챗GPT 같은 서비스가 잠시 중단될 때마다 소프트웨어 개발자가 책상에서 일어나거나, 계획에 없던 휴식을 취하고 좌절하며 의자에 등을 기대는 모습은 드문 일이 아니다. 기술 분야의 많은 전문가에게 AI 지원 코딩 도구는 편리함을 의미했다. 그러나 2025년 3월 24일에 발생한 서비스 중단은 비록 단시간이었지만 큰 영향을 끼친다.

한 레딧 사용자는 “커피를 만들고 15분 동안 햇볕을 쬐야 할 시간”이라고 쓰기도 했다.

사이버보안을 포함한 기술 전문가 사이에서 챗GPT 같은 생성형 AI 도구에 대한 의존도가 꾸준히 증가하고 있다. 생성형 AI 도구는 개발자가 코드를 작성하고, 문제를 해결하고, 배우고 생각하는 방식을 변화시키고 있으며, 종종 단기적인 효율성을 향상시킨다. 그러나 이러한 변화에는 단점이 있다. 코딩 및 비판적 사고 능력이 약화될 위험이 있으며, 궁극적으로 개발자와 소속 기업 모두에 장기적인 영향을 미칠 수 있다.

보안업체 투스키라(Tuskira) 공동 설립자 옴 물찬다니는 특히 사이버보안 분야에 입문한 신입 전문가가 시스템 수준의 깊은 이해에 어려움을 겪는 경향을 관찰했다 며 “많은 사람들이 기능적인 코드 조각은 생성할 수 있지만, 그 뒤에 있는 논리를 설명하거나 실제 공격 시나리오에 대비해 보호하는 데 어려움을 겪는다”라고 말했다.

마이크로소프트가 최근 실시한 설문조사도 물찬다니의 관찰을 뒷받침한다. 이 설문조사에 따르면, AI를 업무의 일부로 활용하는 직원은 특히 AI가 정확한 결과를 제공한다고 믿는 경우, 업무에 대한 질문, 분석, 평가에 덜 깊이 관여하는 경향이 있다. 조사는 “생성형 AI 도구를 사용할 때, 비판적 사고에 투입되는 노력은 정보 수집에서 정보 검증으로, 문제 해결에서 AI 대응 통합으로, 작업 실행에서 작업 관리로 이동한다”라고 밝혔다.

AI 코드 생성기가 개발자의 작업 방식을 변화시키면서 기업의 기능도 변화시키고 있다. 사이버보안 리더가 직면한 과제는 개발자의 능력을 향상시키는 중요한 사고, 창의성, 문제 해결 능력을 희생하지 않으면서 이 기술을 활용하는 것이다.

단기적인 이익, 장기적인 위험

일부 CISO는 특히 신입 개발자 사이에서 AI 코드 생성기에 대한 의존도가 높아지는 것을 우려하고 있다. 은 즉각적인 위협이라기보다는 미래의 문제라며 좀 더 느긋하게 지켜보는 접근 방식을 취하는 전문가도 있다. 엔도르 랩(Endor Labs)의 CISO 칼 매트슨은 대다수 대기업에서 AI 채택이 아직 초기 단계에 있으며 실험의 이점이 여전히 위험보다 더 크다고 주장한다.

매트슨은 AI에 의존하는 것이 근본적인 코딩 기술의 광범위한 저하로 이어진다는 명확한 증거는 아직 발견되지 않았다며 ”현재 창의적 낙관주의, 프로토타이핑, AI를 통한 초기 성공을 발견하는 단계에 있다. 핵심 기본 기술의 저하는 아직 먼 미래의 일로 느껴진다”라고 말했다.

이미 코드 작성에서 AI 도구에 과도하게 의존하는 효과를 목격하는 전문가도 있다. 예일 프라이버시 랩(Yale Privacy Lab)의 설립자이자 프라이버시 세이브(PrivacySave)의 CEO 션 오브라이언은 생성형 AI에 대한 의존이 높아지고 있다는 점에 대해 강한 우려를 표명했다. 챗GPT나 노코드 플랫폼과 같은 AI 기반 도구에 크게 의존하는 개발자는 종종 ‘바이브 코딩’이라는 사고방식을 장려하는데, 이 경우 실제로 작동 방식이나 이유를 이해하는 것보다 무언가를 작동시키는 데 더 집중하게 된다.

보안업체 사이넷의 CTO인 아비아드 하스니스도 특히 “기본 논리를 완전히 이해하지 못한 채 AI 생성 코드에 크게 의존하는” 주니어 전문가를 우려하고 있다. 하스니스는 이러한 과도한 의존은 개인과 기업 모두에게 여러 가지 문제를 야기한다며 “사이버보안 업무에는 비판적 사고, 문제 해결 능력, AI 모델이 제시하는 것 이상의 위험을 평가할 수 있는 능력이 필요하다”라고 강조했다.

AI 코드 생성기에 의존하면 빠른 해결책과 단기적인 이득을 얻을 수 있지만, 시간이 지남에 따라 이러한 의존성은 역효과를 낳을 수 있다. DH2i의 공동 설립자 오지 응고는 “결과적으로, 개발자는 AI 시스템이 이용 불가능하거나 불충분할 때 적응하는 데 어려움을 겪을 수 있으며, 장기적으로 혁신가이자 기술자로서의 효율성을 떨어뜨릴 수 있다”라고 말했다.

사각지대, 규정 준수 및 라이선스 위반의 위험

생성형 AI가 소프트웨어 개발 및 보안 워크플로에 점점 더 많이 포함됨에 따라, 사이버보안 전문가는 잠재적으로 발생할 수 있는 사각지대에 우려를 제기하고 있다.

물찬다니는 “AI는 보안성이 있는 코드를 생성할 수 있지만, 기업의 위협 모델, 규정 준수 요구 사항, 적대적 위험 환경에 대한 상황 인식이 부족하다”라고 말했다.

투스키라의 CISO는 두 가지 주요 문제를 지적한다. 첫째, AI 생성 보안 코드가 진화하는 공격 기법에 대해 강화되지 않을 수 있다는 점, 둘째, AI 생성 코드가 기업의 구체적인 보안 환경과 요구 사항을 반영하지 못할 수 있다는 점이다. AI 생성 코드는 개발자, 특히 경험이 부족한 개발자가 기본적으로 안전하다고 가정하는 경우가 많기 때문에 잘못된 보안 감각을 제공할 수 있다.

또한, 라이선스 조건이나 규제 기준을 준수하지 않거나 위반하는 경우 법적 문제가 발생할 수 있는 위험이 있다. 오브라이언은 “많은 AI 도구, 특히 오픈소스 코드베이스를 기반으로 코드를 생성하는 도구는 검증되지 않았거나 부적절하게 라이선스가 부여된 코드 또는 악성 코드를 시스템에 실수로 도입할 수 있다”라고 경고했다.

예를 들어, 오픈소스 라이선스에는 저작자 표시, 재배포, 수정과 관련된 구체적인 요구 사항이 있는 경우가 많다. AI 생성 코드를 사용하면 이러한 라이선스를 실수로 위반할 수 있다. 오브라이언은 “특히 사이버보안 도구를 위한 소프트웨어 개발의 맥락에서 오픈소스 라이선스 준수는 법적 의무일 뿐 아니라 보안 태세에도 영향을 미치기 때문에 더욱 위험하다”라고 덧붙였다. 지적 재산권법을 위반하거나 법적 책임을 유발할 수 있는 위험이 크다는 의견이다.

디지털.ai의 CTO인 윙 투는 기술적 관점에서 AI 생성 코드를 만능 해결책으로 간주해서는 안 된다고 지적한다. 투는 “보안 및 기타 영역에서 AI 생성 코드의 핵심 과제는 사람이 생성한 코드보다 품질이 더 우수하다고 믿는 것”이라고 말했다. AI 생성 코드는 취약점, 버그, 보호된 IP 및 학습된 데이터에 포함된 기타 품질 문제를 포함할 위험이 있다.

AI 생성 코드의 증가로 인해 기업은 소프트웨어 개발 및 제공에 있어 베스트 프랙티스를 채택해야 할 필요성이 커졌다. 독립적인 코드 검토를 일관되게 적용하고 자동화된 품질 및 보안 검사를 통해 강력한 CI/CD 프로세스를 구현하는 것도 포함된다.

채용 프로세스 변경의 필요성

생성형 AI가 계속 사용될 것이기 때문에, CISO와 소속 기업은 더 이상 그 영향을 간과할 수 없다. 이 새로운 표준에서는 비판적 사고를 촉진하고, 코드에 대한 깊은 이해를 촉진하며, 모든 종류의 코드 작성에 관여하는 모든 팀의 책임을 강화하는 가드레일을 설정해야 한다.

또한 기업은 채용 과정에서 기술적 능력을 평가하는 방법을 재고해야 하며, 특히 경험이 적은 전문가를 채용할 때는 더욱 그렇다. 코드 테스트만으로는 더 이상 충분하지 않을 수 있다. 보안 추론, 아키텍처, 적대적 사고에 더 중점을 두어야 한다.

응고는 DH2i의 채용 과정에서 응시자의 AI 의존도를 평가해 비판적 사고 능력과 독립적 업무 수행 능력을 측정한다고 말했다. 생산성 향상에 AI가 기여하는 가치를 인정하지만, AI를 보조 도구로 활용하는 것이 아니라 도구로 효과적으로 사용할 수 있도록 기초 기술에 대한 탄탄한 기반을 갖춘 직원을 채용하는 것을 선호한다.

뉴욕대학교의 글로벌 CIO 돈 웰치는 비슷한 관점을 가지고 있으며, 이 새로운 패러다임에서 성공할 사람들은 호기심을 유지하고, 질문하고, 주변 세계를 최대한 이해하려고 노력하는 사람들이 될 것이라고 덧붙였다. 웰치는 “성장과 학습이 중요한 사람들에게 사람을 고용하라”라고 조언했다.

일부 사이버보안 전문가는 AI에 대한 과도한 의존이 이미 업계가 겪고 있는 인재 부족 위기를 더욱 심화시킬 수 있다고 우려한다. 중소 기업에서는 숙련된 인재를 찾아서 성장시킬 수 있는 능력이 점점 더 어려워질 수 있다. 하스니스는 차세대 보안 전문가가 보안 문제에 대해 비판적으로 생각하는 대신 AI를 사용하는 데 주로 훈련된다면, 업계는 혁신과 회복력을 촉진하는 데 필요한 숙련된 리더를 양성하는 데 어려움을 겪는다고 말했다.

생성형 AI가 코딩 지식을 대체하면 안 돼

기술적 기반을 깊이 있게 개발하지 않고 AI 도구를 사용해 코드를 작성하는 초기 경력 전문가는 정체될 위험이 높다. 공격 벡터, 시스템 내부, 보안 소프트웨어 설계에 대한 이해가 부족할 수 있다. 중장기적으로, 위협 모델링, 취약성 분석, 보안 엔지니어링에 대한 전문 지식이 중요한 고위 보안 역할로의 성장을 제한할 수 있다. 기업은 AI로 기술을 보강하는 사람들과 근본적인 격차를 해소하기 위해 AI에 의존하는 사람들을 구분할 것이다.

물찬다니와 다른 전문가도 기업이 교육 노력을 늘리고 지식 전달 방법을 조정할 것을 권장한다. 물찬다니는현장 교육은 실제 취약점, 악용 기법, 보안 코딩 원칙에 초점을 맞춘 실습 위주로 진행되어야 한다고 말했다.

매트슨은 기업은 직원이 미래에 필요한 관련 기술을 습득할 수 있도록 돕는 데 더 집중해야 한다고 말했다. 기술은 빠르게 발전할 것이고, 교육 프로그램만으로는 그 속도를 따라가기에 충분하지 않을 수 있다. 매트슨은 어떤 변화가 닥치더라도 지속되는 기술 향상 문화의 중요성을 강조했다.

하스니스는 교육 프로그램으로 직원이 AI의 강점과 한계를 이해하고, 이러한 도구에 의존해야 하는 경우와 사람의 개입이 필수적인 경우를 구분할 것이라고 말했다. 또한 “AI 기반의 효율성과 사람의 감독을 결합함으로써 기업은 AI의 힘을 활용하는 동시에 보안 팀이 지속적으로 참여하고, 숙련되고, 회복력을 유지할 수 있다”라고 말했다. 또한 개발자에게 특히 보안에 민감한 환경에서 AI의 산출물에 대해 항상 의문을 제기할 것을 권고한다.

오브라이언은 또한 AI가 인간의 전문성과 함께 발전해야 한다고 믿으며 “기업은 AI를 도구로 간주하는 문화를 만들어야 한다. AI는 프로그래밍과 전통적인 소프트웨어 개발 및 배포에 대한 깊은 이해를 대체하지는 못하지만 지원 도구임에는 분명하다”라고 말했다. 기업이 전문성 부족을 AI로만 해결하려는 함정에 빠지지 않는 것이 중요하다.
dl-itworldkorea@foundryco.com