AI 전략 변화에 대한 압박은 여러 방향에서 동시에 가해지고 있다. AI를 재무 성과로 전환하는 데 어려움을 겪으면서 시장이 조정 국면에 들어선 점, 유럽에서 AI 법(AI Act)을 포함한 새로운 규제 집행이 시작된 점, 그리고 전반적인 리스크 환경이 재편되고 있다는 점이 주요 배경이다.
이러한 상황을 종합적으로 고려할 때, 향후 12개월 동안 CIO의 AI 계획이 어떤 방향으로 형성될지를 가늠하게 하는 다섯 가지 핵심 질문을 정리할 수 있다.
AI와 예산은 같은 방향을 보고 있는가?
2025년을 기점으로 많은 AI 프로젝트가 확장성의 벽을 넘지 못하고 있다는 뚜렷한 흐름이 나타났다. 이 병목은 이제 기술 문제가 아니라 투자 문제로 인식되고 있으며, 그 결과 CFO가 의사결정 과정에 더 깊이 관여하면서 예산 배분 기준을 한층 더 엄격하게 적용하고 있다.
이에 따라 CIO와 현업 부서는 초점을 전환할 수밖에 없는 상황에 놓였다. 이제는 특정 이니셔티브가 기술적으로 작동한다는 사실만으로는 충분하지 않다. 확장 가능성, 수익성, 통제 가능성을 함께 입증해야 한다. 평가 기준이 한층 까다로워진 이유는 초기 단계부터 경제성 요소와 실제 확장 가능성을 함께 고려해야 하기 때문이다.
이러한 맥락에서 에이전트 시스템은 파일럿 단계와 실제 운영 환경 사이의 간극을 메울 수 있는 잠재적 수단으로 부상하고 있다. 다만 이는 보장된 해법은 아니다. 실제 구현 사례를 보면 확장의 한계는 모델 자체가 아니라 운영 환경과의 통합 과정에 있다는 점이 분명해지고 있다.
잘 설계된 에이전트 시스템은 AI가 작업을 연속적으로 수행하고, 다양한 도구를 통합하며, 운영 배포를 위한 프로세스를 표준화할 수 있다는 장점이 있다. 그러나 동시에 비용, 사고, 리스크를 크게 증가시킬 수 있기 때문에 더 많은 분석이 요구된다. 결국 가장 큰 가치를 제공하는 에이전트는 초기 단계부터 강력한 거버넌스를 내재한 경우라고 볼 수 있다.
모든 것은 신뢰할 수 있고 충분히 검증됐는가?
올해부터는 이른바 ‘증거의 시대’에 접어들고 있다. 콘텐츠와 소프트웨어에 대한 신뢰는 더 이상 전제로 받아들여지지 않으며, 검증 가능한 사실에 기반해야 한다. AI로 인해 가능해진 대규모 사칭과 조작 위험은 이미 경영진의 주요 관심사로 떠올랐다.
첫 번째 영역은 기업이 소비하고 생산하는 콘텐츠에 대한 신뢰다. 점점 더 정교해지는 합성 콘텐츠로 인해 문제의 성격은 평판 리스크를 넘어 승인, 감사, 내부 커뮤니케이션과 같은 운영 이슈로 이동하고 있다. 이 때문에 콘텐츠 출처를 검증할 수 있는 체계와 C2PA와 같은 표준에 대한 논의가 확대되고 있다. C2PA는 출처 메타데이터와 수정 이력을 포함해 제3자가 콘텐츠의 기원과 유통 경로를 확인할 수 있도록 한다.
두 번째 영역은 조직이 운영하고 개발하는 소프트웨어에 대한 신뢰다. 내부에서 사용하는 소프트웨어를 포함해 소프트웨어 공급망 전반에 리스크가 존재한다는 인식이 확산되고 있으며, 이를 검증하려는 움직임이 커지고 있다. 이는 소프트웨어 자재 명세서(SBOM), 산출물의 진위를 확인하기 위한 서명, 빌드 출처 정보와 같은 핵심 증거 확보로 이어지고 있다. 유럽연합 사이버보안청(ENISA)은 이러한 조치를 구현하고 리스크를 줄이기 위한 실무 가이드를 제시하고 있다.
기본값으로서의 증거 확보는 구매, 리스크 평가, 감사 프로세스 전반으로 확산되고 있으며, 앞으로는 소프트웨어의 진정성, 구성, 제작 과정에 대한 보다 많은 입증 자료가 요구될 전망이다.
AI는 소프트웨어 라이프사이클과 에이전트를 어떻게 재편하고 있는가?
2025년 내내 AI와 소프트웨어를 둘러싼 논의의 초점은 생산성에 맞춰져 있었다. 더 빠른 코드 작성과 개발 기간 단축, 비용 절감, 인력 효율화가 주요 관심사였다. 그러나 올해 들어 AI가 소프트웨어를 구축하고, 테스트하고, 제공하는 방식 자체를 바꾸는 보다 근본적인 전환이 시작되고 있다.
이러한 변화는 조직 차원의 학습을 요구한다. AI는 변화 속도를 높일 수 있지만, 품질과 테스트, 가시성이 동시에 강화되지 않으면 그 변화는 취약해질 수밖에 없기 때문이다. 이에 따라 CIO의 우선순위는 단순히 어시스턴트를 추가하는 데 있지 않다. 속도를 흡수하면서도 신뢰성을 유지할 수 있도록 소프트웨어 생산 체계를 재설계하는 것이 핵심 과제가 되고 있다.
이 재설계 과정에서 특정 규칙에 따라 소프트웨어 라이프사이클의 개별 작업을 수행하는 소프트웨어 엔지니어링 에이전트가 주목받고 있다. 사고를 해결하는 에이전트나 AI 소프트웨어 엔지니어로 설명되는 제품을 통해 이러한 접근 방식이 점차 현실화되고 있다.
앞으로 에이전트는 통제된 구성 요소로서 소프트웨어 생산 체계에 통합될 전망이다. 최소 권한만 부여받고, 수행할 수 있는 작업 범위가 명확히 제한되며, 모든 변경 사항이 추적 가능하게 기록되고, 리스크가 수반되는 경우에는 인간의 검토가 이뤄지는 구조다. 이러한 프레임워크가 없으면 에이전트는 개발 속도를 높이기보다 복잡성을 품질 보증, 보안, 운영 영역으로 전가하게 된다.
AI는 어느 수준까지 물리적 세계로 확장되고 있는가?
AI는 물리적 환경에서 의미 있는 영향을 미칠 준비를 하고 있으며, 컴퓨터 비전, 로보틱스, 유지보수, 보안, 물류, 리테일, 헬스케어 등 다양한 분야에서 활용 가능성이 빠르게 확대되고 있다. 핵심은 AI가 더 이상 분석이나 권고에 그치지 않고, 지능적인 행동을 수행하는 단계로 이동하고 있다는 점이다.
이러한 진입은 규제 준수와 함께 이뤄진다. 무엇을 할 수 있는지가 아니라, 무엇이 허용되며 어떤 한계 안에서 가능한지가 핵심 질문이 된다. 이에 따라 규제 준수는 부가 요소가 아니라 설계의 필수 요소로 자리 잡고 있다.
특히 두 가지 유럽 규제가 이 흐름을 결정짓는다. AI 법은 8월부터 본격적인 적용 단계에 들어가 통제, 문서화, 감독 요건을 강화한다. 이어 9월 시행되는 사이버 복원력 법(Cyber Resilience Act)은 디지털 요소를 포함한 제품에 대한 보고 의무를 규정하고 있다.
CIO의 관점에서 보면 IT와 OT, 즉 디지털 세계와 물리적 세계를 분리해 관리하는 방식은 이 새로운 국면을 대응하는 데 효과적이지 않다. 엔지니어링, 보안, 공급업체, 운영을 유기적으로 조율하는 것이 최우선 과제로 떠오르고 있다. 리스크와 책임이 전체 체인에 걸쳐 확산되는 만큼, 감사와 사고, 에스컬레이션을 견딜 수 있는 형태로 AI를 운영 환경에 통합하는 것이 핵심이라고 할 수 있다.
산업화된 사기를 막기 위한 해법은 무엇인가?
불편하지만 정면으로 마주해야 할 현실이 있다. 디지털 기술을 활용한 사기는 규모와 정교함 모두에서 빠르게 확대되고 있으며, SOC를 넘어서는 범조직적 대응 역량을 요구하고 있다.
콘텐츠 검증에 대한 강화는 해법의 일부에 불과하다. ‘무엇’에 대한 확인뿐 아니라 ‘누가’에 대한 검증도 함께 이뤄져야 한다. 이 때문에 고객, 직원, 공급업체는 물론 서비스, API, 에이전트와 같은 비인간 정체성까지 포함하는 신원 검증의 중요성이 커지고 있다. 핵심은 가장 중요한 순간마다 해당 정체성을 신뢰성 있게 확인하는 데 있다.
이러한 흐름 속에서 FraudOps는 사기 대응을 운영 차원에서 구현하는 접근 방식으로 부상하고 있다. 이는 일회성 점검이나 경보 발생 이후의 대응에 국한되지 않는다. 온보딩, 결제, 신규 계정 개설, 데이터 변경, 승인 등 핵심 비즈니스 워크플로에 사기 예방과 대응을 지속적이고 측정 가능한 프로세스로 통합한다. 규칙을 조정해 오탐을 줄이고 성과를 개선하는 측정과 학습의 순환 구조를 통해 사용자 불편을 최소화하는 것이 목표다.
한편 유럽의 디지털 신원 체계도 빠르게 진전되고 있다. 유럽연합 집행위원회는 올해 각 회원국이 최소 한 가지 형태의 EU 디지털 신원 지갑을 제공할 것이라고 밝혔다. 이는 검증 가능한 자격 증명의 확산을 촉진하고 과도한 통제를 피할 수 있다는 점에서 CIO에게 중요한 의미를 갖는다.
요약하면 2024년과 2025년이 탐색과 실험의 해였다면, 2026년은 책임의 해라고 할 수 있다. 투자를 정당화할 수 있는 경제적 성과와 함께, 진정성과 신원을 입증하는 규제 준수가 CIO의 AI 전략에서 핵심 기준으로 자리 잡고 있다.
dl-ciokorea@foundryco.com
Read More from This Article: 2026년 CIO AI 전략을 둘러싼 5가지 핵심 질문
Source: News