필자는 지난 10년간 엔터프라이즈 보안 시스템을 구축해 왔다. 초기 네트워크 접근 제어(network access control, NAC) 구현부터 오늘날 F5의 최신 애플리케이션 딜리버리 솔루션 아키텍처 설계에 이르기까지 다양한 변화를 경험했다. 이 과정에서 수많은 보안 혁신이 단순화를 약속했지만, 실제 결과는 오히려 더 큰 복잡성이었다. 그러나 2025년 현재 목격하는 변화는 이전과 다르며, 솔직히 말해 더 우려스럽다.

엔터프라이즈 보안 환경은 불편한 역설을 드러내고 있다. AI가 하이브리드 인프라 전반에서 지능적인 접근 제어 관리를 약속하는 바로 이 시점에, 정작 그 인프라의 복잡성이 AI 기반 보안 솔루션의 효과적인 도입을 가로막고 있다.

필자가 F5의 최신 애플리케이션 전략 보고서(State of Application Strategy Report)와 업계 연구를 함께 분석했을 때, 데이터는 제로 트러스트(Zero Trust) 보안의 이상과 실제 운영 현실 사이에 존재하는 괴리를 분명하게 보여줬다. 이는 필자가 직접 경험한 엔터프라이즈 고객 사례에서도 확인되는 부분이다.

네트워크 보안은 현재 궁극적인 아이러니에 직면해 있다. 기업이 접근 제어 문제를 해결하기 위해 AI를 활용하려 해도, 정작 기존 접근 제어 시스템이 AI 활용 자체를 막고 있는 상황이다.

실제 현장에서 일어나는 일

진짜 이야기는 설문 데이터에 있지 않다. 오히려 제로 트러스트 전략을 구현하려 애쓰는 엔터프라이즈 보안 아키텍트와 나눈 대화 속에 있다. 지난달 필자는 한 금융 서비스 기업과 협력했다. 이 기업은 무려 18개월 동안 ZTNA(Zero Trust Network Access) 솔루션을 평가하며 요구사항 문서를 작성하고, 업체 데모를 진행했으며, 애플리케이션 인벤토리까지 체계적으로 정리했다. 하지만 실제 배포 단계에 이르자 결국 벽에 부딪히고 말았다.

문제는 기술이 아니었다. 가트너 매직 쿼드런트에 따르면 팔로알토네트웍스(Palo Alto Networks), 넷스코프(Netskope), 지스케일러(Zscaler)와 같은 업체는 이미 성숙한 플랫폼을 제공하고 있다. 진짜 문제는 이런 솔루션을 도입하려면 수년간 누적된 VPN 설정을 풀어내고 레거시 애플리케이션 의존성을 문서화하며, 이미 과부하 상태인 애플리케이션 팀과 협력해야 한다는 점이었다.

그 기업의 CISO가 “우리는 지능적이고 자동화된 접근 제어를 위해 이 ZTNA 플랫폼을 도입했다. 그런데 결과적으로 이전 VPN보다 수동 정책을 만드는 데 더 많은 시간을 쓰고 있다”라고 말하던 때가 기억에 남는다. 문제의 본질이 단순한 기술 선택이 아니라 훨씬 더 깊은 차원에 있다는 사실을 깨달은 순간이었다.

F5의 조사에 따르면 IT 팀의 60가 여전히 수작업 업무에 파묻혀 있으며, A10의 데이터에서는 58%가 API 복잡성에 시달리고 있는 것으로 나타났다. 여기서 AI 기반 자동화를 원하면서도, 하루 대부분을 잡아먹는 전술적 ‘불 끄기’에 묶여 벗어나지 못하는 현실이 보인다. 사실 이 문제를 해결하는 AI 기능은 이미 존재한다. 행위 분석(behavioral analysis), 자동 정책 생성(automated policy generation), 실시간 위협 대응(real-time threat adaptation) 같은 기능이 대표적이다. 그러나 이를 실제 운영에 적용하려면 대부분 팀이 갖추지 못한 운영 역량과 여유가 필요하다.

멀티 클라우드 접근 제어의 현실

필자가 목격하는 복잡성은 단순히 기존 VPN 확장 문제를 넘어선다. 예를 들어, 함께 일했던 한 헬스케어 기업은 환자 관리 시스템을 AWS에서 운영하고, 레거시 청구 시스템은 온프레미스에 남겨두었으며, 분석은 애저에서, 재해 복구는 또 다른 클라우드에서 관리하고 있었다. 각 환경마다 접근 제어, 아이덴티티 제공자, 보안 정책이 제각각이었다. 그 결과, 한 간호사가 환자 데이터에 접근하려면 4개의 인증 시스템을 거쳐야 했고, 이들 시스템은 모두 다른 팀이 서로 다른 도구로 관리하고 있었다.

이런 상황은 이른바 ‘접근 정책 드리프트(access policy drift)’라고 부르는 현상을 야기한다. 문서상 보안 정책은 시간이 지날수록 실제 비즈니스 운영에 필요한 접근 패턴과 점점 더 괴리된다. 결국 팀은 예외 조치를 만들고 임시 방편을 추가하는데, 이들이 사실상 상시적인 구조물로 굳어지고 마는 것이다.

이 문제는 AI 구현에 특히 큰 도전 과제로 작용한다. 머신러닝이 효과적인 정책을 만들려면 일관되고 정제된 데이터가 필요한데, 접근 패턴이 여러 플랫폼에 걸쳐 예외 규칙의 짜깁기처럼 얽혀 있으면 AI 시스템에 입력되는 데이터는 신뢰성을 잃는다. 결국 일관성이 없는 접근 패턴을 기반으로는 지능형 접근 제어 시스템을 훈련시킬 수 없으며, 그 결과 일관된 정책을 기대하기도 어렵다.

AI, 접근 제어의 게임 체인저

AI 기반 ZTNA의 진정한 혁신은 기존 프로세스를 자동화하는 데 있지 않다. 접근 관리 접근법 자체를 근본적으로 바꾸는 것이다. 지금까지는 정책을 먼저 수립하고 이를 강제 적용하는 방식이었다면, AI 시스템은 사용자 행위에서 출발해 거꾸로 필요한 정책을 생성한다. 즉, 사람이 실제로 어떻게 일해야 하는지를 반영하는 정책을 만들어내는 것이다.

함께 작업한 한 제조업 고객사는 공장 현장 시스템을 위한 ZTNA 정책을 수개월에 걸쳐 만들었다. 엔지니어는 OT 시스템과 클라우드 설계 애플리케이션에 접근해야 했고, 품질 관리팀은 데이터베이스를 읽기 전용으로 열람해야 했으며, 유지보수팀은 특정 시간대에만 권한 상승이 필요했다.

AI 시스템은 처음부터 접근 패턴을 일일이 매핑하지 않았다. 2주간 학습 모드로 운영되며 실제 사용자 행위와 애플리케이션 간 상호 의존성을 분석했다. 그 결과, 품질 관리 프로세스에는 ‘읽기 전용’으로 분류된 시스템에도 임시 쓰기 권한이 필요하다는 사실을 발견했다. 또한 유지보수팀은 야간 근무 시 선임 엔지니어가 부재할 때 더 넓은 접근 권한이 요구된다는 점도 드러났다. 무엇보다 중요한 것은 레거시 공장 시스템과 클라우드 애플리케이션 간의 문서화되지 않은 통신 경로가 존재한다는 사실을 밝혀낸 것이다.

이 지점에서 AI는 접근 제어 방식을 근본적으로 바꾼다. 기존처럼 업무 프로세스를 보안 정책에 맞추도록 강제하는 대신, AI 기반 ZTNA는 안전한 업무 프로세스를 가능하게 하는 정책을 생성한다. 이 시스템은 단순히 어떤 접근이 요청되었는가뿐 아니라, 언제, 왜, 어떤 맥락에서 이루어졌는지를 파악하며 ‘행위 기반 기준선(behavioral baseline)’을 만든다.

특히 기존 ZTNA가 어려움을 겪는 레거시 애플리케이션에 대해서도 AI는 복잡한 수정이나 통합 작업 없이 실제 사용 패턴을 이해하는 지능형 제어 기능을 적용할 수 있다.

보안팀이 ‘진화 작업’에 갇히는 이유

가장 답답한 점은 기술적 난관이 아니다. 문제는 유능한 보안 전문가가 반복되는 운영 사이클에 갇혀 정작 필요성을 잘 알면서도 실제로는 구현하지 못하는 상황에 놓인다는 것이다.

필자가 협업했던 한 글로벌 물류 기업의 CISO는 AI 기반 접근 자동화의 필요성을 1년 넘게 주장했다. 비즈니스 논리도 충분했고, 예산도 승인됐으며, 경영진도 적극적으로 지지했다. 그러나 9개월이 지나도록 프로젝트는 제자리걸음이었다.

문제는 조직의 저항도, 전문성 부족도 아니었다. 팀은 제로 트러스트 개념을 잘 이해했고 클라우드 보안 경험도 있으며, 고급 자격증까지 보유하고 있었다. 그러나 끊임없이 발생하는 접근 관련 사고 때문에 연속적인 시간을 확보하지 못했다. 배포 실패 시 필요한 긴급 프로덕션 접근, M&A 과정에서의 사용자 통합, 컴플라이언스 감사에서 드러난 공백 처리 등이 이어지면서 실제 구현에 집중할 여유가 없었던 것이다.

이것이 바로 접근 관리의 함정이다. 현재 시스템을 유지하기 위한 수작업 업무가, 오히려 그 업무를 없앨 수 있는 자동화 시스템 도입을 가로막는 상황을 만든다. 기존의 ZTNA 구현은 단기적으로 이 문제를 더욱 악화시킨다. 방대한 초기 정책 정의와 애플리케이션 매핑 작업이 선행돼야 하기 때문이다.

F5의 조사에서 드러난 AI 전문성 부족(54%) 역시 본질적으로는 한 가지 증상에 불과하다. 보안 전문가는 AI 개념을 학습할 능력이 있다. 다만, 매일 반복되는 운영 업무에 치이다 보니 학습이나 도입에 필요한 시간을 확보하지 못하고 있다.

비즈니스 전략으로서의 접근 제어 재정립

필자가 주목하는 AI 기반 ZTNA 성공례에는 공통적인 순간이 있다. 시스템이 정식 가동되거나 대시보드가 녹색 지표를 보여줄 때가 아니다. 누군가 “언제 마지막으로 접근 이슈를 해결했는지 기억도 나지 않는다”라고 무심코 말하는 순간이다.

이 순간은 곧 지능형 접근 제어가 매끄럽고 보이지 않게 작동하기 시작했다는 신호다. AI는 단순히 정책을 자동화하는 데 그치지 않고, 문제가 발생하기 전에 사용자의 필요를 미리 예측한다. 사용자는 필요할 때 자연스럽게 접근 권한을 얻고, 보안팀은 더 이상 진화 작업에 매달리지 않고 전략적 과제에 집중할 수 있다.

하지만 이런 변화는 기업이 AI 기반 ZTNA를 단순한 보안 도구로 보기를 멈추고, 비즈니스 실행력을 높이는 수단으로 인식할 때만 가능하다. 성공적인 기업은 평가 기준부터 다르다. “이 솔루션이 어떻게 비즈니스 프로세스의 마찰을 줄일 수 있는가?”를 묻지, 단순히 “보안 수준을 얼마나 개선할 수 있는가?”를 묻지 않는다. “이 솔루션이 어떤 새로운 역량을 열어줄 수 있는가?”를 고민하지, 단순히 “어떤 컴플라이언스 요건을 충족하는가?”에만 집중하지 않는다.

이런 관점의 전환은 AI 기반 ZTNA를 단순한 방어적 보안 수단에서 공격적인 비즈니스 역량으로 바꿔 놓는다. 실제로 일부 기업은 지능형 접근 제어를 통해 실시간 파트너 협업을 가능하게 하고 디지털 전환을 가속화하며, 새로운 애플리케이션에 대해 정책을 동적으로 생성하는 성과를 거두고 있다.

미래는 이 차이를 이해하는 기업의 몫이다. AI 기반 접근 제어는 목적지가 아니라, 그 위에서 모든 것을 가능하게 하는 토대다. 이런 관점을 수용한 기업은 지능형 접근 제어가 보이지 않는 인프라로 자리 잡으며, 야심찬 비즈니스 목표를 실현할 수 있게 된다.

따라서 선택은 “어떤 AI 기반 ZTNA 솔루션을 도입할 것인지”가 아니다. 중요한 질문은 “당신의 조직이 접근 제어를 보안의 제약이 아닌 비즈니스 가속기로 바라볼 준비가 되어 있는가”이다. 이 사고방식의 전환이야말로 가장 중요한 변화일지 모른다.

*Raghav Potluri는 F5 네트웍스(F5 Networkds)의 수석 소프트웨어 엔지니어다.
dl-itworldkorea@foundryco.com