‘위인 이론(위대한 인물 이론)’이라는 철학적 개념이 있다. 이는 알렉산더 대왕, 나폴레옹, 엘리자베스 1세, 미국 독립 혁명의 아버지와 같은 중요 인물들이 사회 전체의 중심축 역할을 했다는 이론이다.
최근 연구에 따르면 사이버 보안 및 관련 직종에서는 AI가 사람의 능력을 대체할 수 있다고 믿는 일종의 ‘위대한 기계’ 문제가 발생하고 있다. 이런 믿음은 전통적으로 혁신적인 변화에 대응하는 데 도움이 되어온 교육, 조직 문화 등의 중요성을 과소평가하게 한다.
조사 결과는 상당히 우려스럽다. 새로운 기술에 대한 단순하고 포괄적인 가정을 운영 의사 결정에 적용하면 기술의 세부적인 특성이 간과된다. 그러면 사이버 보안 업무에는 단순히 AI 인식을 높이고 교육 기회를 확대하는 것 이상의 복잡한 해결책이 필요해질 수 있다.
다행히도 단일한 문제는 잠재적 해결책의 가능성도 갖고 있다. 이제 CISO는 AI를 대체재가 아닌 보완재로 보는 인재를 지원하고 그 효과를 극대화하기 위해 다양한 해결책을 모색해야 한다.
위인 이론의 한계
위인 이론은 탁월한 도덕성과 지적 능력을 가진 지도자가 역사적 사건을 주도하고, 중요한 전투나 정치적 변혁과 같은 획기적인 사건을 만들어낸다고 본다.
현대 심리학과 경영학에서 말하는 조직 내 인간 행동 방식과 이 이론은 충돌할 수밖에 없다. 이제 개인의 고귀함이나 덕성 같은 자질이 대규모 변화를 이끄는 광범위한 사회적 동력만큼이나 중요해졌기 때문이다.
오늘날 팬데믹, 전쟁, 경기 침체 등 사회에 큰 충격을 주는 시기는 오직 지도자의 행동에 영향을 미치는 정도로만 의미가 있다. 또한 새로운 기술이나 민족주의의 등장과 같은 사회적 흐름은 점진적인 변화를 이끄는 동력이 아닌, 단순히 그 시대를 특징 짓는 주제로만 여겨진다.
기업의 임원 채용 과정에서 여전히 위인 이론이 영향을 미친다는 점을 언급할 수 있겠지만, 21세기에 위인 이론은 진부한 개념으로 받아들여지고 있다. 지난 100년 동안 각 분야의 전문가들은 지도자를 역사의 중심축으로 보는 관점을 비판하는 데 그쳤으며, 이보다 더 나은 분석적 가치를 지닌 다양한 대안 이론들이 존재한다는 점을 강조해왔다.
위인의 역할을 대체한 AI
그러나 단일 대상을 통한 사회 변화라는 개념은 대중과 전문가 모두에게 여전히 남아 있다. 특히 기술은 과거와 미래를 설명하는 절대적인 요인으로 여겨지곤 한다.
예를 들어 텔레비전은 전쟁 현장을 집으로 직접 전송해 20세기 전쟁에 대한 인식을 완전히 바꿨다. 인터넷 역시 개발도상국의 민주화 운동부터 일반 시민의 음모론까지 모든 현상을 설명하는 만능 도구였다. 물론 이런 단순화는 위인이 역사를 만든다는 관점만큼이나 극단적인 시각이다.
어떤 면에서 기술을 하나의 단일 대상으로 보는 관점, 즉 ‘위대한 기계’ 이론이 전문가와 대중에게 남아있는 것이 당연할 수 있다. 전신, 컴퓨터, 인터넷과 같은 혁신적 기술에는 국가와 세계의 복잡한 인프라가 집약된다. 전문가가 아닌 사람들은 그 세부적인 작동 원리를 이해하기 어렵기 때문에 단순화가 일어난다.
복잡한 기술은 현대의 폭넓은 정보 접근성 덕분에 각 개인에게 서로 다른 의미로 다가갈 수 있다는 점에서 위인과는 다르다. 하지만 AI도 이러한 맥락에서 바라보는 경우가 많다. 인터넷이나 AI처럼 독특하고 역동적인 기술이 이처럼 단순화되는 것은 흥미로운 현상이다. 실제로는 결코 단순하지 않기 때문이다.
알고리즘, 소비자 제품, 로봇 등 다양한 형태로 존재하는 AI의 복잡성을 고려하면, 이를 하나의 단일 대상으로 정의하기 어렵다. 실제로 기획자와 보안 의사결정자들은 이런 이유 때문에 AI에 대한 단순한 가정을 피하려 한다. 하지만 최근 연구에 따르면, AI의 기본 개념에 대한 이해 수준이 실제 보안 업무 현장에서의 판단과 실행 가능성에 상당한 영향을 미치는 것으로 나타났다.
사이버 전문가가 AI를 보는 관점이 중요
최근 사이버 보안 및 국토 안보 분야 전문가를 대상으로 진행한 실험 연구에 따르면 이들이 AI의 혁신적 특성을 어떻게 인식하는지가 업무에 중요한 역할을 하는 것으로 나타났다.
연구진은 심각한 위기 상황, 가령 국가 선거 인프라에 중대한 영향을 미칠 수 있는 사이버 보안 위기 상황에서 AI에 대한 이해 수준이 전문가들의 대응 방식에 어떤 영향을 미칠 수 있는지 분석했다.
일반적으로 사이버 보안 위기 상황에서는 사건이 새롭고 낯설수록 관계자의 반응을 예측하기 어렵다. 초기 연구에서도 이런 결과가 나타났다. 그러나 이런 불확실성은 경험과 교육 수준에 따라 완화될 수 있었다. CISO에게는 긍정적인 소식이다.
하지만 AI를 바라보는 관점에 따라 이런 ‘경험과 교육의 완충 효과’는 달라졌다. AI가 자신의 직무 대부분을 대체할 것이라고 보는 전문가의 경우 이런 조절의 효과가 거의 나타나지 않았다. 반면 AI를 보완 도구로 인식하거나 제한된 기능만 대체할 것으로 예상하는 전문가는 경험과 교육을 활용해 더 효과적으로 대응할 수 있었다.
결론적으로 AI를 과도하게 단순화해서 바라보는 시각은 조직의 전통적인 강점을 무력화시킬 수 있다. 다시 말해 다양한 경험을 가진 숙련된 전문가를 채용하고 지속적인 교육을 제공하는 등 전통적인 조직의 위기 대응 전략이 제대로 작동하지 않을 수 있다는 것이다.
CISO가 AI를 제대로 이해하고 활용하는 방법
이 연구는 전문 보안 실무 영역에서도 AI의 특성을 단순화하고 있을 가능성을 제기했다. 그러나 다행스럽게 이를 해결할 여러 방안이 있다.
AI 교육 다양화
AI를 단순화해 받아들이는 문제를 명확히 해결하려면 교육과 학습 계획을 여러 목표에 맞춰 조정해야 한다. 연구에 의하면 보안 직종이 기본 기능을 잘 이해할수록 혼란스럽고 낯선 상황에 직면했을 때 과도한 반응을 조절하는 데 유의미한 효과가 나타났다.
하지만 안타깝게도 지나치게 단순화하려는 사고방식에는 이런 효과만으로 부족할 수 있다. 추가적인 노력이 필요하다. 특히 AI 시스템의 기본 기능에 대한 논의는 기술의 역동성을 강조하기 위해서라도 가능한 한 다양한 결과와 연계되어야 한다.
AI 교육 및 훈련은 사회적, 정치적, 상업적, 보안적 의사 결정에 따르는 다양성을 담아야 한다. 사이버 보안 직원은 훈련에 사용되는 데이터의 차이, 정보 처리와 주석 작업에 사용되는 인터페이스의 편향성 등 다양한 변수가 미치는 영향을 최대한 이해하도록 교육받아야 한다.
이 목표를 달성하기 위한 구체적인 방안에는 새로운 AI 도구를 도입하는 조직의 침투 테스트에 여러 구성원이 참여해 요구 사항을 수립하는 방법이 있다. 즉 새로운 플랫폼이나 시스템은 실제 이를 사용할 보안 직원의 대표 표본으로 테스트돼야 하며, 가장 기본적인 기술 수준의 사용자도 접근할 수 있는 테스트 옵션을 제공해야 한다.
사용 기간의 중요성
사이버 보안 전문가와 조직은 AI 시스템을 도입할 때 ‘계획된 수명 주기’를 명확히 설정할 필요가 있다. 초기 개발 및 도입 단계에서 AI 시스템이 시스템 오류로 실패하는 것이 아니라, 비교적 짧은 기간(몇 년) 내에 자연스럽게 노후화하도록 설계해야 한다.
그래야만 사용자에게 실현 가능한 사용 기간이 명확히 인식될 수 있다. 조직이 과도한 단순화로 인해 문제를 겪지 않도록 하는 데도 도움이 된다.
비교를 통한 섬세한 사고
AI를 더 깊이 이해하려면 다양한 관점에서 바라봐야 한다. 앞선 연구의 주요 가치 제안은 전문가들이 다른 영역의 전문적 힘을 빌어 세상을 바라볼 수 있도록 하는 데 있다. 모의 훈련은 이미 사이버 보안 분야의 핵심 도구지만, AI 관련 비교 학습을 추가로 도입할 필요가 있다.
다시 말해, 전문가들은 자신이 사용하는 도구를 다른 사람의 입장에서 바라보고 사용해봐야 한다. AI를 만능 해결책으로 보는 ‘위대한 기계’ 문제를 극복하는 데 효과적인 방법은 비교 접근법을 활용하는 시뮬레이션이다. 예를 들어 개인에게 문화적 매개변수, 국가, 기후 상황 등이 다른 환경에서 현재의 업무를 수행하도록 하고 그 맥락에서 AI 도구를 평가하도록 할 수 있다.
정체는 조직 건강의 적
마지막으로 가능한 경우 역할 순환이 조직의 건강을 유지하는 데 유용할 수 있다. 테스트에 의하면 단순히 오랜 경력을 쌓는 것보다 다양한 역할을 경험할 때 새로운 상황에 더 효과적으로 대응할 수 있게 하는 것으로 나타났다.
다양한 유형의 AI 도구가 조직 내에서 어떤 역할을 하는지에 대한 아이디어를 서로 공유하고 교류하는 것이 중요하다. 이는 기술 지식을 문화적 역량의 한 형태로 확장하는 것 외에도 기술을 지나치게 단순화하여 바라보는 위험을 막는 데 유용하다.
[email protected]
Read More from This Article: 칼럼 | AI는 만능 대체재가 아니다··· 사이버보안이 피해야 할 ‘AI 단순화’
Source: News