화면이 열두 개입니다. 대시보드마다 빨간 알림이 깜빡이고, 어제 새로 깔린 솔루션은 또 다른 경고창을 띄웁니다. 보안 담당자의 책상은 매년 도구가 하나씩 늘어요. 엔드포인트 탐지, 침입 차단, 위협 인텔리전스, 클라우드 보안, 그리고 올해는 AI 기반 탐지까지.
그렇게 도구를 쌓으면 회사는 더 안전해졌을까요. 데이터는 정반대를 말합니다. 도구의 개수와 안전은 따로 놉니다. 오늘은 그 어긋남을 들여다보려고 합니다.
보안에 돈이 이렇게 몰린 적이 없습니다
먼저 돈의 흐름부터 봅시다. AI와 보안이 만나는 지점으로 자본이 쏠립니다.
2026년 1분기, 글로벌 사이버보안 스타트업이 49억 달러의 투자를 유치했습니다. 그리고 그 대부분이 AI 관련 기술을 가진 회사에 몰렸어요. AI는 같은 분기 전체 벤처투자의 80%를 빨아들이며 사상 최고치를 경신했고요.
한국도 다르지 않습니다. 국내 기업의 72%가 AI 기반 사이버보안 솔루션을 도입했거나 실험 중이라고 답했어요. 정부도 AI에 막대한 예산(2026년 9.9조 원)을 쏟아붓고요.
논리는 단순해요. AI를 쓴 공격이 늘어나니, AI로 막겠다는 거죠. “AI 공격은 AI로 방어한다.” 금융당국이 내건 구호이기도 합니다. 이만큼 돈과 도구를 쏟아부었으니, 우리는 더 안전해져야 마땅합니다.
그런데 뚫리는 건 역대 최고입니다
여기서 통념이 깨집니다.
과학기술정보통신부와 한국인터넷진흥원(KISA)의 집계에 따르면, 2025년 국내 침해사고 신고는 2,383건이었어요. 2024년(1,887건)보다 26.3% 늘었고, 2023년(1,277건)과 비교하면 86.6% 급증한 수치입니다. 역대 가장 많은 사이버 침해사고가 일어난 해였습니다. 통신, 유통, 금융처럼 국민 생활에 밀접한 분야에서 피해가 터졌습니다.
도구는 매년 느는데, 뚫리는 것도 매년 늡니다. 왜일까요.
물론 침해가 느는 데는 공격이 더 빠르고 정교해진 탓이 큽니다. AI를 손에 쥔 공격자가 늘었으니까요. 다만 분명한 건, 도구를 아무리 늘려도 그 증가세가 잡히지 않았다는 점입니다. 오히려 도구가 너무 많다는 사실 자체가 또 다른 문제가 됩니다. 보안업계에서는 이걸 ‘도구 과잉(tool sprawl)’이라고 불러요.
한 조사에서 기업은 평균 83개의 보안 솔루션을 29개 벤더에서 끌어다 쓰는 것으로 나타났습니다. 그런데 조직의 65%는 도구가 너무 많다고 답했고, 53%는 그 도구들을 서로 연결할 수 없다고 했어요.
도구가 많아질수록 화면도, 경고도, 사각지대도 함께 늘어요. 신호 하나하나는 사소해 보이는데, 그걸 꿰어 하나의 공격으로 읽어낼 사람이 없으면 공격자는 그 틈으로 들어옵니다. 도구가 많다고 안전한 게 아닙니다. 때로는 그 반대죠.
도구는 쌓이는데, 사람은 떠납니다
두 번째 역설입니다. 도구를 다룰 사람이 사라지고 있어요.
세계 최대 규모의 보안 인력 조사를 보죠. 국제 비영리기구 ISC2가 16,029명의 보안 전문가에게 물었더니, 72%가 “보안 인력을 줄이면 침해 가능성이 높아진다”고 답했습니다. 95%는 자기 팀에 최소 하나 이상의 기술 격차가 있다고 했어요. 더 중요한 변화가 있습니다. 이제 보안 현장의 위기는 ‘사람 수’가 아니라 ‘다룰 줄 아는 사람’의 문제로 옮겨갔어요. 도구는 샀는데, 그 도구를 제대로 운용할 전문성이 없습니다.
그런데 한국에서는 이 문제가 훨씬 날카롭게 드러납니다.
국내에서 발생하는 모든 사이버 보안 사고에 대응해야 하는 기관이 KISA예요. 그 KISA가 사람이 없어 허덕입니다. 지난해 말 이사회에서 이상중 KISA 원장은 “정보보안 이슈가 매해 늘어나는데 인재유출은 계속되고 있다”고 토로했어요.
KISA 정규직은 2022년 523명에서 2024년에도 523명으로 제자리예요. 채용한 만큼 그대로 빠져나간다는 뜻입니다. 사이버침해대응 인력은 2023년에 5명, 2024년에는 정기와 수시 채용을 다 합쳐도 단 2명만 뽑았어요.
이유는 돈입니다. KISA의 임금은 일반 기업의 60% 수준이에요. 고급 보안 인력이 글로벌 보안기업 대신 KISA를 택할 이유가 없죠. KISA가 모든 기업의 사고를 직접 막아주는 건 아닙니다. 하지만 국가 보안의 최전선조차 사람을 못 붙잡는다면, 그건 한국 보안 인력난의 축소판이에요. 예산도 인지도도 부족한 중소기업은 말할 것도 없습니다. 실제로 국내 침해사고의 상당수가 보안 투자 여력이 부족한 중소·중견기업에 집중돼 있어요.
막으려고 들인 AI가 새 문을 엽니다
세 번째 역설은 가장 얄궂습니다. 막으려고 들여온 AI가, 막아야 할 새 구멍을 만들어요.
구글 클라우드는 2026년 사이버보안 전망에서 AI를 활용한 공격이 ‘새로운 표준’으로 자리 잡을 것이라고 진단했습니다. 그러면서 직원들이 회사 몰래 쓰는 AI, 이른바 ‘섀도우 AI’가 데이터 유출과 규정 위반으로 이어질 수 있다고 경고했어요.
직원들이 회사 승인 없이 끌어다 쓰는 AI가 통제 밖에서 작동하며 새로운 사각지대를 만든다는 경고도 잇따릅니다. 회사 시스템에 연결된 AI에 악의적 명령을 몰래 심는 ‘프롬프트 인젝션’은 이미 기업 운영의 치명적 취약점으로 떠올랐고요.
여기서 묘한 그림이 그려집니다. 회사는 AI 보안 도구를 사들이는 동시에, 직원들은 또 다른 AI를 몰래 들여와 새로운 구멍을 냅니다. 막을 도구는 늘고, 막아야 할 표면도 늘어요. 그 사이에서 정작 둘 다 감당할 사람은 줄어듭니다.
이 풍경, 어디서 본 것 같지 않나요. 에이릿이 앞서 다룬 ‘AI를 몰래 쓰는 직원’ 이야기와 정확히 같은 구조예요. AI 정책이 불명확하니 직원은 눈치껏 AI를 쓰고, 조직은 그 실태를 보지 못합니다.
“82%”라는 공포는 누가 파나요
잠깐, 앞에서 한 가지를 일부러 미뤄뒀어요. 요즘 자주 인용되는 숫자 하나가 있습니다. “국내 기업의 82%가 보안 침해를 겪었고, 그 비율이 3년째 같다.” 무서운 수치죠.
그런데 이 숫자의 출처를 따라가 보면 결이 달라집니다. 이 82%는 글로벌 보안 기업 포티넷이 펴낸 보고서에서 나왔어요. 한국 부분은 지난해 12월 IT·보안 의사결정권자 60명을 대상으로 한 설문입니다. 표본이 60명이에요. 그리고 이 조사를 발주한 곳은, 다름 아닌 보안 솔루션을 파는 회사입니다.
한 가지 더 짚고 갈게요. 이 82%는 설문에 답한 기업 가운데 침해를 겪은 비율이고, 3년째 비슷한 수준입니다. 반면 앞서 본 침해사고 신고 건수는 실제로 역대 최고로 늘었어요. 하나는 설문으로 잡은 경험률, 다른 하나는 정부가 집계한 신고 실측이라 잣대가 다릅니다. ‘정체’와 ‘폭증’이 동시에 사실인 셈이에요.
위기를 측정한 주체와 그 위기의 해법을 파는 주체가 같다면, 우리는 한 번 멈춰 서야 해요. 무서운 통계가 나오고, 언론이 받아쓰고, 기업은 다시 도구를 삽니다. 도구를 파는 쪽에 가장 유리한 순환이죠.
그렇다고 이 조사가 거짓이라는 건 아니에요. 흥미롭게도, 벤더가 만든 통계조차 결국 사람을 가리킵니다. 같은 조사에서 AI 보안 도구가 실질적 도움이 된다는 응답은 68%로, 1년 전(88%)보다 20%포인트 떨어졌어요. 그리고 AI 도입의 가장 큰 과제로 ‘AI 전문 인력 부족’과 ‘AI 위험을 이해하고 관리하기 어려움’이 나란히 1위에 올랐습니다.
도구를 파는 회사의 설문에서도, 정작 부족한 건 도구가 아니라 사람이라고 말합니다.
도구는 자산, 사람은 비용이라는 착각
그렇다면 왜 모두가 도구만 살까요. 답은 회계장부에 있습니다.
새 보안 솔루션을 도입하는 건 눈에 보이는 성과예요. 품의서에 적기 좋고, 자산으로 남고, “우리도 AI 보안을 도입했다”는 발표거리가 됩니다. 반면 사람을 뽑고 키우는 건 매달 나가는 비용이에요. 줄이고 싶은 항목이죠.
그래서 위기가 닥치면 도구를 사고, 비용을 줄여야 하면 사람을 내보냅니다. 도구는 자산으로, 사람은 비용으로 적히는 장부가 보안의 우선순위를 거꾸로 세웁니다.
정책은 어떨까요. 적어도 방향은 움직입니다. 금융당국은 지난달 ‘고성능 AI 관련 금융권 보안위협 대응방안’을 내놓고, 6월 1일 학계와 법조계 전문가 7명으로 민간 기술자문단을 발족했어요. 금융보안원에는 ‘금융AI 보안 연구소’를 신설하기로 했습니다. 거버넌스와 인력 양성으로 가는 건 옳은 방향이에요.
그런데 바로 그 정부가, 일선 대응 기관 KISA의 직원은 임금 60%로 붙잡지 못합니다. 제도와 연구소는 눈에 보이고, 매일 사고를 막는 사람은 안 보여요. 도구를 사는 결정도, 제도를 세우는 발표도 화려한데, 정작 그 모든 걸 굴리는 사람은 늘 예산의 마지막 줄에 있습니다.
결국 누가 이득이고, 누가 안 보이는가의 문제예요. 도구를 파는 쪽은 위기가 커질수록 이득을 봅니다. 안 보이는 건 화면 열두 개 앞에서 알림에 파묻힌 담당자, 그리고 임금 60%를 받고 떠나는 사람들이고요.
다음에 어느 회사가 “AI 보안 솔루션을 도입했다”고 발표하면, 딱 한 가지만 물어보세요. 그 도구를 운용할 사람은, 함께 뽑았나요?
FAQ
보안에 돈과 AI 도구를 사상 최고로 투입하는데도 침해사고는 오히려 늘어나는 현상입니다. 도구는 쌓이지만 그것을 다룰 인력이 부족하고, 방어용으로 들인 AI가 섀도우 AI 같은 새로운 공격 표면을 만들기 때문이에요.
꼭 그렇지 않습니다. 기업은 평균 83개의 보안 솔루션을 쓰지만, 65%는 도구가 너무 많다고, 53%는 도구를 서로 연결할 수 없다고 답했어요. 도구가 늘수록 화면과 경고, 사각지대도 함께 늘어 오히려 위험해질 수 있습니다. 이를 ‘도구 과잉(tool sprawl)’이라고 부릅니다.
네. 과기정통부와 KISA 집계에 따르면 2025년 침해사고 신고는 2,383건으로, 2023년(1,277건) 대비 86.6% 늘어 역대 최고를 기록했습니다.
국제기구 ISC2의 16,029명 대상 조사에서 72%가 보안 인력 감축이 침해 가능성을 높인다고, 95%가 자기 팀에 기술 격차가 있다고 답했습니다. 한국에서는 국가 대응기관 KISA조차 정규직이 2년째 제자리고, 임금이 일반 기업의 60% 수준이라 인재가 빠져나가고 있어요.
직원이 회사의 승인 없이 몰래 쓰는 AI를 말합니다. 회사 통제 밖에서 작동하기 때문에 데이터 유출과 규정 위반의 통로가 될 수 있고, 보안팀이 그 사용 실태를 보지 못해 사각지대가 됩니다.
맥락을 봐야 합니다. 이 수치는 보안 솔루션을 파는 기업이 발주한 보고서에서 나왔고, 한국 부분은 60명 설문에 기반합니다. 위기를 측정한 주체와 해법을 파는 주체가 같다는 점을 감안해 해석할 필요가 있어요.
AiLit에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.
