앤트로픽이 미토스(Mythos)와 프로젝트 글래스윙(Project GlassWing)을 공개하자 보안 업계는 늘 그래왔듯 즉각 반응했다. 수많은 분석 보고서와 연구 자료가 쏟아졌고, 모두 “이것이 보안에 어떤 의미를 갖는가?”라는 질문을 던졌다. 이는 자연스러운 반응이지만, 정작 핵심을 짚은 질문은 아니다.
진짜 질문은 따로 있다. 바로 이 문제를 실제로 누가 책임질 것인가이다.
문제는 대책이 아니라 책임 소재
AI 시대를 대비하기 위한 앤트로픽의 보안 가이드는 포괄적이고 논리적이다. 하지만 그 내용은 대부분 보안 조직이 영향을 줄 수는 있어도 직접 실행할 수 없는 과제들에 초점이 맞춰져 있다.
예를 들어 외부에 노출된 시스템을 정확히 파악하고, 레거시 서비스를 폐기하며, API 노출 범위를 최소화하는 조치가 대표적이다. 모두 필요한 대응 방안이다. 그러나 동시에 이는 명백히 엔지니어링 조직이 수행해야 할 업무이기도 하다.
보안 조직이 오랫동안 이러한 논의를 주도해 온 이유는 실제로 이를 실행할 역량을 갖췄기 때문이 아니다. 오히려 엔지니어링 조직이 책임을 다른 부서로 넘기는 데 매우 능숙했기 때문이다. 하지만 그런 시대는 이제 끝나고 있다.
엔지니어링과 보안의 사일로를 허물어야
공격 표면 축소를 예로 들어보자. 앤트로픽의 권고는 타당하다. 무엇이 외부에 노출돼 있는지 파악하고, 불필요한 서비스를 종료하며, API 접근을 철저히 통제하라는 것이다.
문제는 보안팀이 이를 직접 수행할 수 없다는 점이다. 보안팀은 레거시 서비스를 폐기할 수 없고, API 구조를 재설계할 수도 없다. 할 수 있는 일은 반복적으로 요청하고, 문제를 상향 보고하며, 관련 내용을 문서화하는 정도다. 이후에는 해당 업무 티켓이 6개월 동안 백로그에 방치되는 모습을 지켜보게 된다.
이제 엔지니어링 조직이 이러한 과제를 직접 책임져야 한다. 여러 차례 요청과 압박 끝에 마지못해 수행하는 것이 아니라, 본연의 핵심 책임으로 받아들여야 한다는 의미다.
‘보안팀의 일’과 ‘엔지니어링팀의 일’을 구분하는 기존 사고방식은 더 이상 업계가 감당할 수 없는 위험 요소가 되고 있다.
불편하지만 피할 수 없는 변화, 그리고 지금 시작해야 할 과제
이 같은 전환은 결코 쉽지 않다. 조직 내 책임 구조를 바꾸는 일은 정치적 이해관계가 얽혀 있고, 변화 과정도 느리고 고통스러운 경우가 많다.
하지만 대안은 더욱 위험하다. 조직 간 장벽을 그대로 유지한 채 AI로 가속화된 취약점 악용이 사람이 대응할 수 있는 속도를 훨씬 뛰어넘는 상황을 방치하는 것이다. 그것은 전략이 아니라 위기를 향한 카운트다운에 가깝다.
지금 즉시 실행해야 할 과제는 다음과 같다.
- 보안 조직과 엔지니어링 조직은 미토스와 같은 새로운 위협과 앤트로픽이 제시한 대응 방안을 함께 검토해야 한다. 동일한 공간에서 공동의 책임 의식을 갖고 논의해야 한다.
- 공동 계획 수립은 선택이 아니라 필수다. 위협 시나리오 훈련, 로드맵 수립, 취약점 개선 일정까지 함께 책임져야 한다.
- 업계 차원의 지식 공유 역시 더 이상 선택 사항이 아니다. 공격자는 이미 도구를 공유하고 협력하며 공개적으로 공격 기법을 발전시키고 있다. 방어 측도 이에 상응하는 협력 문화를 구축해야 한다.
격변은 이미 진행 중
이것은 먼 미래의 이야기가 아니다. 위협은 이미 현실로 다가왔다. 하지만 많은 조직은 거대한 변화의 물결이 밀려오고 있는데도 여전히 방어 체계를 구축해야 하는지 논쟁하고 있다.
AI는 단순히 공격자의 속도를 높인 것이 아니다. 공격의 경제성 자체를 근본적으로 바꿔 놓았다.
과거에는 숙련된 공격자가 수주 동안 정찰 활동을 수행하고 상당한 자원을 투입해야 했던 공격도 이제는 강력한 AI 모델과 적절한 프롬프트만 있으면 자동화하고 대규모로 실행할 수 있게 됐다.
이전에는 수일 또는 수주 동안 대응 시간을 제공했던 제로데이 취약점도 이제는 몇 시간 만에 무기화되고 있다. 공격과 방어 사이의 비대칭성은 그 어느 때보다 극단적인 수준에 이르렀다.
여기에는 불편한 진실이 하나 있다. 기존 보안 모델은 애초에 이런 속도를 전제로 설계되지 않았다는 점이다.
과거의 보안 체계는 사람이 공격하고 사람이 방어하는 환경을 기반으로 만들어졌다. 검토하고 보고하며 패치를 적용할 시간을 전제로 했다. 그러나 그런 세상은 이미 사라졌다.
미토스는 기업의 분기별 보안 검토 일정을 기다려주지 않는다. 글래스윙은 레거시 서비스 폐기 계획이 ‘하반기 로드맵에 포함돼 있다’는 사실에 관심이 없다.
AI 기반 익스플로잇 도구는 기계 속도로 움직인다. 하지만 현재 방어 조직은 여전히 조직의 의사결정 속도에 묶여 있다.
두 가지 미래
지금의 변화를 인식하고 행동에 나서는 조직은 3년 뒤 완전히 다른 모습을 보일 것이다.
보안 조직과 엔지니어링 조직은 단순히 슬랙 채널을 공유하는 수준을 넘어 공동 목표와 핵심성과지표(OKR)를 운영하게 된다. 취약점 개선은 한 팀에서 다른 팀으로 넘겨지는 티켓이 아니라 공동 스프린트의 일부가 된다. 공격 표면 축소는 보안 감사 결과가 아니라 엔지니어링 조직의 기본 위생 기준으로 자리 잡게 된다.
반면 변화에 적응하지 못한 조직은 전혀 다른 결과를 맞이할 수 있다.
그 결과는 점진적인 쇠퇴가 아니다. 기존 운영 모델의 취약성을 적나라하게 드러내는 대규모 침해 사고가 발생한 뒤 강제적인 조직 개편이 이뤄질 가능성이 높다.
그때는 조직 간 장벽이 계획된 혁신 과정에서 사라지는 것이 아니다. 사고 원인 분석 보고서에서 문제의 근원으로 지목되며 무너지게 될 것이다.
행동에 나설 때
산업의 전환점은 대개 명확한 신호 없이 찾아온다. 하지만 이번만큼은 예외다.
관련 연구는 이미 공개돼 있고 위협 모델도 충분히 문서화돼 있다. 앤트로픽을 비롯한 여러 기업은 무엇을 해야 하는지 구체적으로 제시했다.
이제 문제는 지식의 부족이 아니다. 알고 있는 것과 실제 행동 사이의 간극이다. 그리고 진짜 위험은 바로 그 틈에 존재한다.
지금 책임 소재와 책임 분담, 공동 책임 체계에 대한 어려운 논의를 시작하는 조직만이 변화의 파도가 밀려왔을 때 효과적으로 대응할 수 있을 것이다.
그리고 그 변화의 파도는 반드시 밀려온다.
문제는 조직이 변화해야 하는가가 아니다. 어떤 조건과 방식으로 변화를 받아들일 것인가이다.
dl-ciokorea@foundryco.com
Read More from This Article: 칼럼 | 미토스·글래스윙이 바꾼 보안 공식…‘보안팀 중심’ 시대는 끝났다
Source: News