사이버 보안 업계는 초급 분석가부터 최고 임원까지 전방위적으로 스트레스 문제를 겪고 있다. 변화의 속도, 위협 노출의 일상화, 고위험 상황에서의 의사결정은 심리적 안전성 결여라는 구조적 문제를 낳고 있다.

경험 관리 플랫폼 퀄트릭스(Qualtrics) 최고 보안 책임자(CSO) 아사프 케렌은 “우리에겐 스트레스 문제가 있으며, 일상에서 감당하지 못하고 있다고 솔직하게 말하는 것이 부끄러운 분위기가 있다”라고 지적했다.

침묵의 문화가 지속된다면, 유능한 인재가 소진돼 이직하거나 이탈하면서 보안 인력난이 심화될 수 있다는 것이 케렌의 경고다. “업무로 인해 잠을 못 자는 일이 생긴다면, 도움을 요청해야 한다”라고 강조했다.

보안 직군은 실수 하나로 감당해야 할 개인적·직업적 비용이 매우 크기 때문에, 심리 상담이나 회복 지원을 받는 문화가 보편화돼야 한다는 주장이다. “우리는 이를 개선할 자원이 있다. 업계 전체가 더 노력해야 한다”라고 CSO와의 인터뷰에서 말했다.

케렌은 생성형 AI가 트리아지 또는 반복 업무를 처리해 보안 담당자의 스트레스를 줄이는 데 도움을 줄 수 있다는 점에 기대를 걸고 있다. “단순 반복 작업을 줄이고 보다 전략적인 사고에 집중할 수 있도록 하면, 업무 흐름의 혼란을 줄일 수 있다”라고 설명했다.

생성형 AI가 촉발할 역량 불일치

정신 건강 플랫폼 헤드스페이스(Headspace) 최고 정보 보안 책임자(CISO) 자미카 아론은 AI의 활용 가능성에 기대를 갖고 있지만, 신중함과 균형을 유지하고 있다.

특히 생성형 AI가 채용 과정에 미치는 영향에 대해 우려를 표했다. 숙련된 개발자는 AI를 잘 활용할 수 있지만, 그렇지 못한 인재도 인터뷰와 초기 평가 과정에서 AI 덕분에 역량 이상으로 보일 수 있다는 것이다.

“기본 역량은 갖춰야 한다. 역량이 없다면, AI가 면접 질문에 답하는 데는 도움을 줄 수 있겠지만, 실제 업무에 투입되면 곧 실력이 드러난다”라고 설명했다.

이는 이미 과도하게 많은 업무를 떠안고 있는 CISO들에게 또 하나의 부담 요소가 된다. “AI 때문에 지원자의 실제 역량을 파악하기가 더 어려워지고 있다”라고 지적했다.

AI는 기술 부족을 감출 수 있는 도구지만, 이를 해결할 마땅한 통제책이나 기술은 존재하지 않는다. “AI 도움으로 면접은 통과했지만 기초 기술 지식이 부족한 인재를 채용하게 될 위험이 있다”라고 경고했다.

“업무에 필요한 기술에 대한 공동체적 지식과 심층적 이해는 필수이며, 이는 AI가 대신해줄 수 없다”라고 덧붙였다.

빠르게 움직이되, 시스템을 망가뜨리지 말라는 압박

포티튜드 리(Fortitude Re) CISO 엘리엇 프랭클린을 밤새 뒤척이게 만드는 것은 단지 공격자가 아니다. 오히려 CISO가 매일 마주하는 복잡한 내부 시스템이 더 큰 원인이다.

“대부분의 보안 책임자는 서로 호환되지 않는 도구와 플랫폼 조각들을 붙여서 운용하고 있다”라고 분석했다.

시간이 지나면서 규제 대응, 사고 대응, 감사 대응을 위해 도입된 다양한 솔루션이 누적돼 시스템이 근본적으로 취약한 구조가 됐다는 설명이다. “취약할수록 시스템은 쉽게 깨진다. 문제가 발생하면 보안팀이 모든 책임을 뒤집어쓰게 된다.”

서드파티 리스크는 이 상황을 더욱 악화시킨다. 프랭클린은 맥도날드 인공지능 채용 챗봇이 해킹된 사건을 언급했다. 관리자 비밀번호로 ‘123456’을 사용했던 것이 원인이다. “이는 정교한 해킹이 아니라, 대부분의 조직이라면 내부에서 쉽게 잡아낼 수 있었던 기본적인 실수였다. 하지만 외부 파트너의 문제에는 우리가 제어할 수 있는 범위가 작고, 책임은 여전히 우리에게 있다.”

이 사건은 또한 기초 보안 수칙이 무시되는 현실을 보여준다. “번쩍이는 기술이 기본적인 보안 실패를 가리고 있다. 내가 밤잠을 못 이루는 이유는 혁신이 부족해서가 아니라, 기본을 잊고 있기 때문이다.”

보안팀은 혁신을 저해하지 않으면서도 보안을 보장해야 한다는 이중 요구에 시달리고 있다. “보안팀이 처음부터 논의에 참여하지 못하면, 결국 사후 대응에 몰릴 수밖에 없다. 공격자도 물론 걱정되지만, 취약한 시스템 기반에서 속도만 중시하고, 파트너를 검증 없이 신뢰하고, 기본을 건너뛰고 신기술만 좇는 내·외부 압박이 더 두렵다”라고 말했다.

프랭클린은 생성형 AI가 이러한 문제를 해결해주지 못한다고 지적했다. AI는 수작업을 줄이고 속도를 높이는 데는 유용하지만 망가진 기본 구조를 AI로 고칠 수는 없다는 사실을 인정해야 한다는 것이다.

AI 도구의 사용 현황조차 파악하지 못하는 조직도 많다. “가시성이 부족하고, 접근 통제가 느슨하며, 경보를 분석하는 사람조차 없다면, AI는 단지 복잡성을 더할 뿐이다. 오히려 책임자들이 잘못된 보안 안정성 착각에 빠질 위험이 더 크다”라고 강조했다.

딥페이크, 새로운 보안 악몽

딥페이크는 원격 인터뷰 등에서 직원 사칭을 가능하게 만드는 보안 위협으로 부상하고 있다. 생성형 AI 기반으로 진화하는 이 공격 수단은 탐지와 대응이 더욱 까다롭다.

자미카 아론은 지원자의 이력서와 실제 인터뷰 간 불일치, 이름과 얼굴 간의 미묘한 차이 등을 통해 의심스러운 사례를 파악했다고 밝혔다. 많은 조직이 원격 면접을 진행하고 있어, 이러한 위협을 사전에 식별하고 차단할 체계적 대응이 요구된다.

딥페이크에 대한 규제는 여전히 기술을 따라가지 못하고 있다. 아론은 “이 문제는 보안 담당자 혼자 감당할 수 없다”며, 업체와의 깊은 협력을 통해 가능성과 위험을 공동으로 이해하고 방어 체계를 갖추어야 한다고 강조했다.

AI로 더 어려워진 피싱 탐지

생성형 AI 덕분에 사이버 범죄자는 더 정교한 피싱 이메일을 대량 생산할 수 있게 됐다. 문법이 엉망인 영어 이메일은 더 이상 보기 어렵다.

아론은 “이제는 영어 문장이 매끄럽고, 실제 조직에서 온 것처럼 보이는 현실감 넘치는 피싱 이메일이 많아졌다”라고 지적했다.

“AI 자체가 두려운 것이 아니라, 인간을 모방하는 AI의 능력이야말로 CISO를 밤새 깨워두는 원인”이라고 말했다.

비즈니스 성과와의 연결도 고난도 과제

CISO라는 직책은 그 자체로 고유한 스트레스와 책임을 수반한다. 특히 보안 전략을 비즈니스 가치로 전환하는 일은 점점 더 중요하지만 동시에 가장 어려운 과제 중 하나다.

아사프 케렌은 “보안을 비즈니스 성과에 연결하는 능력은 지금 필요한 역량이며, 어렵지만 임원급 영향력을 확보하기 위해 반드시 갖춰야 할 스킬”이라고 분석했다.

보안의 성공은 대개 ‘아무 일도 일어나지 않은 것’으로 정의되기 때문에 측정이 매우 어렵다. 하지만 시장 환경에 노출된 기업일수록 보안도 비즈니스의 일환으로 주가 등 외부 지표로 평가받는다는 것이 케렌의 설명이다.

“기업이 CISO를 비즈니스의 리듬 속으로 끌어들여야 하며, CISO는 보안을 비즈니스 언어로 해석할 수 있는 역량을 갖춰야 한다”라고 덧붙였다. 이를 위해 교육, 멘토링, 집중적 학습이 필요하다는 조언도 했다.

미국 운전자 지원 서비스 업체 아제로(Agero) CISO 겸 CIO 밥 설리번은 세일즈와 서비스 부문에서의 임원 경력을 통해 비즈니스 감각을 익힌 인물이다. 설리번은 보안 메트릭을 비즈니스 미션과 연결해 해석하며, 위험 요소가 실제로 사업에 어떤 영향을 주는지 시각화해 임원에게 전달한다.

예를 들어, 단순히 취약점 목록을 제시하는 대신, 외부 노출 가능성이 없거나 무해한 항목은 위협이 아님을 명확히 설명하고, 개인식별정보(PII) 유출로 이어질 수 있는 항목에 대해서는 위협 경로를 시각적으로 설명해 상황의 심각성을 전한다.

설리번은 “클라우드 설정 오류라고만 하면 아무도 신경 쓰지 않지만, 해당 설정이 어떻게 유출로 이어지고, 비즈니스에 어떤 결과를 초래하는지를 보여주면 모두가 주목한다”라고 설명했다.

보안 위험을 금전적 손실이나 평판 리스크로 환산하는 것이 결국 비즈니스 생존의 기본 원칙이라는 설명이다. 설리번은 “보안 전문가라면 반드시 비즈니스 언어로 말할 줄 알아야 한다. 그렇지 않으면 아무도 귀 기울이지 않는다”라고 말했다.
dl-itworldkorea@foundryco.com