‘AI 대 AI’의 전장이 된 사이버 보안…진정한 방어막은?

작성일 07-01

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="8GrWFGc60z">
 <figure class="figure_frm origin_fig" contents-hash="39a54ef36de8050f7cba761e78aa36e5c3637311405eaa4ce6a304a2b29c8103" dmcf-pid="6HmY3HkPp7" dmcf-ptype="figure">
 <img alt="김태영 맥킨지앤드컴퍼니 부파트너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/01/chosun/20250701135737191xsvy.jpg" data-org-width="366" dmcf-mid="V32djiqyFb" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/01/chosun/20250701135737191xsvy.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 김태영 맥킨지앤드컴퍼니 부파트너
 </figcaption>
 </figure>
 “AI가 사이버보안을 바꾸는 데 그치지 않고, 정의 자체를 새로 쓰고 있다.” 올해 세계 최대 보안 콘퍼런스 ‘RSA 2025’를 위해 샌프란시스코에 모인 4만 명의 전문가들이 내린 결론이다. 사이버 보안이 AI와 AI가 맞붙는 전장이 되면서 보안의 본질도 변하고 있다는 뜻이다.
 AI는 ‘양날의 검’이다. 공격자들의 손에 쥐어지면 강력한 무기가 된다. 생성형 AI가 등장한 이후 피싱 공격은 무려 1,200% 넘게 급증했고, 해킹부터 실제 침투까지 1시간도 걸리지 않은 사례도 보고됐다. 동시에 AI는 방패 역할도 하고 있다. 많은 기업들이 AI를 활용해 로그 데이터를 실시간으로 분석하고 이상 징후에 빠르게 대응하고 있다.
 ‘가시성’ 확보가 사이버 보안의 출발점 
 AI가 공격과 방어 양쪽에 모두 활용되면서 기술 하나만으로는 안전을 담보할 수 없다. 복잡한 기술 자산에 대한 ‘가시성’ 확보는 AI 보안을 작동시키기 위한 전제 조건이 된다. 기업은 언제, 어디서, 누가, 어떤 IT 자산을 사용하는지를 실시간으로 파악할 수 있어야 한다.
 문제는 기업의 IT 환경이 점점 더 복잡해지고 있다는 점이다. 멀티 클라우드, 복수 네트워크, 다양한 디지털 ID는 자산을 한눈에 보고 관리하는 일을 어렵게 만든다. 실제로 기업의 50%가 자산 파악과 권한 관리 등 기본적인 보안 항목에서 어려움을 겪고 있는 것으로 나타났다. 기반이 제대로 갖춰지지 않은 상태에서 AI를 도입하면 오히려 보안의 허점이 될 수 있다.
 전사 차원의 사이버 리스크 프레임워크가 필요하다. 모든 취약점을 동일한 기준으로 평가해 가장 위험도가 높은 부분부터 우선적으로 대응하는 구조를 만드는 것이 핵심이다. 보안 도구도 하나의 기준에 따라 통합적으로 관리되어야 한다.
 거버넌스 체계도 마찬가지다. 부서 간 역할과 책임을 명확히 나누고, 제한된 자원을 위험이 큰 영역에 먼저 투입할 수 있도록 기준을 재정립해야 한다. 이를 통해 조직 전반의 보안 대응력은 한층 높아질 수 있다.
 진짜 방어막은 ‘조직문화’
 결국 사이버 보안은 ‘기술’이 아니라 ‘조직’의 문제로 귀결된다. 기술만 바꾸는 것으로는 충분하지 않다. 일하는 방식, 문화 자체가 함께 바뀌어야 한다. 실제로 보안 성숙도가 높은 조직들은 공통점이 있다. 보안을 단지 IT 부서의 일로 국한하지 않고, 전사 차원의 문화로 확장시킨다. 예컨대 페루 최대 상업은행 BCP는 디지털 전환을 하면서 기술만 바꾼 것이 아니라 ‘사마이(Samay)’라는 새로운 조직문화를 도입했다.
 페루 원주민 언어인 케추아어로 ‘영혼’을 뜻하는 ‘사마이(Samay)’는 BCP 내부에서 새로운 문화를 이끄는 리더를 일컫는다. 사마이들은 실험하고, 실패하고, 배우고, 다시 시도하는 문화를 전파하며 BCP를 스타트업처럼 역동적인 조직으로 만들었다. 이 과정에서 직원들은 새로운 시스템에 빠르게 적응하고 기술을 적극 수용할 수 있었다. 그 결과 디지털 뱅킹 이용은 1년 만에 26% 증가했고, 디지털 채널 이용률은 23%에서 60%로 세 배 가까이 상승했다. 디지털 결제 앱 ‘야뻬(Yape)’는 페루 성인 인구의 60%가 사용하는 국민 앱으로 성장했다.
 사마이 문화는 사이버 보안 방식에도 적용됐다. 각 부서가 사용하는 시스템과 데이터에 대한 책임을 갖고, 리스크에 직접 대응한다. ‘사이버 보안은 보안팀이 하는 일’이라는 인식에서 벗어나 전 직원이 관여하는 구조로 전환된 것이다. 조직문화와 운영모델 전반이 바뀌었기에 가능한 변화였다.
 속도보다 기초, 기술보다 문화
 이번 RSA 2025에서 반복해 언급된 키워드는 ‘협업’이었다. AI를 활용한 사이버 공격이 진화하면서 보안은 한 기업만의 문제가 아니라 산업 전체가 함께 대응해야 하는 과제가 됐다. 협업은 기업 내부에도 필요하다. 보안은 더 이상 IT 부서만의 책임이 아니다. 기술만으로 막을 수 없는 위협에 맞서기 위해서는 조직 전체가 기본 역량을 갖추고 긴밀하게 협력하는 문화가 필요하다.
 토끼와 거북이 이야기처럼 디지털 전환에서도 중요한 것은 빠르게 앞서가는 속도가 아니다. 보안이라는 관점에서 진짜 경쟁력은 거북이처럼 ‘기본’을 지키며 꾸준히 나아가는 조직에게서 나온다. 속도보다 기초, 기술보다 문화가 우선돼야 하는 이유다.
 <figure class="figure_frm origin_fig" contents-hash="981465e303e94c83ba4561c1925cd036f06d9e1e237814bc685c87360e276927" dmcf-pid="3mnwSmRuuW" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/01/chosun/20250701135737427ktor.jpg" data-org-width="1264" dmcf-mid="4sT3bpCnUq" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/01/chosun/20250701135737427ktor.jpg" width="658">
 </figure>
 Q. 인공지능(AI)을 쓰면 더 안전해지나요?
 A. 반은 맞고, 반은 틀립니다. AI는 ‘양날의 검’이에요.
 AI가 보안을 강화할 수 있지만, 공격 수법도 같이 진화하고 있습니다.
 보안 기업들이 AI를 활용해 위협 감지에 걸리는 시간을 20~25% 줄였지만, 공격자들도 AI를 쓰기 시작했거든요. 실제로 생성형AI 등장 이후 피싱 공격 1200% 증가했습니다.
 기업들은 매해 더 많은 공격을 받고 있습니다. 2024년 한 해, 전 세계에서 사이버 보안 제품과 서비스에 2,000억 달러가 쓰였고, 사이버 공격 한 건당 평균 피해액은 약 500만 달러에 달합니다.
 * 본 답변은 맥킨지 내부 생성형 AI 리서치 파트너인 릴리(Lilli)의 응답을 기반으로 요약 및 재구성한 내용입니다.
 </section> 
 </div> 
 Copyright © 조선일보. 무단전재 및 재배포 금지.

이전

ETRI, 디지털 신원 지갑 국제표준 개발 나선다

07-01
다음

360도 파노라마 사진 한 장으로 3D 구현한다

07-01

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

‘AI 대 AI’의 전장이 된 사이버 보안…진정한 방어막은?

멤버랭킹

관련자료

멤버랭킹