AI 시대 IT 및 보안의 환경 변화와 CISO의 새로운 역할
- 권표
- 5일 전
- 5분 분량
Executive Summary
Gartner Business and Technology Insights의 애널리스트인 Peter Firstbrook이 진행한 'Day 2 Keynote'는 Day 1 에 화두로 언급됐던 핵심 변화들을 정리하는 세션이었습니다. 2030년이라는 미래의 청사진을 바탕으로, AI가 IT 환경과 사이버 보안 인적 요소에 미치는 영향력, 방어 및 활용 전략, CISO 역할의 진화와 변화를 다뤘습니다.
본 리포트는 Gartner 현장 참관기 10번째이자 마지막 보고서입니다. 특히 이 Keynote에서 보안 실무자들은 본 리포트를 통해 파편화된 기술 트렌드를 넘어, 다가올 변화를 어떻게 준비해야 되는지 종합적인 인사이트를 얻을 수 있을 것이라 생각됩니다.
기술 혁신과 변화의 기로에 선 사이버 보안
세션의 서두에서 Peter Firstbrook은 “30년 동안 이 업계에서 일해 왔지만, 전체 경력을 통틀어 우리가 하는 일의 이렇게 많은 측면에 영향을 미치는 기술과 변화의 속도를 본 적이 없다”며 현재 맞이한 전례 없는 혁신을 거듭 강조했습니다.
2030년까지 AI가 IT 환경에 미치는 영향
2030년이 사이버 보안 환경에 미치는 영향
최고정보보호책임자의 미래를 위해 준비해야 할 전략
2030년 AI가 주도하는 IT 환경의 4가지 조직 모델
AI가 2030년까지 IT 부서의 운영 방식에 근본적인 변화를 가져올 것이라고 Peter Firstbrook은 언급했습니다. 기업들은 AI의 효율성을 통해 더 작은 팀으로 더 높은 생산성을 달성하기를 기대하고 있으며, 현업 부서가 직접 IT 업무를 수행하는 ‘IT Democratized’가 가속화될 것이고, 3rd party 소프트웨어를 구매하기보다 자체적으로 구축하는 비중이 늘어날 것으로 예상하고 있습니다. 이러한 변화에 대응하는 IT 조직의 형태를 4가지 Archetype으로 분류했습니다.
Archtype | Description |
Lean IT | AI를 활용해 사람이 해야 할 업무량을 줄이고, 고용을 축소하여 적은 규모로 기업의 수요를 맞추는 데 집중 |
Amplified IT | 기존과 동일한 인적 규모를 유지하면서, 증가하는 비즈니스 수요를 충족시키기 위해 AI로 역량을 확장 |
Democratized IT | 현업 비즈니스 부서와 기술 부서가 함께 나서 IT 업무와 기업 수요 사이의 격차를 스스로 메우는 모델 |
Dual-Builder IT | 3rd party 소프트웨어 의존도를 낮추고 기업 스스로가 구축. 비즈니스 부서 자체의 기술 서비스를 적극적으로 활용 |
Gartner는 앞의 두 그룹(Lean 또는 Amplified IT)은 업무를 더 효율적으로 처리할 뿐 비즈니스 관점에서는 현재와 동일한 모습을 유지하겠지만, 뒤의 두 그룹(Democratized 또는 Dual-Builder IT)은 현업 부서가 비즈니스를 전환하도록 돕는 진정한 비즈니스 가치 창출의 주역으로 거듭날 것이라고 분석했습니다. 이로 인해 IT 팀은 점차 더 작고 민첩해지며, 현업 비즈니스에 대한 이해도 그리고 지식과 기술/보안 전문성이 결합된 BusDevSecOps 형태로 진화할거라고 설명했습니다.
Jevons Paradox와 사이버 보안 인력의 재편
보안 리더들에게 주목해야 할 또 한가지는 AI 도입이 보안 전문가의 축소로 이어지지 않는다는 Gartner의 전망입니다. 전반적인 사이버 보안 전문가는 고용을 유지하거나 오히려 증원할 것으로 예측하고 있습니다. 특히 AI First 또는 Dual-Builder 조직의 경우 2030년까지 현재보다 25% 더 많은 IT 직원이 필요할 수 있다고 설명합니다.
이러한 현상의 원인은 특정 상품이나 작업의 비용이 내려가면 오히려 그 소비량이나 수행 빈도가 늘어난다는 ‘제번스의 역설(Jevons Paradox)’을 예로듭니다. Peter Firstbrook은 과거 종이 문서를 직접 서명해 돌려보던 시절과 현재의 이메일 환경을 비교했습니다. 이메일 도입으로 메시지 전달 비용은 크게 낮아졌지만, 역설적으로 사람들은 하루에 수 시간씩 이메일을 확인하는 데 시간을 쏟게 되었다라는 점입니다.
사이버 보안 역시 마찬가지입니다. AI 덕분에 Threat Hunting과 같은 작업을 쉽게 할 수 있게 되었더라도, 기존에 Threat Hunting과 같은 업무를 수행하지 않았던 조직이라면, 이는 보안 실무자가 추가해야할 업무가 된다는 내용입니다. 기존의 업무를 완전히 제거하지 않는 이상, 새로운 기능의 도입은 업무량 증가를 의미합니다. 따라서 AI의 생산성 향상에도 불구하고 사이버 보안 인적 구성은 증가되어야 하며, 이에 맞춰 Governance, IAM, SOC 등 각 영역에서 새로운 역량 확보를 위한 직무 재설계(Redesign)와 재교육(Reskilling)이 필수적이라고 설명합니다.
AI 시대, CISO가 직면한 4가지 핵심 보안 과제
Gartner는 CISO가 AI와 관련하여 고민하고 대비해야 할 영역을 다음 4가지로 명확히했습니다.
AI를 사용하는 직원의 보호 (Protect employees using AI)
직원들이 업무 효율성을 위해 개인 데스크톱에 자체적으로 AI 에이전트를 배포하기 시작하면서, 프롬프트 인젝션(Prompt Injection) 및 데이터 중독(Data Poisoning) 공격이 지속적인 위험 요소가 되고 있습니다.
이에 대응하기 위해 Secure Browser, AI Usage Control과 같은 새로운 보호 영역이 나타나고 있습니다. 이 도구들은 조직 내 AI가 사용되는 환경에서 악의적인 목적의 행동을 차단하는 런타임 보호 기능을 제공하게 됩니다. 또한 Data Security Posture Management를 통해 민감 데이터의 위치와 접근 권한을 철저히 관리해야되는 시기에 직면했습니다.
조직이 구축하는 AI 비즈니스 애플리케이션의 보호 (Protect business applications your organization builds)
현업 부서가 LLM을 활용해 자체 애플리케이션을 구축함에 따라, 개발 환경 내 코드의 보안을 실시간으로 돕는 AI 코드 보안 어시스턴트와, 공급망 및 위험 관리 등을 표준으로 관리하는 AI 거버넌스 플랫폼 또한 중요합니다. 여러 조직이 관련 정책을 확립 했다면서 다음 3가지를 안내했습니다.
개인적인 업무 영역에서의 LLM기반 AI 사용은 자유롭게 허용
전사적 애플리케이션(Salesforce 등) 연동 시에는 비즈니스, 보안, 개발자가 참여하는 전문 팀의 지원 필수
핵심 트랜잭션 시스템은 오직 IT 부서만이 접근 및 구축 가능하도록 제한
또한 이 과정에서 가장 중요한 것은 ‘소유자 책임 원칙(Owner Accountability Principle)’을 확립하는 것이라고 설명합니다. 기술과 AI를 주도적으로 도입한 비즈니스 소유자는 그로 인해 발생하는 사이버 보안 리스크에 대해서도 전적인 책임을 져야 합니다. 쉽게 말해 개인이 도입한 AI가 문제를 발생시켰다면, 그에 따른 책임은 사람이 져야 한다는 내용입니다.
사이버 보안 프로그램에 AI 혁신 활용 (Harness AI innovations in cybersecurity)
보안 조직 내부적으로도 AI를 활용한 혁신이 필요한데, 이를 테면 온프레미스 LLM에 보안 정책, 모바일 기기 사용 규정 등을 학습시켜 직원들이 챗봇으로 쉽게 보안 문서를 찾을 수 있게할 수도 있고, 나아가서 에이전트 AI를 탑재한 사이버 보안 어시스턴트를 활용해 보안 경고에 대한 사전 분석을 자동화하는 형태가 될 수도 있습니다.
Gartner는 장기적으로 다수의 개별 도구 위에서 데이터를 분석, 조사하거나 지침을 제공하는 ‘AI SOC 에이전트’가 등장할 것으로 예상하고 있습니다. 그러나 Gartner는 "완전히 자율적인 SOC는 결코 존재하지 않을 것"이라고 단언하며, AI 도입 시 궁극적으로 보안 프로그램의 성과 중심 지표(Outcome-driven metrics)를 어떻게 개선할 수 있을지가 중요하다고 거듭 강조했습니다.
AI 위협으로부터 조직 보호관점의 Shift Left와 CTEM (Protect your organization against emerging AI threats)
공격자들은 완전히 새로운 기법을 사용하기보다는, AI 에이전트를 활용해 기존의 공격 속도를 폭발적으로 가속화하고 있다고 설명합니다. 과거 조직들은 사고 발생 후 대응(Incident Response)을 위한 활동에 집중했지만, 이제는 경고가 발생하기 전 단계로 초점을 옮기는 ‘Shift Left'가 필수입니다. 공격자와 유사하게 어쩌면 더 뛰어난 자동화 도구를 사용해 사전에 취약점을 발견하고 문을 걸어 잠그는 CTEM은 향후 AI 공격 방어의 핵심 프레임워크가 될 것이라고, 지속적으로 이번 Gartner SRM Summit의 다양한 세션에서 언급됐습니다.
이와 더불어 체계적인 데이터 거버넌스와, 2030년 보안의 최전선이 될 ITDR (Identity Threat Detection & Response) 활동의 강화가 동반되어야 한다고 설명합니다. 특히 사람뿐만 아니라 Machine 및 Agent 자격 증명에 대한 강력한 거버넌스 투자가 시급하다고 전달합니다. 그 이유로 Day 1의 IAM을 다룬 세션에서 조직의 58% 이상이 손상된 Machine ID로 인해 실제 보안 사고를 경험한 사례가 있다고 설명했습니다.
2030년 CISO의 역할 비즈니스 Orchestrator
2030년을 향해 나아가며 사이버 보안 프로그램은 장기 계획보다 지속적이고 애자일한 계획 프로세스로 전환해야 하며, 정책을 보다 개방적으로 변화시켜 비즈니스 혁신의 걸림돌이 되지 않아야 합니다.
이러한 패러다임 전환 속에서 CISO의 역할은 완전히 새롭게 정의된다고 설명합니다.
구분 | 2026년 (현재) | 2030년 (미래) |
부서 성격 | 비용 센터 (Cost Center) | 비즈니스 가치 실현 (Value Enabler) |
주요 포커스 | 사고 관리자 (Cybersecurity manager) | 조직 회복력 (Organizational resilience) |
보안 철학 | 모든 침해의 예방 (Prevention) | 위기를 성장의 발판으로 삼는 회복력 (Anti-fragility) |
거버넌스 | 중앙 집중형 관리 및 책임 | 분산형 거버넌스 및 공유된 책임 |
핵심 정체성 | 관리자 (Manager) | 오케스트레이터 (Orchestrator) |
미래의 CISO는 불충분한 리소스로 모든 보안 리스크를 홀로 떠안는 위태로운 탑을 쌓아서는 안 된다고 설명하면서, 최고재무책임자가 비즈니스 부서에 재무 목표와 한계를 설정하고 연말에 감사를 진행하듯, CISO 역시 현업 비즈니스 부서와 기술 조력자들에게 명확한 가이드라인과 ‘소유자 책임’을 할당해야 한다고 언급했습니다. CISO가 모든 리스크를 짊어지는 형태가 아니라 사이버 보안 책임의 ‘분배자’이자 ‘조율자(Orchestrator)’가 되어야 한다고 강조합니다.
Conclusion
이번 Gartner SRM Summit이 던진 가장 핵심적인 질문은 기술 그 자체가 아닙니다.
“변화하는 환경 속에서 보안 리더십을 어떻게 현실적으로 재편할 것인가”에 대한 화두였습니다. Peter Firstbrook이 기조연설의 마지막을 장식하며 던진 메시지는, 실무로 복귀하는 보안 실무자들이 가슴속에 담아야 할 명확한 ‘지향점’이 무엇인지를 마지막으로 언급했습니다.
그는 현재 많은 CISO들이 ‘부족한 리소스로 모든 보안 위험을 혼자 떠안을 것인가, 아니면 현업 부서와 소통하며 책임과 소유권을 나누어 가질 것인가’라는 중요한 선택의 기로에 서 있다고 말했습니다. 특히 AI 도입으로 인해 발생하는 새로운 위험들까지 무조건 보안 조직이 도맡아 해결하려는 관성에서 벗어나야 한다고 조언하면서, 보안 조직은 철저히 ‘사이버 보안 위험’ 자체에 집중해야 한다고 강조했습니다. 이것으로 총 10편에 걸친 Gartner SRM Summit 현장 리포트 연재를 마칩니다.
이번 2026 Gartner SRM Summit을 통해 내린 결론은 명확합니다. AI로 인한 변화는 미래의 예측이 아니라, 지금 당장 받아들이고 대응해야 할 현실이라는 점입니다. 이처럼 예측하기 어려운 보안 환경 속에서도 기업들이 안전하게 비즈니스를 이어나갈 수 있도록, PAGO는 선제적이고 유연한 위협 대응을 돕는 든든한 보안 파트너로서 늘 함께하겠습니다. 총 10편의 현장 리포트에 관심 가져주셔서 감사합니다.
작성자: 권표 CPTO | DeepACT MDR Center
