시큐리티팩트
2030년 현재 암호 무력화 '초읽기'…가트너, 2026년 사이버보안 6대 트렌드 경고
양자컴퓨팅 발전에 따른 비대칭 암호체계 붕괴 대비 'PQC 실행 계획' 수립 촉구 / 에이전트 AI 확산 및 보안 인식 교육의 한계 노출…'사람 중심' 거버넌스 강조
댓글 0
기사입력
: 2026.02.09 13:32
[시큐리티팩트=김상규 기자] 전 세계가 사용하는 보안 시스템의 근간이 2030년을 기점으로 사실상 수명을 다할 것이라는 관측이 나왔다. 글로벌 IT 시장 분석 기관 가트너(Gartner)는 5일(현지시간) 호주 시드니에서 열린 컨퍼런스를 통해 2026년 사이버 보안 환경을 뒤흔들 핵심 트렌드를 발표하며, 양자컴퓨팅과 인공지능(AI)의 부상이 기존 보안 질서를 완전히 무너뜨리고 있다고 분석했다.
가트너가 가장 먼저 지목한 위협은 포스트양자
컴퓨팅(PQC)으로의 실행 계획 전환이다. 가트너는 양자컴퓨팅의 비약적인 발전으로
인해 2030년이면 현재의 비대칭 암호학 체계가 더 이상 데이터와
시스템을 안전하게 보호하지 못할 것이라고 예측했다. 특히 공격자들이 지금 당장은 해독할 수 없더라도 나중에 양자컴퓨터로 복호화할 목적으로
데이터를 미리 탈취하는 '지금
수확, 나중에 복호화(HNDL, Harvest Now,
Decrypt Later)' 공격이 현실적인 위협으로 부상했다.
이에 따라 가트너는 장기 민감 데이터를
보유한 조직들이 법적 책임과 재정적 손실을 피하기 위해 지금 즉시 포스트양자 암호 대안을 도입해야 한다고 강조했다. 알렉스 마이클스 가트너 디렉터 애널리스트는 조직들이 전통적인 암호 방식을 식별하고 즉각 대체할 수 있는 '암호학적 민첩성'을 갖추는 것이 미래 보안 전략의 핵심이라고 조언했다.
동시에 인공지능 기술의 진화도 보안
관리자들을 시험대에 올리고 있다. 에이전트 AI의 등장은 사이버 보안 감독의 필요성을 더욱 키우고 있는데, 직원들이 노코드/로우코드 플랫폼 등을 통해 관리되지 않은 AI 에이전트를 무분별하게 확산시키면서 새로운 공격 표면을 만들어내고 있기 때문이다. 가트너는 사이버 보안 리더들이 공인된 에이전트와 비승인된 에이전트를 명확히 식별하고 강력한 통제 및 사고 대응 전략을 세워야 한다고 주문했다. 아울러 신원 및 접근 관리가 AI 에이전트에 적응해야 한다는 점도 명확히 했다. 자율 에이전트가 보편화됨에 따라
기계 행위자를 위한 정책 기반 권한 부여가 이루어지지 않을 경우 접근 관련 보안 사고가 급증할 수 있다는 지적이다.
보안 운영 측면에서도 변화는 불가피하다. AI 기반 SOC(보안운영센터) 솔루션은 기존의 운영 규범을 불안정하게 만들고 있다.
AI가 경고 분류와 조사 업무를 돕고 있지만 역설적으로 인력 압박과 새로운 기술 습득에 대한 요구는 더 높아졌다. 가트너는 기술 도입만큼이나 사람을 우선시하는 전략이 필요하며 AI 지원 프로세스에 인간이 개입하는 프레임워크를 도입해야 SOC가 회복력을 유지할 수 있다고 분석했다.
반면 생성형 AI의 가속화는 기존의 보안 인식 교육 전략을 무력화시키고 있다. 실제 가트너 설문 결과 직원의 57%가 개인 생성형 AI 계정을 업무에 사용하고 있으며, 33%는 민감
정보를 승인되지 않은 도구에 입력하고 있는 것으로 나타났다. 이는 단순히 주의를 주는 방식의
교육에서 벗어나 AI 전용 과제를 포함한 적응형 훈련으로의 전환이 시급함을 시사한다.
마지막으로 가트너는 글로벌 규제 변동성이
사이버 회복력 확보를 촉진하고 있다는 점에 주목했다. 변화하는 지정학적 긴장 속에 규제 당국은 이사회와 경영진에게 보안 실패에 대한 책임을
엄격히 묻기 시작했다. 무대응은 막대한 벌금과 사업 손실뿐만 아니라 회복 불가능한 평판 손상으로 이어질 수 있다. 가트너는 법무, 비즈니스, 조달 팀 간의 협업을 공식화해 사이버
위험에 대한 명확한 책임 소재를 확립하고 데이터 주권 문제를 해결해 규제 준수 격차를 줄여야 한다고 권고했다.
알렉스 마이클스 분석가는 "보안 리더들은 끊임없는 변화 속에서 리스크 관리와 자원 배분에 대한 새로운 접근법을 정립해야
할 시점"이라고 강조했다.
[표] 가트너 선정 '2026년 주요 사이버 보안 트렌드' 요약
|
분류 |
핵심트렌드 |
주요내용 및 권고사항 |
|
양자위협 |
포스트양자컴퓨팅(PQC) 실행 |
2030년 비대칭 암호 무력화 대비. |
|
AI 거버넌스 |
에이전트 AI 감독강화 |
노코드 플랫폼 기반의 관리되지 않은 AI 에이전트 확산 차단. 공인/비승인 에이전트 식별 및 통제 |
|
신원보안 |
IAM의 AI 에이전트
적응 |
자율 에이전트(기계행위자)를
위한 정책기반 |
|
보안운영 |
AI 기반 SOC 운영혁신 |
AI 도입에
따른 SOC 복잡성해결. |
|
인식제고 |
보안 인식 교육의
대전환 |
생성형 AI가
무력화한 기존 교육 탈피. 개인계정
사용 및 민감정보 입력 방지를 위한 적응형 훈련도입 |
|
회복력 |
글로벌 규제 변동성
대응 |
보안 실패에 대한 이사회/경영진 책임 강화. |
