사이버 보안 위협이 급증하는 가운데, 미국 보안 소프트웨어 기업 오딧보드(AuditBoard)는 최근 조직 내 비밀번호를 완전히 없애는 과감한 결정을 내렸다. 인공지능(AI)의 발달로 피싱 공격이 대량 자동화되고, 사회공학적 해킹이 증가한 데 따른 대응 전략이다. 오딧보드의 최고 정보보안책임자(CISO) 리치 마커스(Rich Marcus)는 "공격자들이 원하는 것은 자격 증명이고, 그 표적 자체를 없애면 공격할 이유도 사라진다"고 설명했다.

마커스는 최근 열린 ‘오딧 & 비욘드 2025’ 행사에서 실리콘앵글(SiliconANGLE)과의 인터뷰를 통해, 해당 비밀번호 제거 결정이 단순한 보안 향상을 넘어 기업 내 업무 효율에도 기여하고 있다고 밝혔다. 실제로 오딧보드는 비밀번호 없는 보안을 실현하기 위해 FIDO2(패스트 아이덴티티 온라인2)를 지원하는 장비로 패스키 체계를 전면 도입했고, 이를 통해 IT 부서의 헬프데스크 요청도 눈에 띄게 감소한 것으로 전해졌다.

기업 내뿐 아니라 정보보안 리더들도 패러다임 전환에 직면해 있다. 마커스는 “이제 CISO는 단순한 보안 관리자 역할을 넘어, 사업 전략 전반에 참여하는 ‘전략 파트너’가 되어야 한다”며 “비즈니스가 어디로 가는지를 명확히 파악하고, 조직이 위험을 피해 성장할 수 있도록 조언하는 것이 핵심 역할”이라고 강조했다. CISO의 역할 확대는 AI 시대 보안 위협 확대에 맞서 조직 전반의 거버넌스를 강화하려는 일환이기도 하다.

오딧보드는 이러한 흐름에 발맞춰 제도 변화 감시 플랫폼 '레그콤플라이(RegComply)'를 론칭하고, AI 거버넌스 기술 기업 페어나우(FairNow)를 인수해 규제 대응 역량도 높였다. 그러나 여전히 많은 컴플라이언스 업무가 수작업 중심이라는 점에서, 자동화를 통한 업무 효율 개선이 다음 과제로 떠오르고 있다. 마커스는 “리스크와 컴플라이언스를 맡은 실무자들이 진정 원하는 것은, 단순한 규제 대응이 아니라 비즈니스 성공을 가능케 하는 전략 파악”이라고 말했다.

오딧보드는 현재 제3자 인증 시스템을 통해 고객 신뢰 확보에도 주력 중이며, AI 활용 리스크를 기업이 적극 관리할 수 있도록 지원하고 있다. 마커스는 “브레이크가 좋아야 차가 더 빠르게 달릴 수 있다”며, 통제 가능한 속도 조절이 곧 성공적인 AI 도입의 조건이라고 표현했다.

기업 보안이 더 이상 기술적 대응만으로는 부족한 시대에 접어든 지금, 오딧보드의 ‘패스워드 제로’ 전략과 거버넌스 강화 기조는 앞으로 많은 기업이 참고할 모델이 될 가능성이 크다.