AI는 보안팀의 업무를 더 쉽게 만들어줄 것으로 기대됐지만, 현실에서는 정반대가 되고 있다. 보안 전문가들은 이중고에 시달리고 있다. 조직 내 AI 사용을 관리 및 감독해야 하는 한편, 적절한 교육 없이 자신의 업무 프로세스에 AI를 통합할 방법을 모색해야 한다. 결과적으로 업무는 과부화하고, 압박은 커지며, 필요한 기술과 실제 역량 사이의 간극은 더 벌어지고 있다.
이런 어려움에도 불구하고 기업들의 AI 도입 열기는 뜨겁다. 가트너(Gartner) 부사장 리처드 애디스콧은 “연구에 따르면 98%의 조직이 이미 생성형 AI나 다른 형태의 AI를 도입했거나 도입할 계획이다. 도입하지 않겠다는 곳은 1%에 불과하고, 나머지 1%는 아직 결정을 못 내렸다. 보안 조직의 책임자라면 AI를 막는 것은 전혀 도움이 되지 않을 수 있다”라고 언급했다.
하지만 AI 도입은 사이버보안 전문가들에게 새로운 부담을 안겨준다. CISO들은 AI를 관리 및 감독해야 하는 동시에 스스로 AI를 활용해야 하는 상황이다. 애디스콧은 “비용 효율성, 운영 생산성, 업무 연속성, 인재 부족 같은 문제가 이미 영향을 미치는 상황에서, 보안팀이 ‘AI를 어떻게 활용해 운영 효율을 높이고, 비용을 절감하며, 같은 인력으로 더 많은 일을 할 수 있을까’를 고민하는 것은 당연하다”라고 설명했다.
AI가 가져온 보안 부담
큰 문제 중 하나는 많은 사이버보안 전문가들이 제대로 된 교육 없이 AI 도구를 도입하고 관리해야 한다는 점이다. 오라일리(O’Reilly)는 ‘2025년 기술 트렌드‘ 보고서에서 AI 관련 역량에 대해 빠르게 늘어나는 관심도를 조사했다. 2023년부터 2024년까지 AI에 대한 관심은 190% 증가했는데, 생성형 AI로 좁혀보면 증가율은 289%에 달했다. 그중 AI 원칙(386% 증가)과 프롬프트 엔지니어링(456% 증가)이 특히 더 많은 관심을 받았다.
애디스콧은 “조직이 AI 목표를 수용하려는 의도는 좋지만, 팀 내 누구도 대규모 언어 모델 운영이나 프롬프트 엔지니어링을 이해하지 못한다면 어려울 수밖에 없다. 필요한 역량과 능력이 바뀌어야 하는데, 이는 인재 계획에 근본적인 영향을 미친다. 보안 측면에서 전략적으로 고려해야 할 요소들도 많다”라고 설명했다.
인디아 인터내셔널 인슈어런스의 CISO이자 넥시스사이버의 설립자인 아닐 아파얀나도 이에 동의하며, 많은 조직이 팀의 준비 상태를 확인하지 않고 AI를 서둘러 도입한다고 지적했다. 그는 “요즘 모두가 AI에 대해 이야기하다 보니 뒤처질까 봐 두려워하는 경향이 있다. 만약 내가 세미나에서 회사의 AI 활용 사례를 발표하면, 다른 사람들은 회사로 돌아가 ‘저 회사도 쓰는데, 우리는 왜 못 써?’라는 압박감을 느낀다”라고 말했다.
아파얀나는 “하지만 준비가 매우 중요하다. 단순히 기술을 도입하는 게 아니라 어디로 가고 있는지, 무엇을 원하는지 이해하고 있는 것이 중요하다. 그리고 이를 실행할 수 있는 적절한 역량과 인재를 갖췄는지도 확인해야 한다”라고 조언했다.
아파얀나는 또한 기술적인 역량뿐만 아니라 AI에 대한 사고방식의 변화가 필요하다면서, AI 추천 사항을 맹목적으로 믿기보다는 AI가 내놓은 결과를 검증할 사람의 감독을 유지해야 한다고 말했다.
그는 “절대 AI에 모든 것을 맡기거나 과도하게 의존하지 않을 것이다. 항상 어딘가에 사람의 개입이 있어야 한다. 단순히 ‘봤다, 괜찮다, 넘어가자’ 정도일 수도 있지만, ‘AI가 이렇게 말했으니 무조건 믿는다’라는 식의 상황은 피해야 한다. 실제로 무슨 일이 일어나고 있는지 사람이 반드시 확인해야 한다”라고 말했다.
오라일리 보고서는 지금과 같은 열풍 속에서도 어느 정도의 환멸이 불가피하다고 지적했다. 특히 많은 조직이 프롬프트 엔지니어링 같은 새로운 분야에서 AI의 역량과 한계를 제대로 이해하지 못하고 있다고 언급했다. 실제로 프롬프트 엔지니어링 검색은 2023년 급증했다가 2024년 초부터 감소 조짐이 보이기 시작했다. 단순히 일시적인 현상인지 AI 피로감의 신호인지 불분명하나, 프롬프트 엔지니어링에 대한 관심이 줄면 머신러닝과 AI 전반에 대한 열기가 식을 수 있다고 보고서는 지적했다.
아파얀나는 AI 도입 열풍을 지난 10년간의 디지털 트랜스포메이션 열풍에 비유했다. 그에 따르면 당시 기업들은 클라우드로 이동하고, 업무를 자동화하고, 디지털 기술을 도입해야 한다는 압박을 느꼈지만, 많은 기업이 변화가 실제로 비즈니스 요구와 맞는지 제대로 고려하지 않았다.
그는 “문제는 이렇다. AI를 도입할 수는 있지만, 어떤 상황에서? 맥락을 정의하고 비즈니스 요구사항을 충족하는지 확인해야 한다. 그래야만 AI가 진정한 가치를 제공할 수 있다”라고 설명했다.
아파얀나는 AI에 체계적으로 접근하고 있다고 언급했다. 팀에 AI를 도입해 반복적이고 단순한 작업을 처리하도록 한 후, 점차 레드팀 자동화와 같은 더 복잡한 영역으로 확장했다. 그는 “AI 기술을 도입할 때 먼저 확인하는 것은 ‘팀원이 해당 기술을 이해하고 적용할 수 있는 적절한 역량을 갖추고 있는가’다. 항상 교육이 최우선 순위라고 생각하기 때문이다”라고 말했다.
공격자들은 AI 활용 중… 방어자의 준비 수준은?
AI는 업무량을 늘릴 뿐만 아니라 기대치도 높이고 있다. 많은 보안팀은 이미 인재가 부족한 상황에서 AI 통합이라는 추가 부담까지 안게 됐다. 애디스콧은 “매우 적은 인원으로 겨우 일상 업무를 처리하고 있는 팀에게 AI는 또 하나의 큰 도전이 될 수밖에 없다”라고 강조했다.
AI 역량 부족 문제에서 중요한 점은 공격자들도 AI를 활용하기에 방어자들이 더 불리한 상황에 처한다는 것이다. 사이버 범죄자들은 더 그럴듯한 피싱 이메일을 만들고, 정찰을 자동화하고, 탐지를 회피하는 악성코드를 개발하는 데 AI를 사용하고 있다. 반면 보안팀은 이에 대응하기도 버거운 실정이다.
그로스케일의 사이버 리스크 어드바이저이자 웰스 파고와 시스코의 전 클라우드 거버넌스 책임자인 로나 스피겔은 “AI는 이미 진행 중인 문제들을 더 빠르게 악화시킨다. 사이버보안에서는 방어자가 항상 완벽해야 하지만, 공격자는 한 번만 성공하면 된다. AI는 공격자들이 성공할 확률을 높여주고 있다”라고 분석했다.
이때 제대로 된 AI 교육 없이는 보안 전문가들이 AI로 만들어진 위협을 다루고 있다는 사실조차 인식하지 못할 수 있다. 애디스콧은 “공격자들은 AI를 최대한 활용하려 한다. 보통 기술을 실험하고 개발할 시간과 자금도 더 많다”라고 지적했다.
AI가 인재 부족 문제를 해결할까?
그러나 모든 사람이 사이버보안 인재 환경에서 AI를 부정적으로만 보는 것은 아니다. 스피겔은 AI 도입의 복잡성을 인정하면서도, 문제의 핵심은 리더십의 이해 부족이라고 주장했다. 그는 사이버보안팀에 다양하고 균형 잡힌 역량과 경험이 필요하다고 조언했다.
스피겔은 “사이버보안 기술 부족이 아니라 리더십의 이해 부족이 문제라고 생각한다. 리더들은 초고속으로 AI를 도입하라는 압박을 받으며, AI 자동화로 얻을 수 있는 효율성에만 집중하고 있다. 이로 인해 사이버보안을 매우 좁은 시각으로 바라보며 인재를 배치하고 있다”라고 언급했다.
그는 AI가 궁극적으로 역량 부족 문제를 완화하는 데 도움이 될 수 있다고 진단하면서, “CISO들은 더 전략적으로 접근해야 한다. 현재 자동화에 대한 압박이 너무 심하지만, 그들은 부서 간 협력을 강화하고, 정책에 집중하며, 정책 적용 방식을 통합 및 단순화할 필요가 있다. 그리고 사이버보안팀뿐 아니라 전체 조직의 모든 직원들을 어떻게 교육할지 고민해야 한다”라고 말했다.
아파얀나도 이에 동의하며, 제대로 활용한다면 AI가 인재 부족을 악화시키기보다 완화할 수 있다고 말했다. 그는 AI가 보안 전문가들이 단조롭고 반복적인 일에 시간을 낭비하지 않고 더 높은 수준의 기술을 개발할 수 있게 해준다고 평가했다.
아피얀나는 “보안 분석가가 로그를 검토하는 데 2~3시간을 쓸 때 AI가 5분 만에 할 수 있다면, 해당 작업에 AI를 쓰고 싶다. 사람을 대체하는 게 아니라 보조하는 도구로서 말이다”라고 말했다.
AI의 잠재력에도 불구하고, 단기적 상황은 여전히 도전적이다. 애디스콧은 AI가 가까운 미래에 기존 보안 업무를 대체하기보다는 그 위에 추가될 것이라고 봤다. 그는 “여전히 보안 모니터링, 애플리케이션 보안, 인프라 보안, 클라우드 보안, 정책 보안, 보안 인식 등이 필요하다”라고 말했다.
이어 그는 “단기에서 중기적으로는 AI가 이 모든 것의 최상위에 위치할 가능성이 높다. 그리고 AI의 완전한 내재화, 아마도 세대 교체를 통해 크게 발전해 ‘이제 모범 사례가 확립됐다’라고 말할 수 있기까지는 오랜 시간이 걸릴 것”이라고 진단했다.
아파얀나는 또한 AI만으로 보안 문제를 해결할 수 있다는 오해에 대해 경고한다. 그는 체계적인 AI 교육과 신중한 도입에 투자하는 조직이 성공할 가능성이 더 높다면서, “AI 도구는 자동화를 도울 뿐이다. 도움을 주고 지원할 수는 있지만, 절대 사람의 전문성을 대체할 수 없다. 조직은 이사회나 팀과 함께 AI를 보조 도구로 인식하되 대체재가 아니라는 점을 분명히 해야 한다”라고 조언했다.
[email protected]
Read More from This Article: AI 열풍이 사이버보안 전문가에게는 ‘이중고’인 이유
Source: News