“AI가 다가오고 있으며, 일부 일자리는 사라질 것이다. 그러나 걱정할 필요는 없다.”

이 문장은 2016년에 실린 CSO 기사 제목이었다. 9년이 지난 지금, 이 전망은 점점 현실로 다가오고 있다. 사이버보안 직무가 AI에 의해 대체될 것인지 아니면 재정의될 것인지, 그리고 보안 전문가가 정말 우려해야 하는지에 대한 논의는 한층 더 복잡해지고 있다.

2025년 2월 발표된 ISC2 설문조사에서는 사이버보안 전문가의 56%가 AI가 업무의 일부를 쓸모없게 만들 것이라고 응답했다. 다만 비영리 단체 클라우드 시큐리티 얼라이언스(Cloud Security Alliance)의 조사에서는 전체 역할이 완전히 대체될 것이라 본 응답자가 12%에 불과했다.

AI에 의한 일자리 대체 논의는 최근 몇 년간 뜨거웠고, 여기에 크라우드스트라이크(CrowdStrike)가 발표한 구조조정 계획이 다시 불을 붙였다. 2025년 5월, 조지 커츠 CEO는 전체 직원의 5%에 해당하는 500명을 해고하는 계획을 밝히며, AI 중심의 전략적 전환을 이유로 들었다. 커츠는 전사 메모에서 “AI는 모든 산업을 재편하고 있으며, 채용 곡선을 완화시키고 프론트 및 백오피스 전반에서 효율성을 높인다”라고 설명했다.

크라우드스트라이크는 구조조정 대상이 기술직인지 사업직인지 명시하지 않았으며, AI로 인력 대체하는 전략은 아니라고 부인했다. 그러나 산업 전반에서 AI가 핵심 사이버보안 직무 고용에 영향을 미치고 있다는 징후는 포착되고 있다.

사이버보안 채용 동향

IT 교육·인증 기관 컴티아(CompTIA)에 따르면, 2025년 4월에서 5월 사이 미국 내 사이버보안 엔지니어/애널리스트 직군 채용 공고가 1,703건 감소했다. 보안 인재 채용사 사이버SN(CyberSN)은 45개 직무를 대상으로 수년에 걸쳐 분석을 실시했다. 그 결과, 2023년에서 2024년 사이 다음과 같은 직무에서 채용 공고가 두드러지게 줄었다:

• 사이버보안 소프트웨어 엔지니어: -38%
• IAM 엔지니어: -26.5%
• 보안 애널리스트: -13%

사이버SN 최고 보안·기술 책임자 돔 글라박은 해당 데이터를 분석한 보고서에서, 이러한 수요 감소가 “AI 기반 보안 자동화를 향한 업계 전반의 움직임”을 나타낸다고 설명했다.

CSO 온라인과의 인터뷰에서 사이버SN CEO 디드르 다이아몬드는 이 같은 수요 변화의 원인으로 불확실한 경제 상황 속 IT 아웃소싱과 인력 감축 경향을 꼽았다. 또한, 특히 AI에 의해 대체 위험이 가장 큰 직무로 보안 애널리스트를 지목했다.

다이아몬드는 “보안 애널리스트는 사이버보안에서 가장 기초적인 저연차 직무로, 2022년에는 약 6만8,600건의 공고가 있었지만, 2023년에는 3만9,000건, 2024년에는 3만6,000건으로 줄었다. 이처럼 급감한 상태가 지속되고 있는 유일한 직무이며, 이 안에는 분명 AI의 영향이 있다”라고 전했다.

보안 컨설팅 기업 애드버서리얼 리스크 매니지먼트(Adversarial Risk Management) 설립자 제리 퍼룰로는 SOC 경보 및 경보 분류 작업이 현재 AI의 대표적인 활용 사례이며, 이로 인해 향후 12개월 내 보안 애널리스트 수요가 약화될 수 있다고 분석했다.

퍼룰로는 “해당 영역에서 영향이 나타나기 시작할 것이며, 이는 기존 인력을 대체하기보다는 신규 채용이 줄어드는 형태로 나타날 가능성이 크다”라고 전했다. 이어 “사이버보안 분야에서 AI 대체는 아직 본격적으로 일어나고 있지 않다. 대부분의 조직은 여전히 R&D 단계로, AI 실험 중이다”라고 덧붙였다. 퍼룰로는 조지아공과대학교 실무 교수직을 맡고 있다.

일부 직무 수요가 감소하는 반면, AI 관련 역량을 요구하는 사이버보안 채용은 증가하고 있다. 데이터 플랫폼 사이버시크(CyberSeek)에 따르면, 2025년 전체 사이버보안 채용 공고 중 10%가 AI 기술 역량을 요구했으며, 이는 2023년의 6.5%에서 상승한 수치다. 아직 AI를 사이버보안에 적용하지 않은 조직들조차도 비용 절감 수단으로 AI 도입 가능성을 검토 중이다.

AI 도입으로 인한 사이버보안 인력 감축 압박

EY 글로벌 사이버보안 컨설팅 리더 리처드 왓슨은 “일부 고객사에서는 AI 도입을 이유로 사이버 인력을 50% 감축하라는 요구를 받고 있다. 그러나 통제 수준, 효율성, 리스크 수준은 기존과 같아야 한다는 조건이 붙는다”라고 전했다.

왓슨은 사이버보안 프로그램 일부를 AI로 자동화한 기업을 조사한 결과, 연간 평균 170만 달러의 비용 절감 효과가 있었으며, 이 중 일부는 소프트웨어 통합에 따른 절감이었다고 밝혔다. 이어, AI가 인간 보안 인력을 반복 업무에서 해방시켜 전략적 업무에 집중하게 하여 기업에 더 큰 가치를 제공할 수 있다고 강조했다.

왓슨의 조사에 따르면, AI 자동화를 적용한 보안팀의 변화는 다음과 같다:

• 76%는 추가 사이버 프로젝트에 더 많은 시간을 할애
• 63%는 타 부서와의 협업 시간이 증가
• 52%는 자동화 및 AI 관련 신규 활용에 시간을 재투자

이러한 수치는 기업이 왜 AI를 사이버보안에 적극 도입하고 있는지를 잘 보여준다.

AI는 보안 직무를 대체할까, 재정의할까?

AI는 보안 애널리스트 외에 다른 직무도 대체할 수 있을까?

컴티아 CEO 토드 티보도는 피싱 테스트, 침투 테스트 같은 과제는 AI 에이전트에 의해 자동화될 수 있다고 보고 있다. 다만 곧바로 “사이버보안 직무 전체가 대체되지는 않을 것”이라고 덧붙였다.

티보도는 일부 사이버보안 직무는 “여러 AI 시스템을 사람이 조정하는 형태로 진화할 것”이라고 전망했다. 즉, AI는 인간 역할을 완전히 대체하기보다는 초급 보안 직무의 정의와 요구 역량을 바꾸는 역할을 할 것이라는 해석이다.

반면, 왓슨은 레벨1 SOC 애널리스트는 결국 AI에 의해 사라질 것이라 예측했다. 하지만 동시에 “기초적이고 반복적인 업무부터 먼저 사라질 것이며, 따라서 보안 직무에 입문하기 위한 기술 기준은 기존보다 높아질 것”이라고 말했다.

왓슨은 “사람들이 실력을 쌓기 위해 맡던 초급 반복 업무가 먼저 사라질 것이다. 따라서 이제 사이버보안 직무에 진입하려면 더 높은 수준의 역량이 요구된다”라고 덧붙였다.

AI 역량 개발을 위한 컴티아의 SecAI 인증 프로그램

컴티아는 보안 인력의 AI 기술 확보를 위해 ‘SecAI’라는 새로운 인증 프로그램을 개발 중이다. 대상은 사이버보안 핵심 직무에서 3~4년의 경력을 쌓은 전문가이며, 교육 과정은 다음을 포함한다:

• AI를 활용해 신종 위협에 선제 대응
• 보안 운영에 AI 통합하기 위한 실무 역량
• AI 기반 공격 대응법 학습
• AI 윤리 및 거버넌스 기준에 대한 컴플라이언스 이해

컴티아는 SecAI 인증을 2026년 1분기부터 제공할 예정이다. 티보도는 이 과정이 보안 채용 과정에서 AI 기술 검증을 위한 표준화된 수단이 될 수 있다고 기대했다.

AI가 보안 인력 부족 문제를 해결할 수 있을까?

사이버보안 업계는 수십 년간 만성적인 인력 부족과 기술 격차에 시달려 왔다. 왓슨은 AI가 인력 부족을 해소하지는 못했지만, 최근 2~3년간 공석을 약 400만 건 수준으로 안정시켜 추가 악화를 막았다고 평가했다.

ISC2 보고서는 AI가 글로벌 사이버 인력 부족을 해결할 가능성은 낮지만, 현재 보안 전문가들이 더 복잡하고 전략적인 업무에 집중할 수 있도록 도움을 줄 것이라고 분석했다. 이는 왓슨의 EY 연구와도 일치한다.

티보도는 AI가 보안 일자리를 대거 없앨 것이라는 비관론은 과장된 예측일 수 있다고 덧붙였다. 또한 “자율주행차가 수백만 명의 트럭, 택시, 버스 운전사를 사라지게 할 것이라던 예측도 실현되지 않았다”는 사실도 언급했다.

티보도는 “빌 게이츠가 말했듯이 우리는 단기적으로 과대평가하고, 장기적으로 과소평가한다. AI도 마찬가지다. 현재 보안 직무 중 어떤 것이 완전히 사라질지는 아무도 모른다”라고 전했다.

보안 전문가에게 중요한 것은 사람 중심 역량 강화

리처드 왓슨은 AI가 기술 기반의 반복 작업을 대체하는 상황에서, 보안 전문가의 가치를 높이기 위한 방법으로 비즈니스 문해력, 커뮤니케이션 등 인간 중심의 역량 강화가 중요하다고 지적했다. “보안 직무는 이제 기술 수행이 아닌, 협업과 자문 중심의 역할로 전환되고 있다”는 분석이다.

디드르 다이아몬드 역시 사이버보안 분야의 가장 큰 문제는 AI가 아니라 감성지능(EQ)이라고 강조했다. 또한 “보안 조직은 여전히 지나치게 기술 중심적이며, 사람 중심 역량이 부족하다”라고 지적했다.

다이아몬드는 2025년 RSA 콘퍼런스 현장에서 실시한 설문조사 결과, 보안 전문가 중 44%가 ‘유독한 조직 문화’에 있다고 응답했다는 점을 언급했다. 어떠한 AI나 자동화 기술로도 해결할 수 없는 보안 조직 내 취약점일지도 모른다.
dl-itworldkorea@foundryco.com