해킹 실습 플랫폼 기업 핵더박스(Hack The Box)와 국제 정보보안 교육 및 자격증 기관 ISC2의 조사 보고서에 따르면, 인공지능(AI)은 사이버보안 운영과 인력 개발, 기업 리스크 관리 전반을 재편하고 있다. 기업들은 AI 보안 도구 도입을 확대하는 동시에, AI 기반 새로운 위협에 대비한 대응 준비에도 나서고 있는 것으로 나타났다.
핵더박스의 ‘사이버보안 인력 인텔리전스 보고서’는 AI 기반 침투 테스트가 현재 전 세계 보안 교육 우선순위 상위권에 올라섰다고 분석했다. 반면 ISC2의 인력 조사에서는 AI가 보안을 가장 크게 개선할 기술이면서 동시에 가장 큰 위험을 초래할 가능성이 있는 기술로 인식되고 있는 것으로 나타났다.
핵더박스의 설립자이자 CEO인 하리스 필라리노스는 “AI를 실제 운영에 적용할 수 있는 팀과 그렇지 못한 팀 간 격차가 발생하고 있으며, 이는 곧 보안 리스크로 이어진다”라며 “CISO의 과제는 팀이 AI를 효과적으로 활용할 수 있도록 하는 동시에, 필요할 경우 AI 없이도 운영할 수 있도록 준비시키는 것”이라고 보도자료를 통해 말했다.
이번 핵더박스 보고서는 251개국, 70만 2,000명 이상의 사이버보안 전문가로부터 수집한 익명 데이터를 기반으로 작성됐다. 분석 결과, 플랫폼에서 해결된 AI 관련 보안 과제 중 프롬프트 인젝션 공격이 29%로 가장 큰 비중을 차지했다. 이어 머신러닝 모델 악용이 24%, 에이전틱 AI 탈취가 12%로 뒤를 이었다. 핵더박스는 이러한 공격 유형이 AI 모델과 자율 시스템을 직접 겨냥한 위협에 대한 우려가 커지고 있음을 보여준다고 설명했다.
보고서는 “교육 데이터는 공격 벡터가 AI 중심으로 빠르게 이동하고 있음을 분명히 보여주며, 차세대 사이버보안 리스크가 어디에서 발생하는지를 시사한다”라고 밝혔다.
또한 AI 침투 테스트는 전 세계 보안 교육 관심 분야 중 4위를 기록했으며, 2025년 말 기준 기업 주도의 AI 보안 교육 이수율은 64%에 달했다. 보고서는 “사이버보안 역량 개발은 공격과 방어 역량이 함께 진화하는 지속적·통합적 모델로 전환되고 있다”라며 “보안 교육 참여 확대는 인력이 점점 더 글로벌화되고 있음을 반영한다”라고 분석했다.
ISC2가 1만 6,029명의 사이버보안 전문가를 대상으로 진행한 인력 조사에서도 AI가 ‘도구’이자 ‘위험’으로 동시에 인식되고 있는 것으로 나타났다. 주요 조사 결과는 다음과 같다.
사이버보안 전문가의 52%는 AI가 보안에 가장 큰 부정적 영향을 미칠 것이라고 답했으며, 41%는 가장 긍정적인 영향을 줄 기술로 평가했다. 또한 응답자의 51%는 AI 기반 사회공학 공격을 가장 큰 사이버보안 과제로 꼽았고, 이 비율은 향후 2년 내 57%까지 증가할 것으로 전망됐다.
에이전틱 AI 역시 미래 주요 리스크 요인으로 높은 순위를 기록했다. ISC2 연구진은 에이전틱 AI가 올해 처음으로 긍정적·부정적 영향 모두에서 상위 5대 기술에 포함됐다고 설명했다.
보고서는 “이 같은 이중적 순위는 사이버보안 전문가들이 현재 직면한 현실을 보여준다”라며 “AI는 단일한 성격의 도구가 아니라 방어자에게는 대응 속도를 높이는 가속기이자, 공격자에게는 위력을 배가시키는 요소로 작용한다”라고 밝혔다.
응답자들은 자산과 조직 보호에 가장 긍정적인 영향을 미칠 신기술 및 아키텍처로 ▲AI(41%) ▲보안 자동화(35%) ▲제로 트러스트(33%) ▲비밀번호 없는 인증(22%) ▲에이전틱 AI(21%) ▲리스크 기반 취약점 관리(21%) 등을 꼽았다.
반면 가장 부정적인 영향을 미칠 기술로도 AI가 52%로 다시 1위를 차지했다.
보고서는 “AI가 실험 단계를 넘어 실제 운영 환경으로 확산되면서 그 영향력이 점점 더 가시화되고 있다”라며 “다른 기술들이 점차 안정화되는 양상을 보이는 것과 달리, AI는 리스크와 책임, 대응 준비를 둘러싼 논의를 더욱 확대시키고 있다”라고 분석했다.
이번 조사들은 AI가 사이버보안 조직 구조에도 변화를 가져오고 있음을 시사한다. 핵더박스에 따르면 공격과 방어 중심의 보안 역량 간 경계가 점차 흐려지고 있다. 방어 담당 인력은 공격 훈련에 적극 참여하고 있으며, 공격 전문가 역시 방어 역량을 함께 강화하는 추세다.
ISC2는 또한 AI 기반 공격이 고도화되면서 인력 준비 상태에 대한 우려가 커지고 있다고 지적했다. 지난 12개월 동안 전문가들이 직면한 가장 큰 보안 과제로 AI 기반 사회공학 공격이 꼽혔으며(51%), 향후 2년 내에는 57%까지 증가할 것으로 예상됐다.
보고서는 보안 리더들이 AI 기반 피싱, 사칭, 기만 공격을 기존의 인력 부족이나 규제 대응 부담보다 더 시급한 위협으로 인식하고 있다고 분석했다. 이에 따라 CISO의 주요 과제로는 ▲AI 보안 역량 투자 ▲지속적인 실습 중심 교육 프로그램 도입 ▲글로벌 인재 확보 확대 등이 부상하고 있다.
ISC2는 “많은 조직에서 이제 과제는 AI가 보안 성과에 영향을 미칠지 여부가 아니라, 얼마나 빠르게 이에 적응할 수 있는지로 바뀌고 있다”라고 강조했다.
dl-ciokorea@foundryco.com
Read More from This Article: AI가 바꾸는 보안 조직…공격·방어 경계 허물어진다
Source: News