클라우드와 AI로 복잡해진 현대 ERP 환경에서 사이버 보안은 침입자를 막는 차원을 넘어, 문화 개선, AI 기반 방어, 생태계 거버넌스를 통한 디지털 신뢰 구축으로 진화해야 합니다. 공급망 분야에서 25년 이상 활동해 온 전문가의 제안을 확인하세요.
글쓴이: 리처드 하월스(Richard Howells), 번역: 클로드(Claude)
수십 년 동안 전사적 자원 관리(ERP) 시스템의 보안은 간단했습니다. 데이터는 온프레미스, 말 그대로 “지하실에” 안전하게 보관되었습니다. 방화벽과 로컬 접근 제어만으로도 위험을 차단할 수 있었습니다.
그 시대는 끝났습니다.
오늘날 ERP 환경은 하이브리드 클라우드, SaaS 확장 기능, API, 그리고 AI 플러그인에 걸쳐 있습니다. 한때 조용히 백그라운드에서 작동하던 시스템들이 이제는 대륙을 넘나들며 실시간 공급망, HR 워크플로우, 재무 운영을 지원하고 있습니다. ERP의 사이버 보안은 더 이상 침입자를 막는 데 국한되지 않습니다. 상호 연결되고 AI가 주도하는 세상에서 복잡성을 관리해야 합니다.
오늘날의 핵심 과제는 도구의 부족이 아닙니다. 대신, 공격자들이 진화하는 속도와 거버넌스 및 회복력 모델이 적응하는 속도 사이의 격차가 점점 벌어지고 있다는 사실입니다.
사이버 범죄 세계와 ERP 보안 | SAP 인사이트
최신 ERP 보안 기능은 날로 진화하며 개선되고 있습니다. 그런데도 왜 기업은 더 많이 노출되고 있다고 느낄까요? 부분적으로 이는 디지털 및 클라우드 기술의 급격한 가속화 때문입니다. SAP 인사이트가 제시하는 7대 ERP 보안 이슈와 해결 방안을 확인하세요.
위협 환경: 익숙한 공격, 더 똑똑해진 도구
피싱, 랜섬웨어, 내부자 오용이라는 핵심 전술은 변하지 않았지만, 공격의 속도와 정확성은 극적으로 증가했습니다. 생성형 AI는 이제 진짜 비즈니스 서신과 구별할 수 없는 피싱 이메일을 작성합니다. 딥페이크는 사회공학적 캠페인에 불안할 정도의 신뢰성을 부여합니다. 서비스형 범죄(Crime-as-a-Service) 마켓플레이스는 누구나 구독을 통해 정교한 공격 인프라를 대여할 수 있음을 의미합니다.
IBM의 최신 데이터 유출 비용 보고서에 따르면, 피싱은 여전히 최고의 초기 공격 벡터이며, 랜섬웨어는 유출당 평균 500만 달러 이상의 비용을 발생시킵니다. 가장 비용이 많이 드는 사고는 악의적인 내부자로부터 발생하는데, 이는 핵심 재무 및 공급망 데이터에 대한 특권적 접근 권한을 가진 사용자들이 많은 ERP에서 증가하는 우려 사항입니다.
복잡성과 공동 책임의 시대
IBM 컨설팅의 사이버 보안 서비스 조직 컨설턴트인 라이언 트룹(Ryan Throop)이 최근 ERP의 미래(Future of ERP) 팟캐스트 에피소드에서 설명했듯이, 깔끔하게 격리된 ERP 시스템의 시대는 끝났습니다. “ERP는 역할과 권한 부여가 핵심이었다”고 그는 말했습니다. “이제는 사이버 회복력이 관건입니다.”
많은 조직이 여전히 책임의 파편화가 얼마나 심화되었는지 과소평가하고 있습니다. 오늘날의 하이브리드 ERP 환경에서 하이퍼스케일 업체들은 인프라를 보호하고, 클라우드 ERP 벤더들은 패치를 처리하며, 통합업체들은 연결성을 관리하지만, 기업은 자사의 데이터에 대한 책임을 여전히 지고 있습니다. “모든 참여자를 매핑하기 시작하면,” 트룹은 덧붙였습니다. “공동 보안 책임의 복잡성을 무시하는 것이 불가능해집니다.”
2025년 성공전략: 클라우드 ERP와 AI, 지속가능성의 컨버전스 | 특집 기사
2024년 비즈니스 환경에서는 클라우드 ERP, AI, 지속가능성이 기업 성공의 핵심 요소로 부각되었으며, 2025년에는 이러한 요소들을 전략적 파트너십을 통해 조화롭게 통합하고 균형 있게 활용하는 기업이 지속가능한 성장과 혁신을 이끌어낼 전망입니다.
이러한 복잡성은 종종 사각지대를 남깁니다. 보안 운영 센터는 네트워크와 엔드포인트를 모니터링할 수 있지만, ERP 환경은 일반적으로 이러한 프레임워크 밖에 있으며, 애플리케이션 팀에 의해 별도로 관리됩니다. IBM이 관찰한 바와 같이, 이러한 사일로화된 감독은 중요한 ERP 로그와 위협 지표가 전사적 사고 대응 시스템에 거의 도달하지 못한다는 뜻입니다.
2025년 이후의 사이버 회복력은 ERP를 보안 운영에서 일급 시민으로 취급한다는 뜻입니다. 즉, 다른 핵심 시스템과 동일한 엄격함으로 모니터링하고 방어해야 합니다.
회복력 구축을 위한 세 가지 기초적 조치
1. 문화와 위생
인적 오류는 여전히 산업 전반에 걸쳐 사이버 사고의 주요 원인 중 하나입니다. 사용자들이 매일 민감한 재무 및 운영 데이터를 처리하는 ERP 환경에서는 기술만큼이나 문화가 중요합니다.
“보안 인식 교육은 많은 발전을 이루었다”고 트룹은 말했습니다. “더 이상 슬라이드를 클릭하는 것만이 아닙니다. 상호작용적이고 심지어 게임화되어 있습니다. 사람들은 실제로 공감할 수 있는 실제 공격 시나리오를 경험합니다.”
가장 선진적인 조직들은 이제 ERP 사용자를 위해 이러한 프로그램을 맞춤화합니다. 접근 권한을 얻기 전에 직원들은 자신의 역할을 수행하는 방법과 자격 증명 공유나 세션을 잠그지 않고 방치하는 것과 같은 부주의한 행동의 결과를 모두 다루는 교육을 이수합니다.
ERP와 AI, 사이버보안 환경의 변화 | 특집 기사
AI가 잘못 사용될 가능성은 있지만 사이버공격에 대한 방어수단으로서의 잠재력이 막대합니다. 방대한 데이터세트로 훈련 받은 AI가 복잡한 시스템에서 위협을 적극 식별해 내는 성공적인 적용사례가 속속 등장하고 있습니다.
2. 방어를 위한 AI
인공지능은 빠르게 공격자의 이점이자 방어자의 동맹이 되고 있습니다. IBM 데이터에 따르면 AI 기반 보안을 사용하는 조직은 평균적으로 유출 비용을 190만 달러 절감하고 사고를 80일 더 빨리 해결합니다. ERP 시스템 내에서 AI 기반 분석은 거래 데이터의 이상 징후를 감지하고, 비정상적인 접근 패턴을 표시하며, 피해가 확산되기 전에 차단을 자동화할 수 있습니다.
감지를 넘어서 AI는 전체 보안 운영을 강화합니다. 일상적인 모니터링을 자동화하고, 애플리케이션 전반에 걸쳐 인사이트를 연관시키며, 가장 중요한 경고의 우선순위를 지정합니다. 대규모로 반복적인 작업을 처리함으로써 AI는 보안 팀이 전략적 분석과 더 빠르고 효과적인 대응에 집중할 수 있도록 합니다.
3. 거버넌스와 생태계 신뢰
ERP 환경은 고립되어 작동하지 않습니다. 벤더, 계약업체, 규제 기관의 생태계에 의존합니다. 섀도우 AI 프로젝트, 소규모 파트너들 간의 불균등한 회복력, 파편화된 규제 등은 모두 시스템적 위험을 증가시킵니다.
신뢰를 구축하려면 이제 생태계 전반에 걸친 보다 조율된 접근 방식이 필요합니다. 선도적인 조직들은 표준화된 제3자 평가를 시행하고, 조달 중에 사이버 보안 인증 증거를 요청하며, 파트너가 데이터를 저장하고 관리하는 방식에 대한 투명성을 요구하고 있습니다. 다른 조직들은 위협 인텔리전스와 모범 사례를 공유하여 관련된 모든 사람의 보안 기준을 높이는 공공-민간 동맹을 형성하고 있습니다.
궁극적으로 효과적인 거버넌스는 가시성과 책임성이 관건입니다. 전체 ERP 생태계의 보안 태세를 보고 측정할 수 있는 회사는 위협을 예측하고, 규정을 준수하며, 가치 사슬의 모든 계층에서 데이터가 보호되고 있음을 고객에게 입증할 수 있는 더 나은 위치에 있습니다.
2025년 클라우드 ERP 7대 트렌드 | 특집 기사
2025년 클라우드 ERP 트렌드는 에이전트형 AI 통합, 클라우드 네이티브 솔루션 확대, AI 기반 의사결정 지원 등을 중심으로 기업의 디지털 전환과 혁신을 가속화할 전망입니다. 업계 거인들의 흥미로운 예측을 지금 바로 확인하세요.
방어에서 디지털 신뢰로
운영의 핵심에 ERP 시스템을 의존하는 기업의 경우, 공동 책임을 마스터하고, AI 기반 방어를 채택하며, 강력한 보안 문화를 육성하는 일은 단순히 유출을 방지하는 차원 이상의 의미가 있습니다. 디지털 신뢰를 구축합니다. 데이터 보호와 신뢰성이 기업을 차별화하는 시장에서, 회복력 있는 사이버 보안 태세는 위험을 감소시키고, 혁신을 가속화하며, 고객, 규제 기관, 파트너들 사이에서 신뢰를 강화합니다.
IBM의 Ryan Throop과의 전체 대화를 Future of ERP 팟캐스트에서 들어보세요.
