사이버 보안, 기술 아닌 전략의 문제로… ART 모델이 뜬다

디지털 인프라가 점점 복잡해지면서 사이버 리스크 관리는 단순한 방화벽이나 엔드포인트 보안 도구 차원을 넘어서는 새로운 전략 영역으로 떠오르고 있다. 특히 조직 내부의 모든 부서, 직원, 외부 계약자, 제3자 공급업체에 이르기까지 *공격면*이 넓어짐에 따라 기존의 “IT 부서가 알아서 보안 문제를 처리한다”는 인식도 더 이상 유효하지 않게 됐다.

이 변화는 보안 리더들이 리스크와 대응을 설명하는 방식 자체를 재정의하게 만들고 있다. 기술적이고 추상적인 위험 예측보다는 비즈니스 중심의 실용적인 판단 기준이 주목받고 있으며, 대표적인 변화 사례로 ‘ART 모델’이 부상하고 있다. 회계와 금융 투자 관리에서 영감을 받은 이 개념은 Avoid(위험 회피), Reduce(위험 감소), Transfer(위험 이전) 세 가지 접근 방식으로 보안을 설명한다. 더큐브 리서치의 보안 운영·전략 수석 애널리스트 재키 맥과이어는 “단순히 기술 용어가 아닌 예산, 책임, 상호 역할 분담으로 리스크를 재정의해야 조직 내 보안 커뮤니케이션이 가능하다”고 강조한다.

맥과이어는 최근 열린 ‘더 ART 오브 시큐리티 서밋 2025’에서 소비자기술 및 엣지 분야 전문가 사바나 피터슨과 함께 사이버 리스크 관리의 방향 전환에 대해 논의했다. 이들은 오늘날의 사이버 보안이 기술만의 몫이 아닌 전략적 사업 이슈이며, ART 모델을 통해 조직 전체가 쉽게 이해하고 참여할 수 있는 보안 문화가 필요하다고 목소리를 높였다.

ART의 첫 번째 축인 위험 회피는 신기술 도입이나 시스템 접근에서 철저한 선택을 요구한다. 무조건 진행하는 것이 아닌, ‘하지 않음’ 자체가 전략적 선택이 될 수 있다는 의미다. 맥과이어는 “신규 프로젝트 착수 전 각 단계의 위험 비용을 평가해야 하며, 때로는 그 자체가 최선의 방어”라고 설명한다.

두 번째인 위험 감소는 조직의 한계를 명확히 인지하고, 적절한 외부 파트너와 협력하는 것이 핵심이다. 특히 위협이 글로벌 네트워크로 확대되고 24시간 연중무휴로 발생하는 환경에서, 매니지드 보안 서비스 제공자(MSSP) 및 탐지·대응 전문 기업과의 협업 없이는 지속적인 방어가 곤란하다는 것이 그의 분석이다.

마지막으로, 위험 이전은 보험 및 계약을 통한 리스크 전가 전략이다. 그러나 점점 비용이 상승하고 가입 요건이 까다로워지면서 중소 기업에는 진입 장벽이 높아지는 추세다. 맥과이어는 “사이버 보험은 단순한 서류 절차가 아니다. 실제 사고가 발생했을 때 어느 담당자 혹은 파트너가 손해를 책임질 수 있는지 구조적으로 명확해야 한다”며, 협력 업체와의 책임 구분이 필수임을 강조한다.

ART 모델은 불확실한 외부 환경에서도 최소한의 예산과 자원으로 효율적인 대응을 가능하게 한다는 점에서 실용적이다. 위험을 완전히 제거하기보다, 회피할 수 있는 위험은 피하고, 감당 가능한 부분은 감소시키며, 불가피한 위협은 적절히 이전함으로써 조직별 맞춤형 방어 체계를 수립할 수 있다.

피터슨 역시 “보안은 특정 전담 부서만의 임무가 아니다. 고객 데이터와 기업 자산이 물리적 경계를 넘어 AI 기반 자동화 시스템상에서 오가는 현시점에서, 누구나 보안 위협에 노출돼 있다”며, 조직 구성원 전체의 참여를 강조했다. 생성 AI의 시대에는 빠른 기능 배치나 실험보다 투명성과 데이터 보호가 우선돼야 한다는 설명이다.

이번 논의는 실리콘앵글과 더큐브가 공동 주최한 ‘ART 오브 시큐리티 서밋’의 일환으로 진행됐다. 행사는 최고정보보안책임자(CISO)들이 전략적 사이버 보안 접근법을 설계하고 적용하는 데 필요한 프레임워크 및 시장 트렌드를 집중 조명했다.