IT 서비스 기업 DXC 테크놀로지(DXC Technology)의 글로벌 CISO 마이크 베이커는 세계 최대 규모 중 하나로 꼽히는 에이전틱 보안관제센터(SOC)를 구축했다. 그는 이 과정에서 보안 인력의 역량 강화를 위해 에이전틱 SOC 벤더 7AI의 전문가들을 내부 보안팀에 직접 배치했다.
액센추어의 글로벌 사이버보안 서비스 총괄 데이먼 맥두걸드는 팀을 에이전틱 AI에 맞게 재교육하기 위해 먼저 스스로 기술을 익히는 데 집중했다. 앤트로픽 실습형 교육 과정에 참여하고 관련 교육을 수강한 뒤, 팀원들도 동일한 교육 과정에 참여하도록 했다.
항공사 버진 애틀랜틱(Virgin Atlantic)에서 CISO를 지낸 존 화이트는 보다 실험적인 접근을 택했다. 그는 주니어 직원에게 최소한의 지침만 제공한 채 새로운 에이전틱 AI 도구를 직접 사용해보도록 했다. 화이트는 “며칠 만에 해당 직원이 관련 도구 경험이 전혀 없는 상태에서도 자체 워크플로우를 구축했다”고 설명했다. 최근 그는 보안 자동화 기업 토크(Torq)의 필드 CISO로 자리를 옮겼다.
이처럼 에이전틱 AI를 위한 보안 조직 재교육 방식은 실습 중심 교육부터 자율적 실험까지 다양하게 나타나고 있다. 다만 CISO들이 공통적으로 따르는 몇 가지 핵심 원칙이 존재한다.
에이전틱 전환은 필수 과제
SOC의 미래 경쟁력을 확보하기 위해 CISO가 가장 먼저 인식해야 할 점은, 아직 기대 수준에 완전히 도달하지는 않았더라도 에이전틱 AI가 향후 전환의 핵심 요소가 될 것이라는 사실이다.
베이커는 “모든 보안 리더는 에이전틱 미래를 대비한 계획을 지금부터 수립해야 한다”며 “공격자는 머신 속도로 움직이게 될 것이고, 인간의 생물학적 한계에 기반한 기존 프로세스로는 미래 수요를 감당할 수 없다”고 강조했다.
화이트는 “가장 큰 리스크는 충분히 빠르게 적응하지 못하는 것”이라며 “완벽한 솔루션이나 모든 기능을 갖춘 플랫폼을 기다리는 태도 자체가 조직에 위험을 초래한다. 아무것도 하지 않는 것 또한 리스크”라고 지적했다.
보안 교육 기관 샌즈 인스티튜트(SANS Institute)의 필드 CISO이자 AI 보안 담당 부사장 크리스 코크런은 “최근 30명의 보안 임원을 대상으로 한 자리에서 절반이 스스로를 AI 회의론자라고 밝혔다”며 “하지만 이러한 주저함은 전략적 약점으로 작용한다. 공격자는 이미 AI를 공격적으로, 지속적으로 활용하고 있으며 이에 맞춰 움직이지 못하는 보안 조직은 뒤처질 수밖에 없다”고 분석했다.
리더십이 변화의 방향을 결정
에이전틱 AI 시대에 맞춰 보안 조직을 재교육하기 위한 두 번째 원칙은 리더십에 있다.
베이커는 CISO가 조직의 방향성을 명확히 제시해야 한다고 강조했다. 이는 빠른 실험과 반복, 혁신을 장려하는 문화를 구축하는 것을 의미한다. 그는 “빠르게 실패하고 앞으로 나아가야 한다”고 말했다.
또한 CISO 리더십의 핵심은 비즈니스 요구를 정확히 이해하는 데 있다고 덧붙였다. 베이커는 “보안 조직과 이를 이끄는 경영진이 AI를 적극 수용해 비즈니스 요구에 부합하는 방향으로 나아갈 수 있는지가 재정비의 성패를 좌우한다”며 “보안은 AI를 활용해 비즈니스 전환을 안전하게 지원하고, 기업의 속도에 맞춰 운영될 수 있어야 한다”고 설명했다.
화이트는 사이버보안에서 에이전틱 AI를 효과적으로 활용하기 위해서는 기술뿐 아니라 사고방식의 전환이 필요하다고 강조했다. 그는 “리더는 변화의 방향을 명확히 설명하고, 모든 것을 직접 수행할 필요가 없다는 인식으로 조직의 사고를 재정립해야 한다”며 “앞으로 대부분의 실행은 에이전틱 방식으로 이뤄지고, 역할은 결과 정의, 워크플로우 설계, 자연어 기반 의도 전달, 그리고 결과에 대한 판단으로 이동하게 될 것”이라고 말했다.
변화 저항 관리와 극복 전략
모든 기술 전환이 그렇듯, 변화에 대한 저항 역시 중요한 과제로 떠오른다. 특히 L1·L2 SOC 분석가 역할을 대체할 가능성이 있는 기술인 만큼 조직 내 우려가 크다.
코크런은 “보안 커뮤니티에는 분명한 문화적 저항이 존재한다”며 “일부 운영 인력은 AI 결과를 신뢰하지 못하고, 또 다른 일부는 오랜 기간 사용해 온 워크플로우를 바꾸려 하지 않는다”고 지적했다.
다만 그는 에이전틱 AI가 새로운 역할을 창출할 것이라고 강조했다. “AI 보안, AI 안전성, AI 거버넌스 등 새로운 전문 분야가 등장할 것”이라고 설명했다.
화이트는 버진 애틀랜틱 도입 초기 일부 구성원들이 역할 축소를 우려했다고 전했다. 그러나 실제로는 다른 결과가 나타났다. 실험에 참여했던 주니어 직원은 자동화 워크플로우 전문가로의 역할 전환을 희망했다. 화이트는 “사고방식이 얼마나 빠르게 바뀔 수 있는지를 보여주는 사례”라고 평가했다.
베이커 역시 변화 과정에서 저항은 자연스러운 현상이라고 봤다. 그는 “성장과 교육 과정을 거쳐야 했지만, 비교적 짧은 시간 안에 팀원들이 ‘깨달음의 순간’을 경험했다”며 “이를 통해 인력을 더 높은 부가가치 업무로 재교육할 수 있었고, 사실상 커리어를 한 단계 끌어올리는 효과를 거뒀다”고 말했다.
실습 중심의 체계적 학습 필요
에이전틱 AI 역량 강화를 위해서는 보안 인력이 직접 도구를 다뤄볼 수 있는 환경을 마련하는 것이 중요하다. 특히 과도한 업무에 시달리는 보안 담당자들이 안전한 샌드박스 환경에서 충분히 실습할 수 있도록 시간을 확보해야 한다.
베이커는 “DXC는 ‘랩엑스(LabX)’라는 실습 환경을 제공해 보안 인력이 안전하고 통제된 조건에서 에이전틱 AI를 실험할 수 있도록 하고 있다”고 설명했다.
또한 DXC는 내부 학습 관리 플랫폼에 AI 교육 트랙을 개설해, 단순 실험을 넘어 체계적인 역량 개발까지 병행하도록 유도하고 있다.
맥두걸드는 “앤트로픽 교육 과정에는 자체 샌드박스 환경이 포함돼 있어 보안 전문가가 프롬프트를 입력하고 결과를 분석한 뒤 이를 개선하는 과정을 반복할 수 있다”고 설명했다.
맥두걸드는 이어 “CISO는 정식 교육 계획을 수립하고 보안 인력이 새로운 기술을 충분히 익힐 수 있도록 학습 시간을 확보해줘야 한다”고 조언했다.
거버넌스 강화와 인간 중심 통제 유지
에이전틱 AI는 강력한 기능을 제공하지만, 그만큼 한계도 분명하다. 코크런은 “AI는 비결정적 특성을 갖고 있어 오류를 낼 수 있고, 결과가 변하거나 의도치 않게 오해를 불러일으킬 수 있다”며 “따라서 교육은 AI 활용 방법뿐 아니라 실패 가능성과 이를 식별하는 방법까지 포함해야 한다”고 강조했다.
그는 “핵심 원칙은 AI의 확장성을 허용하되 인간을 완전히 배제하지 않는 것”이라고 덧붙였다.
이를 위해 보안 조직은 에스컬레이션 체계를 구축하고, 개입 권한을 명확히 정의하며, 감사 추적을 마련하고, 사람이 에이전틱 성과를 검토하는 정기적인 평가 프로세스를 운영해야 한다.
DXC의 경우 기본적인 경고 분류와 조사 작업은 AI 에이전트가 수행하고 있지만, 최종 단계인 L3에서는 여전히 인간이 개입한다. 베이커는 “항상 인간이 의사결정 과정에 참여하는 구조를 유지하고 있다”고 말했다.
액센추어 역시 L1·L2 단계에 에이전트를 도입했지만, 최종 운영은 인간 중심으로 이뤄진다. 맥두걸드는 “보안 전문가는 에이전틱 결과를 지속적으로 검증하고 피드백을 제공해야 하며, 이러한 반복 과정이 필수적”이라고 설명했다.
보안 조직 구조 재설계 필요
L1·L2 기능이 에이전틱 방식으로 전환된 SOC에서는 조직 구조 변화가 불가피하다. 화이트는 “이번 변화는 단순한 기술 전환이 아니라 조직 전환으로 봐야 한다”고 강조했다.
그는 “에이전틱 AI는 팀 설계 방식, 인력 관리 방식, 역할의 진화 방식 전반에 영향을 미칠 것”이라며 “저연차 직원 역할이 자동화되는 환경에서는 기존처럼 단계별로 올라가는 커리어 경로가 더 이상 유효하지 않다”고 설명했다. 이어 “보안 분야에 새롭게 진입하는 인력은 전혀 다른 경로를 선택해야 할 것”이라고 덧붙였다.
또한 기존 보안 조직이 기능별로 나뉜 사일로 구조였다면, 앞으로는 역할이 유기적으로 이동하고 통합되면서 보다 통합적인 역량 중심 조직으로 재편될 것이라고 전망했다.
인간-AI 협업 역량이 핵심 경쟁력
에이전틱 시스템 도입은 보안 인력의 역량 구조 자체를 바꾼다.
보안 소프트웨어 기업 포트라(Fortra)의 수석 사이버보안 분석가 조시 테일러는 “SOC 분석가는 기존에 신호 처리, 경고 분류, 이벤트 상관 분석, 에스컬레이션 업무를 수행해왔다”며 “에이전틱 AI는 이러한 업무를 없애는 것이 아니라, 분석가의 위치를 프로세스 내부에서 상위로 이동시킨다”고 설명했다. 이어 “재교육의 핵심 과제는 기술이 아니라 인지 역량”이라고 강조했다.
그는 “에이전트가 200개의 경고를 처리한 뒤 5개만 사람에게 전달하는 상황에서, 분석가는 해당 판단이 타당한지 평가할 수 있어야 한다”며 “겉으로는 맞아 보이지만 구조적으로 잘못된 결과를 식별할 수 있는 ‘모델 직관’ 역량을 키워야 한다”고 말했다.
또한 CISO는 분석가가 에이전트의 행동 범위를 정의할 수 있도록 정책 설정 역량을 강화해야 한다고 조언했다. 예를 들어 운영 트래픽 차단이나 외부 통신 수행 여부 등 에이전트의 권한을 명확히 규정해야 한다는 것이다. 그는 “SOC 팀은 사고 대응 플레이북을 만들듯 의사결정 경계를 설계해야 한다”고 설명했다.
화이트는 “에이전틱 AI의 강점은 목표를 명확히 정의하면 실행은 자동으로 이뤄진다는 점”이라며 “이처럼 의도 중심의 자동화된 AI 기반 엔지니어링은 이미 현실이 됐다”고 말했다.
다만 그는 “새로운 워크플로우가 실제 목표를 달성했는지, 기대한 가치를 창출했는지는 반드시 사람이 평가해야 한다”며 “필요할 경우 프롬프트를 수정해 더 나은 결과를 도출하는 과정 역시 인간의 역할”이라고 강조했다.
운영 모델 전면 재구성
베이커는 12만 명 이상의 사용자를 지원하는 환경에서 방대한 경고와 데이터, 텔레메트리에 대응하기 위해 에이전틱 AI를 도입했다. 현재 L1·L2 SOC 분석가 역할은 대부분 자동화됐으며, 향후 취약점 관리, 침투 테스트, 패치 등 다양한 보안 영역으로 확대할 계획이다.
화이트 역시 유사한 방향성을 제시했다. 그는 “앞으로 AI 활용은 더욱 확대될 것”이라며 취약점 관리, 침투 테스트, 패치, 컴플라이언스 등을 주요 적용 영역으로 꼽았다.
화이트는 에이전틱 SOC의 효과가 기술을 넘어 조직 구성원에도 긍정적인 영향을 미친다고 강조했다. 그는 “운영 모델을 성공적으로 전환한 리더가 최고의 리더가 될 것”이라며 “그 결과 더 만족도 높은 조직이 만들어지고, SOC 역시 경고에 쫓기는 혼란스러운 환경이 아니라 안정적이고 차분한 운영 환경으로 변화할 것”이라고 전망했다.
dl-ciokorea@foundryco.com
Read More from This Article: 에이전틱 AI 시대, 보안관제 인력 재교육 위한 8가지 원칙
Source: News