한 글로벌 제조 기업의 사례다. AI 모델이 잠재적인 침해 패턴을 탐지했는데, 확인 결과 테스트 서버의 정상 동작이었다. AI 시스템의 판단이 틀린 것은 아니었지만, 사람이 의심하지 않았다는 점이 문제였다. 데이터 스토리텔링 역량이 강한 한 분석가가 이 허점을 알아채면서 전사 운영 환경을 멈추는 수준의 셧다운을 막을 수 있었다. 자동화와 이해를 가르는 지점은 바로 이런 순간에서 드러난다.
필자가 핵심 산업군의 CISO와 사이버보안 책임자의 자문에 응할 때, 대화의 중심은 방화벽, 감사 체크리스트, 사고 대응 플레이북이었다. 그러나 자동화가 들어오고, 곧이어 AI가 확산하면서 기술적 탁월함을 규정하던 기준 자체가 빠르게 바뀌기 시작했다.
오늘날 AI는 동시에 ‘평준화 장치’이자 ‘차별화 요인’이 됐다. 탐지를 가속하고, 대응을 자동화하며, 이전에는 보이지 않던 인사이트를 끌어올린다. 다만 역설적인 측면도 있다. 도구가 똑똑해질수록 차별화의 무게 중심은 사람 쪽으로 이동한다. AI는 비판적 사고와 데이터 문해력 같은 역량을 증폭시키는 촉매제로 작동한다.
이 때문에 새로운 ‘파워 스킬(power skill)’이 부상하고 있다. 앞으로 10년 뒤 어떤 사이버보안 전문가가 대체 불가능한 존재로 남는지를 가를 역량이다.
2030년까지 사이버보안 업무의 거의 절반이 자동화될 전망이다. 그렇다고 해서 더 빨리 코드를 짜는 사람이 살아남는 것은 아니다. 오히려 더 깊게 사고하는 사람이 성과를 만든다.
기존 역량만으로는 충분하지 않은 이유
예를 들어 CISO의 실행 과제로 ‘이번 분기 안에 상위 3개 탐지 규칙을 대상으로 1시간 정도의 ‘AI 편향 점검’을 진행하는 것’이 제시됐을 때, 이 과정에서 CISO가 던져야 할 핵심 질문은 ‘해당 탐지가 어떤 데이터를 놓치고 있는지’와 ‘특정 환경이나 집단이 과소대표돼 있지는 않은지’다.
세계경제포럼(World Economic Forum, WEF)의 ‘미래 일자리 보고서(Future of Jobs Report)’에 따르면, 2030년까지 핵심 직무 역량의 약 40%가 바뀔 것으로 예상된다. 변화의 주된 요인은 AI, 데이터, 자동화다.
보안 전문가에게 이것은 네트워크 방어, 포렌식, 패치 같은 전문성이 여전히 필수적이지만, 이제 그것만으로는 가치를 만들어내기에 충분하지 않다는 뜻이다. 진정한 영향력은 AI가 가능하게 한 것을 어떻게 해석하고, 전달하고, 적용하느냐에서 나온다.
AI는 의사결정을 단순히 빠르게 만드는 데서 그치지 않고, 의사결정의 형태 자체를 재구성한다. 모델이 이상 징후를 포착했을 때 필요한 것은, 이를 비즈니스 리스크로 해석하고, 모델이 깔고 있는 가정을 점검하며, 그 의미를 경영진에게 명확하게 전달할 수 있는 사람이다. 이는 ‘잘하면 좋은 능력’이 아니라 ‘없으면 그 역할을 수행할 수 없는 능력’이다.
다음은 AI 시대의 보안 전문가를 위한 5가지 새로운 파워 스킬이다.
1. 데이터 문해력과 분석적 사고
사이버보안은 이제 데이터 과학과 분리할 수 없는 영역이 됐다. 모든 경보와 로그, 이상 징후는 우선 데이터 문제이며, 그다음이 보안 문제다. 필자가 컨설팅 현장에서 지켜본 실패 사례 역시 도구가 부족해서가 아니라, 분석가가 데이터가 실제로 의미하는 바를 제대로 해석하지 못했기 때문인 경우가 많았다.
데이터 문해력이란 단순히 수치를 읽는 능력이 아니다. 데이터를 의심하고, 모델에 내재된 편향을 인식하며, 분석 결과를 의사결정을 이끄는 이야기로 전환하는 역량이다.
2. 리스크 리터러시와 거버넌스 인텔리전스
AI는 알고리즘 편향부터 모델의 투명성과 설명 가능성에 이르기까지 새로운 유형의 리스크를 만들어낸다. 미래를 준비하는 CISO라면 이런 과제를 단순한 규제 준수 차원이 아니라, 전략적 거버넌스의 일부로 이해해야 한다.
최근 등장한 NIST AI 리스크 관리 프래임워크(AI Risk Management Framework, AI RMF 1.0)와 안전하고 보안적이며 신뢰할 수 있는 AI에 관한 미국 행정명령(U.S. Executive Order on Safe, Secure and Trustworthy AI)이 이런 방향성을 분명히 보여준다.
3. 경영진과의 커뮤니케이션
필자는 이사회 회의실에서 뛰어난 엔지니어가 분명한 인사이트를 갖고 있음에도, 그 의미가 제대로 전달되지 않아 경영진을 설득하지 못하는 장면을 여러 차례 목격했다.
AI 시대에는 명확성이 곧 영향력이다. 특히 확률적 결과를 전제로 하는 AI 판단을 다룰 때, 복잡한 개념을 글과 발표로 정리하고 핵심만 남겨 설명할 수 있는 능력이 누가 목소리를 갖는지를 좌우한다. 효과적인 커뮤니케이션은 이제 ‘소프트 스킬’이 아니라 전략적 역량이다.
4. 크로스펑셔널 협업
AI는 사일로 안에서 작동하지 않는다. 사이버보안 역시 마찬가지다. 현재 가장 성과를 내는 보안 프로그램은 데이터 과학자, 프라이버시 담당자, 운영 책임자, 법무 자문 등의 역할을 유기적으로 결합한다.
실제 효과도 분명하다. 4만 개 엔드포인트를 운영하는 한 글로벌 에너지 기업에서는 보안팀과 데이터 과학팀이 공동으로 AI 위협 모델링 워크숍을 진행한 결과, 랜섬웨어 전조 신호에 대한 평균 탐지 시간(MTTD)이 14시간에서 4시간으로 줄었다. 새로운 도구를 도입해서가 아니라, 맥락을 공유했기 때문이다. 이것이 협업이 만들어내는 가시적인 가치다.
5. 윤리적 판단력과 창의적 사고
AI가 자동화와 자율성의 경계를 흐리는 상황에서 인간의 판단이 마지막 안전장치로 자리 잡고 있다. “할 수 있는가”보다 “해야 하는가”라는 질문이 더 중요한 기준이 되는 이유다.
편향된 AI 결과부터 자동화에 대한 과도한 의존에 이르기까지, 의도하지 않은 결과를 미리 내다볼 수 있는 전문가는 디지털 신뢰를 떠받치는 윤리적 중심축이 된다. 한때 ‘소프트 스킬’로 여겨졌던 공감과 창의성은 이제 자동화하기 가장 어려운 역량 가운데 하나로 꼽힌다.
사이버보안에서 AI가 가진 양날의 검
AI는 방어뿐 아니라 공격의 방식까지 함께 바꾸고 있다. 생성형 AI 모델은 초개인화된 피싱, 자동화된 정찰, 합성 신원 공격을 가능하게 한다. 동시에 AI 기반 탐지·대응 도구는 섀도우 IT와 데이터 유출, 지속적 위협을 전례 없는 속도로 식별해낸다. 그러나 여기에는 분명한 함정이 있다. AI는 강점뿐 아니라 약점까지 함께 증폭시킨다는 점이다.
데이터 거버넌스가 부실하면 모델 드리프트로 이어지고, 맥락이 충분하지 않으면 오탐이 늘어나며, 윤리 및 사람의 감독이 결여되면 치명적인 의사결정으로 귀결될 수 있다. 이 때문에 판단과 윤리, 맥락으로 구성된 ‘사이버보안의 인간 레이어’를 구축하는 일은 이제 선택이 아니라 핵심 과제가 됐다.
그동안 CISO는 사고가 발생하지 않았다는 사실로 평가받았다. 하지만 AI는 이 기준도 바꾸고 있다. 알고리즘이 탐지와 보고를 대신하는 환경에서는 가시성이 높아졌다고 해서 곧바로 책임성이 확보되는 것은 아니다. 침해를 막는 것에서 통제력을 입증하는 단계로 옮겨가고 있다. 그것도 대시보드가 아니라, 서사와 거버넌스를 통해서다.
결국 CISO가 마주한 새로운 딜레마는 하나다. 시스템이 자신보다 더 많은 것을 알고 있는 상황에서 어떻게 리드할 것인가?
미래형 보안팀을 구축하는 방법
CISO가 최대한 빠르게 실행해야 할 3가지 과제는 다음과 같다.
먼저, 도구에만 투자하기보다 파워 스킬에도 함께 투자한다. 이를 위해 커뮤니케이션, 거버넌스 이해도, 데이터 스토리텔링을 포함한 정기적인 역량 격차 분석을 수행해야 한다. AI는 업무를 자동화할 수는 있지만, 지혜까지 대신할 수는 없다. 따라서 판단력과 인사이트를 키우기 위해 직원에게 지속적인 학습을 장려해야 한다.
또한 AI는 어떤 정책보다 빠르게 진화하기 때문에, AI 시스템을 대상으로 한 레드팀 운영과 부서 간 협업 시뮬레이션 같은 프로그램을 마련할 필요가 있다. 아울러 사이버보안과 데이터 과학, 비즈니스 전략을 결합하는 통합적 접근이 요구된다. 이러한 다중 관점 접근은 조직의 회복탄력성과 혁신 역량을 동시에 강화한다.
보안 책임자는 기술적 인사이트를 경영진이 이해할 수 있는 언어로 번역해야 한다. AI는 단순한 도구가 아니라 함께 일하는 팀원처럼 인식할 필요가 있다. 규정 준수 여부만 평가할 것이 아니라, 문제를 제기하고 질문하는 호기심 역시 보상해야 한다. 자동화를 구축하는 속도보다 더 빠르게 신뢰를 쌓는 것이 중요하다.
다음 단계로는 이번 분기 안에 리스크 위원회 안건에 AI 윤리를 포함하고, 보안팀과 데이터 과학팀이 함께하는 공동 스프린트를 시범적으로 운영할 필요가 있다. 아울러 조직 차원에서 데이터 스토리텔링 역량의 성숙도를 점검하는 작업도 병행해야 한다.
CISO 성과 지표의 재정의
앞으로의 CISO는 사고 발생 건수보다 AI 기반 보안 이니셔티브를 비즈니스 성과와 얼마나 효과적으로 정렬시키는지로 평가받게 될 것이다.
새롭게 고려할 수 있는 KPI로는 AI 경보 가운데 경영진 리스크 브리핑으로 전환된 비율, 보안과 데이터 과학 간 크로스펑셔널 프로젝트의 추진 속도, 윤리적 AI 검토 완료율, 윤리적 혁신을 주도하는 활동 등이 대표적이다.
아울러 모든 리스크 리뷰에서 AI 윤리를 상시 안건으로 다뤄야 한다. 투명성과 책임성은 이제 암호화와 패치만큼이나 사이버보안의 핵심 요소로 자리 잡아야 한다.
사이버보안의 성공 방정식은 ‘기술+인간’
보안 분야에서 가장 큰 오해는 기술적 숙련도가 곧 장기적인 생존력을 보장한다는 인식이다. 그러나 현실은 다르다. 자동화가 확대될수록 인간만이 만들어낼 수 있는 차별적 가치의 중요성이 오히려 커진다.
앞으로 10년의 성공은 얼마나 많은 코드를 작성하느냐에 달려 있지 않다. 시스템과 사일로를 가로질러 얼마나 효과적으로 연결하고 해석하며, 리드할 수 있는지가 관건이다.
현재 가장 회복탄력적인 조직을 살펴보면 공통점이 있다. 이들은 사이버보안을 단순한 통제 기능이 아니라 전략적 촉진제로 인식한다. 그리고 그 조직의 리더는 알고리즘과 공감, 두 영역 모두에 능숙하다. 사이버보안의 미래는 방화벽을 더 높이 쌓는 사람보다, 조직과 기술 사이에 다리를 놓는 사람에게 돌아간다.
사이버보안은 이제 인간과 기계의 전쟁이 아니라 둘의 협업이다. 성공하는 조직은 AI의 정밀함에 인간의 공감과 창의적 인사이트를 결합한다. AI가 규모와 속도를 담당한다면, 리더는 의미와 방향을 책임져야 한다. 이것이 바로 파워 스킬의 본질이다.
사이버보안의 미래는 AI의 정밀함과 인간의 전문성을 함께 활용하고, 두 축을 모두 기반으로 리드할 수 있는 이들에게 있다.
dl-itworldkorea@foundryco.com
Sabine Frömling editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.