AI부터 인재까지···CISO가 꼽은 기업 보안 전략 핵심 걸림돌 4가지

많은 보안 리더는 사이버 침해가 언젠가는 발생할 수밖에 없으며, 불확실한 것은 시점뿐이라고 보고 있다. 이는 사이버 공격은 ‘발생하느냐가 아니라 언제 발생하느냐의 문제’라는 통상적인 인식으로 요약된다.

그러나 최근에는 사고가 예상보다 빠르게 일어날 것이라고 보는 CISO가 늘고 있다. 보안 기술 기업 프루프포인트(Proofpoint)가 2025년 8월 발표한 ‘CISO의 목소리 보고서’에 따르면, CISO의 76%는 향후 12개월 안에 중대한 사이버 공격을 겪을 위험이 있다고 느끼고 있다고 응답했다. 이는 전년도 70%에서 상승한 수치다.

같은 보고서에서는 CISO의 58%가 자사 조직이 사이버 공격에 대응할 준비가 돼 있지 않다고 인식하고 있는 것으로 나타났다.

공격이 거의 불가피하다는 전반적인 인식 외에도, 보안 책임자들은 조직의 전반적인 보안 태세를 강화하고 공격을 차단하거나 효과적으로 대응할 수 있다는 확신을 갖는 데 방해가 되는 다양한 과제가 존재한다고 인정하고 있다.

이에 보안 리더들은 기업 보안 전략을 가로막는 네 가지 핵심 이슈를 공유했다.

1. 우선순위에 맞게 행동할 수 있도록 팀원을 교육하고 권한을 부여하지 못하는 문제

CISO들은 보안 조직이 처리해야 할 업무가 감당할 수 있는 수준을 이미 넘어섰다는 점을 비교적 솔직하게 인정하고 있다. 이는 상당한 스트레스로 이어진다. 보안 기술 기업 나고미 시큐리티(Nagomi Security)가 발표한 ‘2025 CISO 압박 지수’에 따르면, CISO의 80%는 현재 높은 수준 또는 극심한 압박을 받고 있다고 응답했으며, 87%는 지난 12개월 동안 압박이 더 커졌다고 밝혔다. 또한 67%는 매주 또는 매일 번아웃을 경험하고 있다고 답했다.

데이터브릭스(Databricks)에서 현장 보안 부문을 이끌고 있으며 카네기멜런대 CISO 과정에서 강의하고, 히트러스트(HITRUST)와 페어 인스티튜트 이사회 멤버로 활동 중인 오마르 카와자는 모든 CISO가 매우 압도된 상태에 놓여 있다고 표현했다.

이 같은 상황에 대응하기 위해 CISO들은 우선순위 설정에 능숙해졌으며, 조직에 가장 큰 위험을 줄일 수 있는 과제를 최우선으로 두고 있다.

그러나 카와자는 많은 경우 CISO가 이러한 우선순위에 맞춰 팀원들이 적절한 판단을 내리고 행동할 수 있도록 충분히 교육하지 못하고 있다고 지적했다. 하이마크 헬스(Highmark Health)에서 CISO를 지낸 그는 이로 인해 모든 우선순위 결정이 경영진에게 집중되고, 이는 리더의 부담을 키울 뿐 아니라 조직 전체의 업무 속도를 떨어뜨린다고 설명했다.

카와자는 각 팀원이 자신의 업무 영역에서 언제, 어떻게 우선순위 판단을 내려야 하는지를 명확히 이해하도록 하는 것이 중요하다고 말했다. 그래야 모든 팀이 가장 중요한 과제에 집중할 수 있다는 설명이다.

이를 위해서는 의사결정을 지원하는 명확한 메커니즘과 지침을 마련해야 한다고 그는 설명했다. 보안 조직이 처리하는 모든 요청에 대해 고·중·저 우선순위를 판단할 수 있는 기준과 요소가 정의돼 있어야 하며, 그래야 팀원 누구나 자신에게 들어온 요청을 보고도 확신을 갖고 효과적으로 우선순위를 정할 수 있다고 전했다.

2. AI 혁신과 도입 속도를 따라가지 못하는 문제

경영진과 직원 모두 인공지능이 업무 방식을 바꾸고 시간과 비용, 노력을 절감해줄 것이라는 기대 속에 AI 도입을 서두르고 있다.

그러나 CISO는 전반적으로 사업 부서 동료들의 AI 도입 속도를 따라가지 못하고 있다.

사이레라(Cyera)의 ‘2025 AI 데이터 보안 현황 보고서’를 위해 IT 및 사이버보안 전문가 921명을 대상으로 실시한 조사에 따르면, 조직의 83%가 AI를 사용하고 있지만 AI 시스템이 민감한 데이터에 어떻게 접근하고 처리하는지에 대해 충분한 가시성을 확보한 곳은 13%에 불과했다. AI를 독립적인 아이덴티티로 관리하는 조직은 16%였고, 위험한 AI 활동을 자동으로 차단할 수 있는 곳은 11%에 그쳤다. 전담 AI 거버넌스 팀을 운영하는 조직은 7%에 불과했다.

보안 교육·자격 인증 기관 샌즈(SANS)의 최고 AI 책임자이자 연구 책임자인 로버트 T. 리는 대부분의 CISO가 AI를 어떻게 보호해야 할지를 놓고 고심하고 있다고 설명했다.

리의 분석에 따르면, 상당수 CISO는 보안 우려를 이유로 AI 활용 사례를 아예 금지하거나, 그가 ‘안 된다(No)의 보안 프레임워크’라고 부르는 접근 방식을 택하고 있다. 또는 AI의 보안을 평가하는 동안 도입 속도를 늦추는 경우도 적지 않다. 그는 AI에 접근하는 방식 전반에 대한 지식 부족이 존재한다고 지적했다.

리의 설명에 따르면, 사업 부서 역시 상황을 더 어렵게 만드는 경우가 많다. 많은 조직에서 AI 전략이 매우 빠르게 바뀌고 있으며, 새로운 AI 버전이 등장할 때마다 우선순위가 달라진다는 것이다. 한 달 만에 또 다른 새로운 기술이 나오면서 다시 방향이 바뀌는 상황이 반복되고 있고, 그 결과 보안 팀이 무엇을 보호해야 하는지가 끊임없이 변하는 ‘움직이는 표적’이 되고 있다고 그는 전했다.

그럼에도 불구하고 보안 팀이 AI 혁신 속도와 기업의 빠른 도입 요구를 따라가지 못하는 상황은 분명한 문제라고 리는 평가했다. 이는 디지털 전환 속도를 늦추며 조직의 전반적인 추진력을 떨어뜨린다. 동시에 사업 부서는 AI 도입이 지연되는 것을 피하기 위해 보안을 아예 우회하는 선택을 하기도 하면서, 보안 부서의 성과 역시 저해된다는 설명이다.

그 결과 조직 내에는 그림자 AI, 관리되지 않는 에이전트, 불투명한 데이터 흐름이 늘어나며, 제대로 보호되지 않은 채 확장된 공격 표면이 형성된다고 리는 덧붙였다.

리은 AI 배치를 충분히 평가하고 보호하는 과정은 여전히 필수적이라고 강조했다. 조직이 공급업체의 보안 주장만을 그대로 받아들여서는 안 된다는 설명이다.

그에 따르면, 조직의 AI 전략을 효과적으로 따라가는 CISO는 개별 배치 단위가 아닌 전체적인 관점에서 접근한다. 데이터 유형별로 위험 프로파일을 설정해 저위험 데이터를 사용하는 AI 활용 사례에는 과도한 시간을 들이지 않고, 중·고위험 데이터를 다루는 AI 사례에 보안 역량을 집중한다. 또한 각 부서에 보안 인력을 배치해 AI 관련 수요를 지속적으로 파악하고, AI 이니셔티브를 평가하고 보호하는 데 필요한 역량을 보안 팀에 체계적으로 교육하고 있다.

3. 보안 운영에서 AI 활용이 제한적인 문제

일부 CISO는 사업 부서와 마찬가지로 AI를 활용해 보안 운영을 혁신하려 하고 있지만, 사이버보안 분야에 AI가 제공하는 이점에도 불구하고 아직 대다수로 보기는 어렵다.

ISC2가 발표한 ‘2025 사이버보안 인력 연구’에 따르면, 1만6,000명의 기업 리더 가운데 보안 운영에 AI 도구를 실제로 통합한 비율은 28%에 그쳤다. 19%는 시험 단계에 있으며, 22%는 초기 평가 단계에 머물러 있는 것으로 나타났다.

사이버보안 교육·자격 인증 기관 ISC2의 CISO인 존 프랑스는 보안 분야에서 AI를 사업 부서와 같은 속도로 도입하는 데 있어 CISO가 다소 뒤처지고 있는 상황이라고 설명했다.

프랑스는 이러한 느린 도입 속도가 이어지고 있음에도 불구하고, 보안 운영에서 AI 활용은 분명한 효과를 내고 있다고 전했다. 실제로 AI 기반 보안 도구를 사용하는 조직의 63%는 생산성이 크게 향상됐다고 응답했다.

ISC2 연구에 따르면, 단기간 내 사이버보안 운영에 가장 큰 영향을 미칠 것으로 예상되는 영역으로는 네트워크 모니터링이 40%로 가장 높게 나타났다. 이어 보안 운영과 보안 테스트가 각각 30%였으며, 취약점 관리가 29%, 위협 모델링과 엔드포인트 보호가 각각 28%로 집계됐다.

4. 필요한 인재와 역량 부족 문제

CISO들은 오래전부터 충분한 수준의 보안 인력을 채용하는 데 어려움이 있다고 지적해왔지만, 최근에는 이 문제가 보안 전략을 진전시키는 데 있어 실질적인 장애 요인으로 더욱 자주 언급되고 있다.

전문 서비스 기업 액센추어(Accenture)가 발표한 ‘2025 사이버보안 회복탄력성 보고서’에 따르면, IT 임원의 83%는 사이버 보안 인재 부족을 강력한 보안 태세를 구축하는 데 있어 주요 장애물로 인식하고 있다고 응답했다.

ISC2의 연구는 두 가지 측면에서 문제를 짚었다.

첫째는 인재 부족이다. 2025년 기준 응답자의 63%는 사이버보안 인력이 다소 또는 크게 부족하다고 답했는데, 이는 2024년의 68%에 비해 소폭 개선된 수치다.

둘째는 역량 격차다. 보고서에 따르면 2025년에는 59%가 중대하거나 상당한 수준의 역량 부족을 겪고 있다고 응답해, 2024년의 44%에서 크게 증가했다. 또한 전체 응답자의 95%는 하나 이상의 역량 부족을 안고 있다고 답했으며, 이는 전년 대비 5%포인트 늘어난 수치다. 가장 시급한 역량으로는 AI가 41%로 가장 많이 꼽혔고, 이어 클라우드 보안이 36%, 위험 평가가 29%, 애플리케이션 보안이 28%, 보안 엔지니어링과 거버넌스가 27%, 위험 및 규정 준수가 27%로 뒤를 이었다.

ISC2의 CISO인 존 프랑스는 현재의 보안 역할을 제대로 수행할 수 있는 적합한 인재가 필요하다고 설명했다.

오마르 카와자 역시 보안 팀에 ‘적절한 역량’이 부족한 점이 CISO의 성과를 가로막는 요인이라고 지적했다.

다만 카와자는 CISO가 직면한 핵심 과제가 단순히 기술 역량이나 소프트 스킬을 갖춘 인재를 채용하는 데 있는 것은 아니라고 분석했다. 그가 강조한 것은 위험 관리와 변화 관리와 같은 이른바 ‘중간 역량’이다. 이러한 역량은 보안을 비즈니스 목표와 정렬하고, 사용자들이 보안 정책을 수용하도록 이끌며, 궁극적으로 조직의 전반적인 보안 태세를 개선하는 데 점점 더 중요해지고 있다는 설명이다. 그는 이러한 중간 역량이 없다면 보안 조직이 나아갈 수 있는 범위에는 한계가 있다고 평가했다.

CISO가 직접 통제하거나 영향을 미치기 어려운 노동 시장 환경과 싸우고 있는 상황이지만, 카와자와 전문가들은 인재와 역량 부족을 완화하기 위해 CISO가 취할 수 있는 조치가 있다고 보고 있다. 기술과 역량을 중심으로 한 탄탄한 인재 전략은 보안 전략을 진전시키는 데 필요한 기반을 마련하는 데 도움이 될 수 있다는 설명이다.
dl-ciokorea@foundryco.com