칼럼 | 미토스가 던진 질문, CISO들이 이사회에 꺼내야 할 진짜 답

새로운 AI 기술이 세간의 관심을 끌 때마다 이사회와 경영진 회의에서는 늘 비슷한 장면이 반복된다. 새로운 기술은 곧 공격자에게 강력한 무기가 될 혁신으로 소개되고, 논의는 빠르게 최악의 시나리오로 흘러간다. 이어 보안 책임자들은 어김없이 같은 질문을 받는다.

‘이전에는 없던 새로운 위험에 갑자기 노출된 것인가?’

필자의 대답은 대체로 ‘아니다’이다.

대부분의 조직에서 더 큰 문제는 미토스 같은 최첨단 AI 모델이 하루아침에 새로운 위험 범주를 만들어낸다는 점이 아니다. 오히려 이러한 모델은 사이버 보안의 공격과 방어 모두에서 업무 속도를 높일 수 있다. 공격자는 더 빠르게 공격을 수행할 수 있고, 방어자는 오랫동안 방치돼 온 취약점을 더 신속하게 찾아 우선순위를 정하고 해결할 수 있다.

그래서 필자는 미토스를 사이렌(siren)이 아니라 신호(signal)로 본다. 이는 사이버 공격과 방어의 경제성이 변화하고 있음을 알리는 신호일 뿐, 보안의 기본 원칙이 더 이상 중요하지 않다는 의미는 아니다. 오히려 그 반대다. 자산을 명확하게 파악하고, 체계적인 패치 관리와 강력한 ID 통제, 복원력 있는 운영 체계를 갖춘 조직일수록 앞으로 AI가 어떤 변화를 가져오더라도 훨씬 유연하게 대응할 수 있다.

이러한 관점이 중요한 이유는 최근 발생한 침해 사고 역시 익숙한 실패 지점을 보여주기 때문이다. 버라이즌의 ‘2025 데이터 침해 조사 보고서(Data Breach Investigations Report)’에 따르면 자격 증명 탈취와 취약점 악용은 여전히 조직이 침해되는 주요 원인으로 꼽히며, 특히 취약점 악용 사례는 계속 증가하고 있다. 다시 말해 기업 내부로 침투하는 경로는 대부분 보안팀이 이미 잘 알고 있는 취약점에서 시작된다.

진짜 문제는 여전히 ‘기본’

필자의 경험상 많은 조직이 겪는 문제는 전략의 부재가 아니라 실행력 부족이다. 보안 리더는 기본 원칙을 알고 있고, 실무팀도 알고 있으며, 감사기관과 규제기관, 이사회 역시 이를 잘 알고 있다. 문제는 하이브리드 환경, 노후 시스템, 클라우드 플랫폼, 원격 근무 환경, 복잡한 서드파티 생태계 전반에서 이러한 기본 원칙을 일관되게 유지하는 일이다.

이 때문에 AI가 보안 통제의 우선순위를 근본적으로 바꿀 것이라는 전망에는 신중한 입장이다. 대부분의 성공적인 침해 사고는 여전히 이미 알려진 취약점에서 시작된다. 단지 적절히 조치되지 않았거나, 우선순위가 잘못 설정됐거나, 애초에 존재조차 파악하지 못했던 취약점일 뿐이다. 인터넷에 노출된 미패치 시스템, 잘못 구성된 ID 관리 체계, 과도한 권한, 미흡한 네트워크 분리, 수년간 검토되지 않은 서비스 계정, 그리고 일시적 예외로 시작했지만 어느새 영구화된 핵심 업무 예외 등이 대표적이다.

필자는 보안 프로그램이 최신 위협에 지나치게 집중하면서 추진력을 잃는 사례를 여러 차례 봤다. 기존 통제 공백은 그대로 둔 채 새로운 활용 사례에만 예산을 투입하고, 책임 체계와 운영 프로세스, 관리 체계를 바로잡기보다 새로운 보안 도구부터 도입한다. 또한 사이버 보안 성숙도를 운영 모델이 아닌 개별 프로젝트의 집합으로 바라본다. 이러한 접근은 최첨단 AI 이전에도 위험했으며, 이러한 모델이 공격자의 공격 속도를 더욱 앞당긴다면 그 위험은 한층 커질 것이다.

대부분의 기업에서 미토스가 가져오는 변화가 있다면 그것은 기본 보안을 제대로 갖춰야 할 시급성을 높인다는 점이다. 대응 지연에 따른 비용은 커지고, 누적된 보안 부채의 대가는 더욱 무거워진다. 자산을 정확히 파악하고, 취약점 결과를 체계적으로 정리하며, 알고 있는 문제와 실제 해결된 문제 사이의 격차를 줄이는 데 어려움을 겪는 조직에는 더 큰 부담이 될 수 있다.

이러한 변화는 업무의 우선순위를 정하는 방식도 바꿔야 한다. 많은 조직에서는 인프라 팀, 보안 운영팀, ID 관리팀, 클라우드팀, 애플리케이션팀이 각각 일부 영역만 담당하다 보니 취약점 백로그가 계속 쌓인다. 전체 위험을 통합적으로 바라보는 시각이 사라지는 것이다. 그래서 많은 조직이 바쁘게 움직이고 있음에도 실제 보안 수준은 크게 향상되지 않는다. 개별 문제는 해결하지만 공격자가 실제 악용하는 취약점의 조합은 꾸준히 줄이지 못하고 있다.

결론은 단순하다. 경영진은 미토스가 완전히 새로운 위협 모델을 만들어낸다고 가정하기 전에 먼저 더 근본적인 질문을 던져야 한다.

‘공격자가 한눈에 알아차릴 만큼 우리가 여전히 취약한 부분은 어디인가?’

필자의 경험상 이 질문이 AI가 앞으로 무엇을 할지에 대한 추측성 논의보다 훨씬 솔직하고 생산적인 대화를 이끌어낸다.

AI로 기본 보안 공백 메워라

미토스를 바라보는 보다 생산적인 접근은 최첨단 AI가 지금 당장 방어 역량을 어디에서 높일 수 있는지를 고민하는 것이다. 이는 보안 분석가를 AI로 대체하거나 중요한 의사결정을 감독 없이 AI 모델에 맡기자는 의미가 아니다. 보안팀이 오래전부터 문제를 인식하고 있었지만 시간과 인력이 부족해 지속적으로 해결하지 못했던 과제를 AI로 해결하자는 뜻이다.

대표적인 사례가 ID 관리다. 미국 국립표준기술연구소(NIST)는 ID 및 접근 관리(IAM)를 사이버 보안의 핵심 역량으로 규정하고 있다. 대부분의 CISO도 이에 동의할 것이다. 하지만 실제 ID 환경에는 중첩된 그룹, 상속된 권한, 장기간 방치된 계정, 일관성 없는 역할 정의, 업무상 필요가 사라졌는데도 그대로 유지되는 특권 권한 등 다양한 문제가 누적돼 있다. 이러한 문제는 보이지 않아서가 아니라 실시간으로 전체를 종합 분석하기 어렵기 때문에 해결이 쉽지 않다.

바로 이 지점에서 AI가 가치를 발휘할 수 있다. 디렉터리, 클라우드 제어 영역(control plane), 티켓 시스템, 로그, 정책 저장소 등에 흩어진 관계를 연계 분석하고, 비정상적인 접근 권한 조합을 찾아내며, 공격 가능성이 높은 경로를 식별할 수 있다. 또한 단순히 경고(Alert) 개수를 기준으로 하는 것이 아니라 비즈니스 영향도를 고려해 해결 우선순위를 제시할 수 있다. AI의 장점은 경고를 더 많이 만들어내는 것이 아니라 상황을 더 빠르게 이해하도록 돕는 데 있다.

같은 원리는 취약점 및 패치 관리에도 적용된다. 대부분의 기업은 이미 취약점 스캐너와 티켓 시스템, 대시보드를 갖추고 있다. 하지만 실제로 부족한 것은 취약점 악용 가능성, 노출 수준, 보완 통제, 자산 중요도를 종합적으로 고려해 어떤 취약점을 먼저 해결해야 하는지 일관되게 판단하는 체계다. 최첨단 AI는 방대한 취약점 목록을 실제 위험을 줄이는 핵심 조치 목록으로 압축하는 데 도움을 줄 수 있다.

구성 관리와 탐지 엔지니어링에서도 활용 가능성은 크다. 보안팀은 여러 시스템에 흩어진 단편적인 데이터를 처리하느라 어려움을 겪고 있다. AI는 다양한 출처의 데이터를 표준화하고, 구성 변경 사항을 탐지하며, 서로 무관해 보이는 신호를 연결해 실제 운영 위험을 보다 현실적으로 보여줄 수 있다. 특히 인력이 부족한 조직에서는 이러한 기능의 가치가 더욱 크다. 스프레드시트 정리나 중복 경고 처리, 단절된 업무 프로세스를 연결하는 데 시간을 쓰기보다 실제 위험을 줄이는 데 더 많은 시간을 투입할 수 있기 때문이다.

물론 그렇다고 숙련된 보안 전문가의 필요성이 사라지는 것은 아니다. AI는 전문가를 대체하는 것이 아니라 더 큰 생산성을 제공하는 도구다. 보안 분야는 노출되는 위험의 규모가 가용 인력보다 훨씬 빠르게 늘어나는 만큼 이러한 생산성 향상은 매우 중요하다.

중요한 점은 AI 모델에 모든 권한을 맡기자는 것이 아니라는 것이다. AI는 분석 속도를 높이고, 우선순위 결정을 개선하며, 오랫동안 해결하지 못했던 보안 통제의 공백을 메우는 데 활용해야 한다. 다시 말해 가장 큰 기회는 미래형 보안을 보여주기 위한 ‘보안 쇼(Security Theater)’를 만드는 것이 아니라, 기업이 지속 가능한 속도로 보안의 기본 원칙을 실제 운영에 정착시키는 데 있다.

이사회는 ‘공포’가 아니라 ‘복원력’을 논의해야

미토스가 가져와야 할 가장 중요한 변화는 기술적인 변화가 아닐 수도 있다. 오히려 CISO가 이사회와 CEO, 경영진과 대화하는 방식을 바꾸는 계기가 되어야 한다.

새로운 기술이 등장할 때마다 보안 리더는 공포를 바탕으로 한 수동적인 논의에 끌려가는 경우가 많다. 새로운 공격 수단이 등장했으니 예산을 더 확보해야 하고, 새로운 플랫폼을 도입해야 하며, 긴급 예외를 추가로 승인해야 한다는 논리다. 물론 그런 경우도 있다. 하지만 대부분은 그렇지 않다. 오히려 새로운 기술을 기존 위험 관리 우선순위와 연결하고, 다양한 위협 시나리오에서 조직의 복원력을 높이는 투자라는 점을 강조하는 편이 훨씬 효과적인 대응이다.

필자는 AI 기반 사이버 위험을 경영진과 논의할 때 항상 세 가지 원칙을 중심에 둔다.

  1. 대부분의 사이버 피해는 여전히 예방 가능한 취약점에서 비롯된다. 반가운 사실은 아니지만 충분히 대응할 수 있는 문제다.
  2. ID 관리, 자산 거버넌스, 체계적인 패치 관리, 서드파티 관리, 사고 대응 역량을 강화하는 것은 특정 위협에만 대응하는 것이 아니라 장기적인 보안 경쟁력을 높이는 투자다.
  3. 복잡한 환경을 가장 잘 관리하는 조직이 대개 가장 극적으로 반응하는 조직보다 더 뛰어난 성과를 낸다.

이러한 관점은 이사회가 더 나은 질문을 던지도록 만든다. ‘미토스에 어떻게 대응하고 있는가?’를 묻기보다 ‘AI가 현재 우리의 어떤 취약점을 더 위험하게 만들거나 더 쉽게 악용하도록 만들 수 있는가?’를 물어야 한다. 특정 솔루션 도입 여부를 확인하기보다 보안 조직과 IT 운영 조직이 가장 위험도가 높은 취약점 개선 작업에 함께 집중하고 있는지를 살펴봐야 한다. 또한 단순히 얼마나 많은 일을 했는지가 아니라 보안 부채가 실제로 줄어들고 있는지를 평가해야 한다.

CISO에게 이는 중요한 기회다. 미토스를 또 한 번의 공포를 정당화하는 명분으로 활용할 수도 있고, 위험 관리 논의의 수준을 한 단계 끌어올리는 계기로 삼을 수도 있다. 필자는 어느 쪽이 더 나은 선택인지는 분명하다고 생각한다. 지금의 관심을 계기로 보안의 기본 원칙을 더욱 강화하고, AI를 활용해 우선순위 결정을 개선하며, 수십 년 동안 공격자들이 악용해 온 만성적인 보안 통제 실패를 줄여야 한다.

그래서 필자는 미토스를 과잉 대응을 요구하는 사이렌으로 보지 않는다. AI 시대를 가장 잘 준비한 기업은 보안 리더들이 오랫동안 강조해 온 원칙, 즉 복원력은 화려한 대응이나 일시적인 임기응변이 아니라 규율 있는 실행을 통해 구축된다는 사실을 실제 운영에 정착시킨 조직이라는 점을 보여주는 신호로 본다.
dl-ciokorea@foundryco.com