2025년 보안 트렌드의 핵심은 **‘인증(Authentication)의 변화’**와 **‘AI 위협의 현실화’**입니다. 더 이상 비밀번호를 외울 필요가 없는 세상이 왔지만, 동시에 화면 속 CEO의 얼굴을 믿을 수 없는 세상이 되었습니다.

보안 컨설턴트로서, 기업이 직면한 새로운 위협과 제로 트러스트(Zero Trust) 관점에서의 대응 전략을 분석합니다.

1. 패스키(Passkeys): 비밀번호의 종말

구글, 애플, 마이크로소프트가 주도한 FIDO 기반의 **패스키(Passkeys)**가 2025년 들어 사실상의 표준이 되었습니다.

• 원리: 서버에 비밀번호를 저장하지 않고, 사용자 기기(스마트폰, 노트북)의 생체 인증을 통해 생성된 암호화 키 쌍으로 인증합니다.
• 효과: 서버가 털려도 훔쳐갈 비밀번호가 없습니다. 피싱 사이트에 속아 비밀번호를 입력할 일도 사라집니다. 이제 기업 보안 담당자는 “비밀번호 3개월마다 바꾸세요”라는 공지를 보낼 필요가 없어졌습니다.

2. 딥페이크(Deepfake) 보이스 피싱

생성형 AI의 발전은 보안 위협도 진화시켰습니다. 가장 심각한 것은 오디오 딥페이크입니다.

• 사례: 2024년 홍콩의 한 금융사 직원이 딥페이크로 만들어진 CFO와의 화상 회의에 속아 수백억 원을 송금한 사건은 시작에 불과했습니다. 이제는 3초 분량의 목소리 샘플만 있으면 가족이나 직장 상사의 목소리를 완벽하게 복제할 수 있습니다.
• 대응: “목소리만으로는 절대 송금하지 않는다”는 절차적 보안이 기술적 보안보다 중요해졌습니다. 또한, 화상 회의 시 워터마크 기술이나 라이브니스(Liveness) 탐지 솔루션 도입이 시급합니다.

3. 제로 트러스트 성숙도 모델 (CISA)

미국 사이버보안청(CISA)이 제시한 제로 트러스트 성숙도 모델은 2025년 기업 보안의 나침반입니다.

• Identity: “누구인가?”보다 “지금 접근하는 행동이 평소와 같은가?”를 봅니다.
• Device: 회사 지급 노트북이라도 보안 패치가 안 되어 있다면 중요 데이터 접근을 차단합니다.
• Network: VPN 하나로 내부망을 다 보여주는 것이 아니라, 애플리케이션 단위로 쪼개서(Micro-segmentation) 접근을 제어합니다.

4. 결론: “아무것도 신뢰하지 마라, 항상 검증하라”

제로 트러스트는 제품이 아니라 철학입니다. AI가 해킹 도구를 만들어내고, 딥페이크가 사람의 눈과 귀를 속이는 2025년. 보안은 더 이상 IT 부서만의 일이 아닙니다. 모든 구성원이 “보이는 것이 진실이 아닐 수 있다”는 의심을 가질 때, 비로소 안전한 조직이 될 수 있습니다.