?? ???? ??? ??? ?? ??? ???? ???? ???? ????? ???? ??? ??. ?? ?? ?? ????? ????? ???? ????? ??? ????? ? ??. Credit: Golden Dayz / Shutterstock 조직의 사이버 보안 성숙도와 회복탄력성에 있어 보안 임원진과 실무진 사이에 뚜렷한 인식 차이가 존재하는 것으로 나타났다. 의 최근 보고서에 따르면 조직의 공격 표면이 확대되고 있지만, CISO는 중간 관리자급보다 리스크를 관리할 수 있는 역량에 대해 더 자신감을 보였다. CISO의 45%가 자신감을 보인 반면, 중간 관리자급은 이 비율이 19%에 그쳤다. 다크트레이스(Darktrace)의 ‘’ 보고서 역시 AI 기반 위협에 대응할 조직의 역량에 대해 보안 실무진이 보안 임원보다 신뢰도가 낮다(49% 대 62%)고 분석했다. 다크트레이스 보고서는 “신뢰도의 차이는 리더와 현장 실무진 간의 단절을 보여주는 증거”라며 “일선에서 AI 기반 공격자와 매일 맞서고 있는 실무진은 현재 솔루션이 어떤 한계를 드러내고 있는지 누구보다 잘 알고 있다”라고 설명했다. 침투 테스트 전문 기업 코발트(Cobalt)의 CTO 귄터 올만은 “이 같은 단절은 보안 조직에서 흔히 나타나는 현상이며, 보안 우선순위를 정렬하는 데 어려움을 초래할 수 있다”라고 말했다. 올만은 “매일 다양한 공격 유형을 직접 마주하는 ‘현장 최전선’의 실무진과, 그로부터 거리가 있는 임원진 사이에는 오래전부터 인식의 단절이 존재해 왔다. 현장 보안 인력은 끊임없는 경보 피로와 결코 끝나지 않는 일상적 스트레스에 시달리며, 이런 환경은 전체적인 보안 전략을 조망하기 어렵게 한다”라고 지적했다. 한편 사이버보안 교육 플랫폼 시큐어플래그(SecureFlag)의 기술 전문가 니코렛 클라킨은 “보안 임원진이 일상적인 사이버 보안 업무와 동떨어져 있다 보니 현장에서 발생하는 문제들이 간과될 수 있다”라고 말했다. 클라킨은 “임원진은 주로 요약된 보고서나 대시보드 지표에 의존하는 반면, 실무진은 커버리지의 한계, 낡은 시스템, 경보 피로 등 일상적인 문제를 직면한다. 이런 문제는 이사회 회의에서 거의 논의되지 않기 때문에 리더십에 잘못된 보안 인식을 심어주고, 보안 개발, 위협 모델링, 기술 역량과 같은 핵심 영역에 대한 과소투자로 이어질 수 있다”라고 분석했다. 반면 원 아이덴티티(One Identity)의 글로벌 IAM 전략 수석부사장 래리 친스키는 “중간 관리자들은 보안 프레임워크를 구성하는 실제 도구들을 직접 다루기 때문에 조직의 보안 상태에 대해 항상 더 많이 우려한다”라고 진단했다. CISO와 현장 보안 실무진 간의 격차는 준비 상태 인식 수준과 실제 대응 역량 사이의 간극을 만들 수 있다. 이는 흔히 다음과 같은 문제로 이어진다. 우선순위 왜곡: 사이버보안 기업 아크로니스(Acronis TRU)의 수석 보안 연구원 산티아고 폰티롤리는 “보안 투자가 종종 탐지 엔지니어링, 사고 대응, 위협 억제와 같은 핵심 역량보다 가시성 확보나 규제 준수에 우선순위를 둘 수 있다”라고 말했다. 대응 지연: 폰티롤리에 따르면 AI 기반 위협은 더 빠르고 지능적인 방어 체계를 요구하지만, 리스크를 과소 평가하다 보니 이나 자동화 같은 핵심 업그레이드가 자주 연기되고 있다. 효력 없는 구현: 보안 도구가 적절한 통합이나 교육 없이 배포되면 그 효력이 제한되고 운영상의 혼란을 가중시킬 수 있다. 네트워크 보안 관리 기업 파이어몬(FireMon)의 국제사업 수석부사장 데이비드 브라운은 “보안 임원은 최근 사고가 없었다는 이유만으로 정책과 통제 체계가 잘 작동한다고 가정하는 경향이 있지만, 실무진은 그 이면을 더 잘 알고 있다. 실제로는 시간이 지날수록 기술 부채, 정책 난립, 설정 불일치가 누적되는 현실을 실무진은 명확히 인식하고 있다”라고 말했다. 종종 오해되는 AI 기반 위협 임원진은 주로 고차원의 컴플라이언스 지표나 벤더의 보장에 근거해 보안에 대한 자신감을 갖는다. 반면 보안 엔지니어와 분석가 등 현장 실무진은 의 복잡하고 빠르게 진화하는 실체를 직접 목격하고 있다. 사이버 리스크 관리 기업 놈사이버(NormCyber)의 CTO 폴 크래그는 “다크트레이스의 최근 연구는 이러한 인식 차이를 부각시킨다. 고위 리더들은 조직의 대비 태세를 과대평가하는 경향이 있는 반면, 현장 실무진은 훨씬 더 신중하게 평가한다”라고 말했다. 실제로 AI의 발전은 기존에 시간과 비용이 많이 들었던 공격 작업을 자동화할 수 있게 하며, 성공 가능성을 높이고 있다. 크라우드소싱 기반 사이버보안 기업 인티그리티(Intigriti)의 최고 해커 책임자 인티 드 쾨켈레어는 “현장 실무진은 일반적으로 이런 변화를 가장 먼저 인식한다. 애초에 임원진도 공격 가능성에 대한 평가를 실무진에 의존하고 있기 때문”이라고 말했다. 공격자들은 이미 해 피싱, 사칭, 랜섬웨어 전술을 대규모로 전개하고 있다. 동시에 직원의 이 보안 통제나 정책, 가시성 없이 AI 도구를 비공식적으로 사용하고 있다. 아이반티(Ivanti) 네트워크 보안 그룹의 수석부사장 마이크 리머는 “이른바 ‘섀도우 AI’는 관리되지 않는 도구와 데이터 흐름을 조직 내부로 유입시켜 위협 범위를 급격히 확장시킨다”라며 “특히 노후화되거나 고립된 보안 통제 시스템과 결합될 경우 기존 보안 체계를 쉽게 우회하게 만든다”라고 지적했다. AI 기반 위협의 진화 속도가 너무 빨라 보안 현장에서는 기존의 정책과 리스크 평가 체계로는 대응이 어려운 상황이다. 브라운은 “리더들은 정기적인 업데이트에 안심할 수 있지만, 실무진은 실시간 대응이 요구되는 끊임없이 변화하는 위협 환경을 체감하고 있다”라고 설명했다. AI 관련 위협에 대한 인식 격차는 조직 내 보이지 않는 사각지대를 만들고, 그 안에서 리스크가 잠재적으로 늘어나게 된다. 리더십이 보안 태세를 실제보다 낙관할 경우, 필수적인 투자가 지연되거나 잘못된 방향으로 이뤄질 수 있다. 브라운은 “조직은 꼭 필요한 권한만 부여하는 방식으로 보안 아키텍처를 재설계하고, 정책 집행을 자동화하며 통제 체계를 지속적으로 검증해야 한다. 이미 수작업으로 관리하기 어려운 정책이라면 AI 기반 위협은 그 체계를 완전히 무력화시킬 수 있다”라고 경고했다. 가시성과 맥락의 중요성 포스카우트(Forescout)의 보안 인텔리전스 부사장 릭 퍼거슨은 “이 같은 인식 괴리의 상당 부분은 가시성과 맥락이라는 측면에서 비롯된다. 조직 내 역할에 따라 보안 태세를 해석하는 방식이 다르기 때문”이라고 언급했다. 퍼거슨은 “예를 들어 SOC 분석가는 한 종류의 데이터를, 보안 관리자는 다른 데이터를, CISO는 또 다른 데이터를 본다. 이 데이터는 각자의 역할과 책임, 사용하는 도구, 조직 내 우선순위에 따라 달라진다. 전달 과정에서 데이터는 요약되거나 재구성되고, 중요도나 시간 압박에 따라 선별적으로 강조되면서 메시지가 왜곡될 수 있다”라고 설명했다. 이런 과정은 결국 동일한 데이터에 대한 서로 다른 해석으로 이어지며, 조직의 실제 보안 성숙도나 리스크 노출 수준에 대한 오해와 보안 우선순위의 불일치를 낳을 수 있다. 또한 GRC 인터내셔널 그룹(GRC International Group)의 정보보안 관리자 아담 시먼스는 CISO의 조직 내 이 높아지고 역할로 재편되면서 이런 단절이 더 심화되고 있을 수 있다고 지적했다. 시먼스는 “많은 CISO가 기술 책임자에서 비즈니스 리더로 역할을 전환해 왔다. 문제는 이 과정에서 운영 현장의 세부 사항과 점점 멀어지게 된다는 점”이라고 말했다. 그는 “이로 인해 경영진이 인식하는 보안 상황과 현장에서 실제로 벌어지는 일 사이에 일종의 ‘해석 격차’가 생긴다”라고 설명했다. 공통된 지표의 부재 리스크와 보안 태세에 대한 공통된 인식이 없으면 전략이 분산되고, 그 결과 의사결정 속도가 느려지거나 특정 영역에 과잉 또는 과소 투자로 이어질 수 있다. 이는 결국 공격자가 파고들 수 있는 사각지대를 만든다. 포스카우트의 퍼거슨은 “이 격차를 해소하려면 보안 데이터를 전달하고 맥락화하는 방식을 개선하는 일부터 시작해야 한다. 보안 도구는 필터링된 정보를 상위 단계로 전달하는 대신 동일한 기초 데이터를 각 역할에 맞게 제시할 수 있어야 한다”라고 말했다. 가령 SOC 분석가는 기술 세부 정보를 필요로 하지만, CISO는 비즈니스 영향 수준과 관련된 맥락을 요구할 수 있다. 퍼거슨은 “도구가 의미를 훼손하지 않으면서 각 역할에 맞는 맥락을 제공할 수 있다면 왜곡을 줄이고 공동의 이해를 높이는 데 유용할 것”이라고 설명했다. 일부 전문가는 도구 고도화와 내부 소통 개선이 맞물리면서 보안 인식 격차가 점차 좁혀지고 있다고 봤다. 원 아이덴티티의 친스키는 “CISO는 팀과 더 긴밀히 협력하고, 정기적으로 소통하며 최신 기술을 적극적으로 활용해 보안 태세의 취약 지점을 함께 파악해야 한다”라고 조언했다. 또한 그는 “최근 기업의 공격 표면이 크게 확장되면서 CISO의 현장 개입이 훨씬 깊어지고 있다. 이들이 보안 태세 강화를 위해 새로운 도구를 도입함에 따라 인식 격차가 크게 줄어들 가능성이 있다”라고 전망했다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????