자율 AI 시스템이 기업 보안 지형을 재편하면서 전례 없는 수준의 리스크 확대를 야기하고 있다. 기업 경영진 사이에서도 더 강력한 방어 체계에 지갑을 열 준비가 됐다는 목소리가 커지고 있다.

약 20년 동안 사이버 보안 리더는 똑같은 현실에 직면해왔다. 최신 침해 사고나 랜섬웨어 공격, 국가 주도의 침입이 아무리 심각해도, 보안 예산은 언제나 다른 비즈니스 우선순위와의 경쟁에서 밀려났다.

AI가 마침내 이 방정식을 바꾸고 있다.

자율 사이버 작전이 가능한 프론티어 AI 시스템의 급부상과 기업 내 에이전틱 AI의 확산이 맞물리면서, 보안 리더가 좀처럼 경험하기 어려웠던 상황이 만들어지고 있다. 바로 이사회 차원의 긴박감이다.

최근 워싱턴 DC에서 열린 SANS AI 사이버 서밋(SANS AI Cyber Summit)에서 긴박감은 뚜렷하게 드러났다. 전직 부국가안보보좌관 앤 뉴버거는 이 자리에서 보안 리더에게 지금 이 순간을 놓치지 말라고 촉구했다. 뉴버거는 기조연설에서 대규모 언어 모델이 공격에 활용되는 방식에 대한 인식이 높아진 지금이야말로 문화를 바꾸고 속도감 있게 움직여야 할 시점이라고 강조했다.

뉴버거의 발언은 컨설팅 업체 베인앤드컴퍼니(Bain & Co.)가 앤트로픽의 미토스(Mythos) 같은 고급 AI 시스템이 초래하는 운영상 과제에 대비하기 위해 많은 기업이 사이버 보안 투자를 두 배 또는 세 배까지 늘려야 할 수 있다고 경고한 지 불과 며칠 만에 나왔다.

위협 노출 관리 전문 업체 자프란 시큐리티(Zafran Security)의 CISO 네이트 롤링스는 최근 내슈빌에서 열린 CSO 사이버보안 어워드 앤 컨퍼런스(CSO Cybersecurity Awards and Conference)에서 최근 상황이 매우 고무적이라고 밝혔다. 롤링스는 지난 몇 년간 수익 창출 활동을 이끌기 위해 비즈니스와 IT 분야에서 AI 도입 예산이 증가하는 추세를 목격해왔다고 설명했다. 미토스와 글래스윙(Glasswing) 등장 이후 보안 분야에서 AI를 충분히 활용하지 못했다는 인식이 확산됐다는 것이 롤링스의 분석이다. 그 결과 기업 최상위 차원에서 AI 위협에 대응하기 위해 보안에 더 많은 예산을 투입해야 한다는 공감대가 형성되고 있다고 덧붙였다.

많은 CISO에게 이번 흐름은 단순한 과대 선전 사이클이라기보다 구조적 변화처럼 느껴진다. 보안팀조차 거버넌스 방법을 제대로 이해하지 못한 자율 시스템을 기업이 빠르게 배포하고 있기 때문이다.

AI가 기업 리스크를 확대하는 방식

AI 에이전트의 빠른 도입으로 기업은 기업 전반에 걸쳐 새로운 운영 계층을 만들어가고 있다. 이 시스템들은 최소한의 인간 감독 아래 기계 속도로 결정을 내리고, 행동을 개시하고, 민감한 시스템에 접근하며, 다른 소프트웨어와 상호작용하는 능력을 갖춰가고 있다.

보안 업체 노마 시큐리티(Noma Security)의 CISO 다이애나 켈리는 에이전틱 AI가 비즈니스에서 이전에는 볼 수 없었던 방식으로 작동하고 있다고 밝혔다. 에이전틱 AI가 직접 의사결정을 내리기 때문에 이제 AI를 통해 결정 및 자동화 계층을 보호해야 하는 상황이 됐다는 것이 켈리의 설명이다.

코어라이트(Corelight)의 CISO 버나드 브랜틀리는 AI가 시스템·데이터·아이덴티티 도메인을 격리하기 위해 보안팀이 의존해온 운영 경계를 무너뜨리면서 수년간 쌓인 기술 부채를 드러내고 있다고 진단했다. 브랜틀리는 단 하나의 에이전트가 1초도 안 되는 시간에 기업 내 50개 인터페이스 전체와 상호작용할 수 있다며, 에이전트가 얼마나 광범위하게 확산되는지를 고려해야 한다고 강조했다. 기업 내 모든 직원이 3개의 에이전트를 보유하게 된다면 보안이 필요한 공격 표면이 1,000배 커진다는 것이 브랜틀리의 분석이다.

기존 보안 아키텍처는 기계 속도로 지속 작동하는 자율 에이전트가 아닌, 사람이 주도하는 시스템을 위해 설계됐다. 기업은 아이덴티티 관리, 모니터링, 행동 제어, AI 시스템 경계 전반을 재고해야 하는 상황에 처했다.

KLC 컨설팅(KLC Consulting)의 대표 겸 CISO 카일 라이는 에이전트를 반드시 모니터링해야 하며, 문제 행동이 감지되면 인간 계정을 다루듯 즉시 차단해야 한다고 조언했다.

보안 리더는 현재 가장 큰 과제 중 하나로 가시성 확보를 꼽는다. 많은 기업에서 AI 에이전트가 무엇에 접근하는지, 어떤 결정을 내리는지, 어떤 시스템과 상호작용하는지, 그리고 그 행동이 시간이 지나도 기업 정책에 부합하는지를 신뢰할 수 있는 방식으로 모니터링하는 수단이 아직 갖춰지지 않았다.

기존 소프트웨어와 달리, 자율 에이전트는 여러 기업 시스템에 걸쳐 동적으로 행동을 연쇄 실행할 수 있어, 보안팀이 기존 권한 모델로는 동작을 예측하거나 접근을 제한하기가 훨씬 어렵다.

라이는 AI 에이전트에도 기존에 직원 및 특권 사용자에게 적용해온 것과 동일한 아이덴티티 관리, 로깅, 감사, 행동 제어가 필요하다는 인식이 기업 전반에 확산되고 있다고 전했다.

동시에 AI는 기업 내 다른 영역에서도 운영 리스크를 가속화하고 있다. AI 보조 코딩 시스템은 개발자들이 대량의 소프트웨어를 빠르게 생성할 수 있게 해주지만, 그에 따른 보안상 함의를 충분히 이해하지 못한 채로 진행되는 경우가 많다.

보안팀의 적응 속도를 앞지르는 리스크 확산

보안 리더는 생성형 코딩 시스템이 개발 사이클을 단축하는 속도가 많은 기업의 기존 보안 검토 프로세스가 현실적으로 따라잡기 어려운 수준이라고 지적한다. 개발자들이 완전히 이해하지 못한 AI 생성 코드를 배포하는 사례가 늘면서, 취약점·안전하지 않은 의존성·인증 결함·설정 오류 등이 프로덕션 환경에 대규모로 유입될 위험이 커지고 있다.

라이는 AI가 대량의 코드를 생성하는 만큼, AI가 만들어내는 취약점을 관리하지 않으면 취약점이 눈덩이처럼 불어나 더 큰 문제로 이어질 수 있다고 경고했다.

이 같은 운영상 함의는 많은 기업이 사이버 보안을 단순한 방어적 IT 기능이 아닌, 자율 기업 시스템을 위한 거버넌스 계층으로 재정의하도록 압박하고 있다. 이런 변화는 사이버 보안 논의를 AI 도입, 운영 회복탄력성, 인력 자동화, 비즈니스 리스크를 아우르는 더 폭넓은 대화로 끌어올리고 있다.

달라진 경영진, 사이버 보안을 전략으로 듣는다

AI는 C레벨 임원과 이사회의 행동 방식도 바꾸고 있다.

수년 동안 많은 보안 리더는 사이버 리스크가 단순한 IT 비용이 아닌 전략적 비즈니스 이슈임을 이사회에 납득시키는 데 어려움을 겪었다. 뉴버거는 SANS 서밋에서 문화를 바꿔야 할 방어 수단으로 이야기해왔지만, 이제는 CEO들이 대규모 언어 모델과 프로젝트를 직접 언급하며 사이버 보안에 우려를 표하는 변화가 나타나고 있다며, 이는 엄청난 변화라고 평가했다.

이 같은 관심이 중요한 이유는, 역사적으로 보안 지출은 사이버 리스크가 더 광범위한 비즈니스 전환과 연결될 때만 급증해왔기 때문이다.

AI는 이제 경쟁력, 자동화, 인력 생산성, 디지털 전략에 관한 이사회 논의의 핵심에 자리 잡았다. CISO에게는 사이버 보안을 안전한 AI 도입을 위한 운영상 전제 조건으로 자리매김할 드문 기회가 찾아온 셈이다.

다만 브랜틀리는 보안 리더가 공포에 기반한 메시지를 지양하고, 대신 사이버 보안을 비즈니스 촉진 요소로 포지셔닝해야 한다는 입장이다. 브랜틀리는 사이버 예산 증액이 현재 또는 전략적 AI 목표에 맞는 비즈니스 가치 창출을 지향해야 하며, AI를 활용하지 않고는 AI의 속도에 맞춰 문제를 해결할 방법이 없다고 강조했다.

결국 AI 과제에 대응하기 위해 AI에 더 많은 비용을 투자한다는 의미다. 브랜틀리는 예산 증가분이 AI 문제에 정통한 신규 인력 10명 채용, 솔루션을 보유한 외부 계약업체 또는 공급업체 활용, 그리고 답을 얻기 위한 AI 토큰 비용으로 구성될 것이라고 예상했다.

경영진을 설득하는 가장 효과적인 논리는, 사이버 보안이 기업이 가시성·거버넌스·통제력을 잃지 않으면서 AI를 안전하게 확장할 수 있는 운영 토대가 되고 있다는 점일 것이다.

켈리는 데이터 포이즈닝, 간접 프롬프트 인젝션, 에이전트의 무단 행동 모두 기업 차원의 리스크 논의에 포함된다고 강조했다. 또한, 비즈니스가 의사결정을 어떻게 내리는지에 관한 리스크 논의라고 덧붙였다.

예산 요청엔 비즈니스 근거가 따라야

AI가 사이버 보안 지출 급증의 방아쇠를 당길 것이라는 견해에 모두가 동의하는 것은 아니다.

보안 업체 인버전6(Inversion6)의 CISO 이언 손튼-트럼프는 일부 기업이 근본적인 비즈니스 리스크를 명확히 설명하지 않은 채 AI를 지출의 만능 명분으로 삼을 위험이 있다고 경고했다. 손튼-트럼프는 AI를 앞세우는 것만으로는 부족하며, 누군가 사이버 보안을 위해 AI에 거액을 쓰고 싶다고 말한다면 경영진 입장에서 웃음이 나올 것이라고 꼬집었다.

손튼-트럼프는 이사회가 지정학적 불안정, 기후 리스크, 사기, 공급망 붕괴, 운영 비용 상승 등 수많은 경쟁 전략 과제 속에서 사이버 보안의 우선순위를 저울질하고 있다고 주장했다. 더 많은 예산을 요청하되 계획을 갖춰야 하며, 특히 요청한 모든 것을 얻지 못할 수 있다는 현실을 반영한 계획이어야 한다고 조언했다.

결국 논쟁의 핵심은 지출 여부가 아니라, 보안 리더가 그 이유를 충분히 명확하게 설명해 경청을 끌어낼 수 있느냐에 있다.

AI의 등장이 예산 증액을 이끌어낼 만큼 충분한지는 아직 미지수지만, 프론티어 AI·자율 기업 시스템·경쟁에서 뒤처질 것이라는 경영진의 우려가 맞물리면서 사이버 보안이 핵심 비즈니스 전략으로 급부상했다는 점은 분명하다.

클라우드 컴퓨팅 부상 이후 기업 보안 지출 측면에서 가장 큰 변화가 예고된다. 경영진이 사이버 공격을 더 두려워해서가 아니라, 사이버 보안을 대규모 AI 도입을 가능하게 하는 운영 토대로 바라보는 시각이 점차 강해지고 있기 때문이다.
dl-itworldkorea@foundryco.com