적인 책임이 보안 리더에서 고위 경영진으로 전환되는 결과로 이어진다는 게 가트너의 설명이다.

기술적 측면에서는 효율성 향상을 위해 단일 SSE 플랫폼에서 웹, 클라우드 서비스, 애플리케이션 액세스를 통합하는 전략이 확산(2025년까지 전체 기업의 80%가 단일 SSE 채택)되고, 고도화된 지능형 공격에 대응하기 위해 제로트러스트가 기업 보안의 기본으로 자리매김할 것(2025년까지 전체 기업의 60% 제로트러스트 방법론 구현)으로 봤다.

한편 2025년까지 60%의 기업이 제3자 거래나 비즈니스 계약시 사이버 보안 관련 조치를 의무화할 것으로 가트너는 전망했다. 제3자와 관련된 사이버 공격이 증가에 대응하기 위해 보안 모니터링을 비롯한 보안 조치를 비즈니스 파트너에게 요구한다는 것이다.

운영기술(OT)을 노리는 사이버공격의 증가세도 우려된다고 경고했다. OT에 대한 사이버 공격은 인명피해를 발생시킬 수 있는 등 위험성이 높기 때문에 더 큰 주의가 요청된다. 디지털전환과 이를 겨냥한 사이버공격의 확산은 회복력에 대한 중요성을 제고시킬 전망이다.