소프트웨어 개발 전반에서 생성AI 도입이 확산되면서, 개발 속도는 빨라졌지만 보안은 그 속도를 따라가지 못하는 격차가 커지고 있다. 특히 대규모 언어 모델(LLM)과 코드 자동 생성 도구가 개발 프로세스에 본격적으로 활용됨에 따라, 보안 위협은 정교해지고 대응 체계는 더 복잡해지고 있다. 이에 따라 거버넌스, 보안 교육, 조직 문화 등 다양한 측면에서의 변화가 요구되고 있다.

애플리케이션 보안 교육 기업인 시큐리티 저니(Security Journey)는 이러한 흐름 속에서 발생하는 보안 과제와 이를 극복하기 위한 조직 차원의 대응 전략을 제시하는 보고서 ‘AI 보안 격차 해소’를 발표했다. 이 보고서는 AI 기술 도입이 소프트웨어 보안에 미치는 영향을 다양한 각도에서 조망하고 있다.

생성AI 도입 가속과 보안 대응 간 불균형

시큐리티 저니는 보고서에서 생성AI를 활용한 소프트웨어 개발이 빠르게 확산되면서, 보안 팀과 개발자 간의 역할 및 책임 배분의 변화가 일어나고 있음을 지적했다. 특히 AI 기반 코드 생성 툴을 사용하는 개발자들이 그에 따른 보안 위협을 충분히 이해하지 못하거나, 기업 내부의 보안 가이드라인 없이 AI를 활용하는 경우가 많아 섀도우 AI 활용에 따른 위협이 증가하고 있다고 밝혔다.

보고서에 참여한 보안 전문가들은 실제로 AI가 소프트웨어 라이프사이클 전반에서 중대한 영향을 미치고 있음에도 불구하고, 이를 보호할 정책이나 인프라가 여전히 미비하다는 점에 주목했다. 이들은 개발자가 보안을 고려하지 않은 채 AI 생성 코드를 도입하는 일이 잦아지고 있다고 분석했다.

조직의 대응 과제: 거버넌스, 교육, 문화적 전환

보고서는 생성AI와 같은 기술을 안전하게 도입하기 위해 조직이 수행해야 할 구체적인 전략을 다섯 가지 핵심 영역으로 제시했다.

첫째, 거버넌스는 현실을 반영해야 한다고 강조했다. 많은 기업들이 내부 AI 정책을 수립하고 있으나, 실제 개발 현장에서의 기술 활용 방식과 괴리가 커 정책이 실효성을 갖기 어렵다는 점을 지적했다. 이로 인해 섀도우 AI 사용이 늘어나고 위험은 오히려 증가한다고 설명했다.

둘째, 개발자에 대한 지원 확대가 필요하다고 강조했다. AI 도구는 개발자에게 더 많은 의사결정 권한을 부여하지만, 그에 상응하는 보안 역량을 갖춘 인재는 부족하다는 점에서 사전 예방적 교육이 절실하다고 밝혔다.

셋째, 보안 문화를 기술 발전에 맞춰 재정립할 필요가 있다고 지적했다. 보안이 일회성 활동이 아닌 일상 업무로 자연스럽게 통합될 수 있도록, 조직 내부에서 명확한 원칙과 지지 구조가 마련돼야 한다고 설명했다.

넷째, AI는 개발 역량의 양극화를 심화시키고 있다고 분석했다. 생성AI 도구에 대한 과도한 의존은 신입 개발자들의 경험 축적 기회를 감소시키며, 장기적인 전문성 단절의 우려를 키우고 있다고 밝혔다.

다섯째, 당분간 보안은 더 나빠질 수 있다는 점을 경고했다. 위협 행위자들은 이미 AI 생성 코드의 취약점을 악용하고 있으며, 이에 대한 기업들의 대응은 아직 미흡하다는 것이다. 이에 따라 향후 일정 기간 동안 보안 사고가 증가할 수 있으며, 철저한 테스트와 교육 강화가 필요하다고 밝혔다.

시큐리티 저니의 앱섹 어드보케이트(AppSec Advocate) 더스틴 레어(Dustin Lehr)는 “이것은 도구의 문제가 아니라 사람의 문제다”고 말하며, 기술 도입과 병행한 문화적·교육적 개선의 필요성을 강조했다. 그는 “AI는 소프트웨어 개발 방식을 빠르게 바꾸고 있지만, 보안 책임은 여전히 개발자에게 있다. 정책만으로는 부족하며, 조직은 교육, 지원, 문화를 포함한 포괄적 접근이 필요하다”고 말했다.

이어 그는 “이 보고서는 단순히 문제를 지적하는 것이 아니라, 현실적인 해결 로드맵을 제시한다”며, 조직이 AI 기술을 안전하게 활용하기 위한 실행 전략 마련의 필요성을 재차 강조했다.

시큐리티 저니는 이번 보고서를 통해 기술의 발전 속도에 맞는 보안 대응 체계 마련을 촉구하고 있다. AI 기술이 기존의 보안 프레임워크를 빠르게 무력화할 수 있는 잠재력을 갖고 있는 만큼, 개발자와 보안 조직, 경영진이 모두 참여하는 전방위적인 대응이 요구된다고 밝혔다. 또한 AI 기반 개발 시대에 보안 문화는 선택이 아닌 필수이며, 교육을 통한 체계적인 보안 내재화가 궁극적인 해법임을 강조했다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.