전 세계 기업 보안을 책임지는 최고 정보보안 책임자(CISO, Chief Information Security Officer)들이 전례 없는 압박에 직면해 있다. 스플렁크(Splunk)가 2025년 7월과 8월 사이 9개국 650명의 CISO를 대상으로 실시한 설문조사에 따르면, 이들의 78%가 보안 사고로 인한 개인적 법적 책임을 우려하고 있으며 이 수치는 불과 1년 전 56%에서 급등한 것이다. AI가 공격자와 방어자 양쪽 모두의 무기가 된 지금, CISO의 역할은 기술 관리자에서 조직 전체의 생존 전략가로 탈바꿈하고 있다.
CISO의 역할, 이제는 기업 전략의 핵심
CISO의 역할은 더 이상 해킹을 막는 데 그치지 않는다. 응답자의 79%가 자신의 역할이 크게 복잡해졌다고 답했으며, 96%는 AI 거버넌스(AI 사용 규칙 관리)와 리스크 관리를 직접 책임지고 있다고 밝혔다. 쉽게 말해, 회사에서 AI를 어떻게 쓸지 규칙을 만들고 감시하는 역할까지 CISO가 맡게 된 것이다. 또한 85%는 개발 단계부터 보안을 적용하는 방식인 데브섹옵스(DevSecOps)가 이제 자신의 업무 범위에 포함된다고 답했다. 경영진의 우선순위 변화가 사이버 보안 전략에 상당한 어려움을 초래한다고 답한 비율도 71%에 달했다.
AI 도입, 두려움과 기대 사이
AI 도입은 이제 ‘할 것인가 말 것인가’의 문제가 아니라 ‘얼마나, 어떻게 할 것인가’의 문제가 됐다. 조사 결과 자동화 기술을 이미 활용 중인 CISO의 83%는 해당 투자가 기대 이상의 성과를 냈다고 평가했다. 반면 생성형 AI(사람처럼 글을 쓰거나 대화를 나누는 AI)에 대해 같은 평가를 내린 비율은 14%에 불과했다. AI가 가장 큰 위험으로 지목한 항목은 데이터 유출(78%), 섀도우 AI(Shadow AI, 회사의 허가 없이 임직원이 몰래 사용하는 AI 도구), 그리고 AI가 틀린 정보를 그럴듯하게 제시하는 환각 현상(hallucination) 순이었다. AI를 먼저 도입한 CISO일수록 이러한 리스크를 더욱 크게 인식하는 경향도 나타났다.
에이전틱 AI, 사이버 보안의 다음 전쟁터
에이전틱 AI(Agentic AI)는 사람의 지시 없이도 스스로 판단하고 행동하는 AI를 말한다. 위협을 탐지하고, 조사하고, 대응까지 자율적으로 수행하는 초고도화된 보안 운영 센터(SOC)가 가능해지는 것이다. 현재 에이전틱 AI를 실제로 활용 중인 CISO는 6%에 불과하지만, 39%는 이미 가능성을 탐색 중이다. 에이전틱 AI를 도입한 CISO 중 39%는 팀의 보고 속도가 크게 빨라졌다고 강하게 동의했으며, 이는 탐색 단계에 머문 조직의 18%보다 두 배 이상 높은 수치다. 그러나 CISO의 83%는 AI가 경보를 누락하거나 오탐(잘못된 경고)을 내놓는 환각 현상을 가장 큰 우려로 꼽았으며, 자율 에이전트가 중요한 판단을 내릴 때 인간의 감독이 충분하지 않을 수 있다는 점도 주요 리스크로 지목됐다.
기술보다 사람, CISO가 내린 결론
AI와 자동화가 발전할수록 오히려 인재의 중요성이 커지고 있다. CISO들은 보안 프로그램 내 가장 부족한 역량으로 위협 헌팅(위협을 능동적으로 탐색하는 활동), 엔지니어링 지원, 소프트웨어 개발, 네트워크 및 클라우드 설계를 꼽았다. 역량 격차를 해소하는 수단으로 AI나 자동화 같은 기술을 선택한 CISO는 단 1%에 그쳤다. 대신 65%는 기존 인력의 역량 강화를 1순위로 선택했다. 더불어 응답자의 45%는 조직 내에 번아웃(극도의 직무 소진)이 존재한다고 밝혔으며, 과도한 경보 양(98%)과 오탐(94%)이 SOC 운영의 핵심 부담 요인으로 지목됐다.
FAQ( ※ 이 FAQ는 본지가 리포트를 참고해 자체 작성한 내용입니다.)
Q. CISO가 AI 보안에서 가장 걱정하는 것은 무엇인가요? CISO들이 AI 보안에서 가장 우려하는 것은 데이터 유출입니다. 응답자의 78%가 이를 1순위 위험으로 꼽았으며, 회사 허가 없이 사용되는 섀도우 AI와 AI가 잘못된 정보를 사실처럼 제시하는 환각 현상이 그 뒤를 이었습니다.
Q. 에이전틱 AI가 보안 담당자의 일자리를 대체하게 될까요? 에이전틱 AI가 보안 분석가를 대체할 것이라는 주장에 CISO의 60%가 동의하지 않았습니다. 전문가들은 AI가 반복 업무를 처리하는 동안 사람은 더 창의적이고 전략적인 판단이 필요한 역할에 집중하게 될 것으로 보고 있습니다.
Q. 보안 투자의 성과를 경영진에게 어떻게 설명해야 하나요? CISO의 41%가 보안 투자의 효과를 리스크 감소와 명확하게 연결하지 못하는 어려움을 겪고 있습니다. 전문가들은 CPU 사용률 같은 기술 지표 대신, 인시던트 감소가 매출 손실 예방으로 이어진다는 비즈니스 언어로 설명하는 것이 효과적이라고 강조합니다.
기사에 인용된 리포트 원문은 Splunk에서 확인할 수 있다.
리포트명: CISO 보고서: AI 시대, 리스크에서 회복탄력성으로
이미지 출처: 이디오그램 생성
해당 기사는 챗GPT와 클로드를 활용해 작성되었습니다.
