그런데 여기서 보안의 역설이 시작된다. IBM 기업가치연구소 분석에 따르면 오늘날 글로벌 기업은 평균적으로 29개 벤더에서 도입한 83개의 보안 솔루션을 관리하고 있다. 그리고 보안팀의 절반 이상이 이러한 파편화가 오히려 실제 위협 대응 능력을 제한한다고 말하고 있다. 도구를 더 쌓을수록 관리해야 할 대상은 늘어나고 경보는 급증하며 정작 실제 위협을 가려내는 데 더 많은 시간이 소요되는 구조가 고착화하고 있는 것이다. 보안을 강화하기 위해 도입한 도구들이 보안팀 자체를 취약하게 만들고 있는 것이다. 이는 전략의 부재가 아니라 구조적 취약성이다.
지난달 칼럼에서 다뤘듯 AI는 이미 보안 공격의 라이프사이클 전체를 운영하는 플랫폼으로 진화했다. 사람의 개입 없이 스스로 판단하고 움직이는 자율형 공격 에이전트가 실전에 투입되고 있으며 AI 기반 공격이 기업 네트워크 전체를 장악하는 데 한 시간도 채 걸리지 않는 사례가 이미 보고되고 있다. 2028년까지 운영 중인 AI 에이전트가 13억 개에 달할 것이라는 전망도 나오는데 자동화된 프로세스, 서비스 계정, AI 기반 에이전트까지 각자의 권한을 갖고 시스템 안에서 행동하는 이 비인간 신원(Non-human Identity)에 사람과 동일한 수준의 보안 원칙이 적용되지 않는 한 방어의 빈틈은 이미 열려 있는 것과 다름없다. 공격자는 AI로 무장했는데 방어자가 여전히 사람의 판단 속도에 기댄 운영 모델에 머물러 있다면 그 격차는 시간이 갈수록 벌어질 수밖에 없다.
결국 보안의 미래는 AI를 막는 것이 아니라 AI로 지키는 것이다. 복수의 AI 에이전트가 위협 탐지, 경보 분석, 위험 평가, 조사 계획 수립, 대응 실행을 각 단계별로 담당하고 오케스트레이션 엔진이 전체 위협 생애주기를 통합 조율하는 자율 관제 운영 체계가 글로벌 보안업계가 주목하는 방향이다. 많은 양의 반복적인 판단은 AI가 하고 보안 전문가는 실제로 중요한 고위험 판단에만 집중할 수 있도록 역할을 재배치하는 변화가 필요함을 의미한다. CTEM이 노출을 지속적으로 관리하는 프레임 워크라면 그것을 실행하는 힘은 바로 이 자율화한 AI 관제 운영 체계에서 나와야 한다. 이것은 단순한 자동화가 아니라 자율화이며 그 차이는 운영의 본질을 바꾼다.
보안의 역설은 기술이 아니라 사람에게서 시작된다. 더 많이 막으려 할수록 더 취약해지는 이 구조적 문제를 먼저 인식하는 조직이 다음 시대의 보안 경쟁력을 갖출 수 있다. 이 전환의 첫 번째 대상은 방화벽이나 백신이 아니라 보안팀 그 자체다.
