시큐리티팩트
사이버·AI 인재 부족, 안보 위협으로 비화… "하이브리드형 전문가 중요"
AI 속도에 금융·의료 시스템 위험 노출…거버넌스·기술 겸비한 '실무자'가 핵심
댓글 0
기사입력
: 2025.11.19 11:01
[시큐리티팩트=최석윤 기자] 전 세계적인 사이버보안 전문가 부족 현상이 단순한 인력난을 넘어 국가 안보와 기업 회복력을 저해하는 전략적 취약점으로 진화하고 있다고 18일(현지 시각) 인포시큐리티 매거진이 보도했다. AI의 안전한 배포도 발목이 잡혔다.
아무리 진보된 기술과 자금이 투입되어도, 이를 운영할 숙련된 실무자가 없으면 시스템은 스스로 무너진다. 사이버 및 AI 시스템은 본질적으로 사회기술적 특성을 갖는다. 도구는 스스로를 방어할 수 없다. 위협을 해석하고 안전장치를 검증하며, 생애주기 전반에 걸쳐 책임을 집행할 수 있는 '인간'이 필수적이다.
거버넌스와 기술을 잇는 하이브리드 인재 부재
오늘날 가장 가치 있는 전문가들은 단순히 기술만 아는 고립된 전문가가 아니다. 하이브리드 실무자가 핵심이다.
이들은 거버넌스, 위험, 준수(GRC)에 능숙하면서도, 기술적으로는 모델을 검증하고, 적대적 테스트를 수행하며, 데이터 출처를 추적할 수 있는 깊이를 갖춰야 한다. 이러한 프로필은 설명 가능성, 편향 모니터링, 견고성이 기본이 되는 AI 거버넌스와 회복력을 가능하게 한다. AI 안전의 기초를 놓는 역할이다.
하지만 조직의 채용 관행은 여전히 불균형을 벗어나지 못하고 있다. 채우기 어려운 직무만 광고된다. 공석이 장기화되면서 중요한 AI 도입은 통제 없이 급속하게 진행된다.
이로 인해 체계적인 맹점이 발생한다. 모델이 검증되는 속도보다 실행 속도가 빨라지면서 금융 시스템, 의료 서비스, 중요 인프라에 연쇄적인 위험이 초래된다. 시스템 전체의 회복력이 약화된다.
기업들, 사이버보안 직무 전문성 간과
이러한 문제는 기업 기능 전반의 잘못된 가정들로 인해 더욱 심화되고 있다. 인사팀은 사이버보안 직무를 일반 IT 직무와 상호 교환 가능한 것으로 간주한다. 전문성을 간과하는 것이다.
법률팀은 책임 집행을 계약 조항에만 의존한다. 조달팀은 공급업체 인증이 내부 역량과 동일하다고 착각한다. 이러한 가정들은 취약점을 키운다.
결국 겉으로만 준수하는 듯 보이는 거버넌스 프레임워크가 남는다. 명확히 정의된 역할과 검증 가능한 역량이 부재하여 AI 위험 관리는 분산되고 비효율적이다. 인간 감독이 사라진 결과다.
AI, 위험을 담고 있는 회복력 엔진
AI는 조직의 회복력을 강화하고 위협 탐지 및 운영 효율성을 높이는 잠재력을 지닌다. 결정 속도를 높여준다.
그러나 견고한 거버넌스가 없으면 AI는 새로운 취약점을 도입하고 기존 위험을 증폭시키는 '양날의 검'이 된다. AI 도입은 강력한 거버넌스를 통해야 한다.
가장 시급한 우려 중 하나는 데이터 오염이다. 악의적 행위자가 학습 데이터를 조작하면 출력물의 무결성이 손상되어 보안 침해를 초래할 수 있다. 모델의 결정이 위험해진다.
또한, AI 시스템의 '블랙박스' 특성은 감사와 책임성 확보를 어렵게 만든다. 결론 도출 과정이 불투명해진다. 낮은 데이터 품질과 편향된 알고리즘은 오탐을 유발하여 귀중한 인적 자원을 낭비시킨다. 기술 신뢰도가 떨어진다.
"효과적인 거버넌스를 통해 적절히 활용될 때, AI는 위협 벡터에서 비할 데 없는 회복력 엔진으로 변모합니다."
AI는 반복적이고 시간이 오래 걸리는 작업을 자동화함으로써 인간 전문가들이 전략적 활동에 집중하도록 돕는다. 인간 지능을 보완하는 역할을 한다. 이는 조직의 민첩성을 크게 향상시킬 수 있다.
궁극적으로 조직 회복력에서 AI의 미래는 이를 뒷받침하는 거버넌스 구조의 강점에 달려 있다. 신중한 거버넌스 투자가 필요하다.
역할 명료화와 인재 내재화, 시스템 구축이 답
이 인재 위기를 해결하려면 일회성 채용이 아닌 '시스템 구축'이 필요하다. 체계적 개입이 절실하다.
규제 당국은 검증 가능한 AI를 요구한다. 이는 검증된 모델 리뷰, 편향 테스트 로그, 적대적 테스트 결과 등으로 입증되어야 한다. '눈 가리고 아웅'은 통하지 않는다.
공급업체 인증서는 실제 작업에 서명하고 잔여 위험에 책임을 지는 지정된 개인을 대체할 수 없다. 계약은 지식 이전 의무를 포함해야 한다. 공급업체 의존을 심화시키는 것이 아니라 내부 역량을 강화해야 한다.
인력 개발은 실제 역량을 인증하는 결과 기반의 자격에 우선순위를 두어야 한다. 견습 제도나 지역 교육 허브는 주권 역량을 확장하는 데 기여한다. 수행적 준수에서 근거 기반 책임으로 전환해야 한다.
책임성은 라이프사이클 체크포인트에 매핑된 모듈식 역할을 통해 일상 운영에 내재되어야 한다.
사이버보안 엔지니어: 안전한 설계 검토 및 배포 전 위험 평가 수행.
정보 보안 분석가: 데이터 분류 감독 및 접근 통제 집행.
위협 인텔리전스 전문가: 적대적 전술 분석 및 실행 가능한 정보 제공.
레드팀 전문가: 적대적 시뮬레이션으로 탐지 및 대응 능력 검증.
SOC 분석가: 경고 모니터링 및 사고 대응 프로토콜 집행.
이러한 역할들은 사이버보안이 단순한 기술적 안전장치가 아니라 AI 라이프사이클 전반에 걸친 '구조적이고 책임 있는 학문'이 되도록 보장한다. 모듈형 팀 구성이 핵심이다.
"기업들은 단순히 더 많은 도구를 구매하는 데 집중하지 말고, 사내 인재를 육성하는 데 집중해야 합니다."
기업은 기존 직원을 위한 재교육 프로그램을 개발하고, 적응력과 비판적 사고 같은 소프트 스킬을 우선시해야 한다. 인간과 AI가 협력하는 팀 모델 개발이 중요하다. 중요한 의사결정은 "인간 최종적(human-final)"으로 설계되어야 한다.
정부는 교육 파이프라인을 재조정하고, 규제 당국은 준수 논리에 인간의 감독 증거를 내재화해야 한다. 인재는 비용이 아니라 국가 안보의 중추다. 진정한 회복력은 인재 개발을 국가 전략에 내재화하는 체계적 개입에서 비롯된다.
