인공지능(AI)의 도입이 가속화되면서 보안 책임자(CISO)들은 전통적 위협에 대한 대응력은 높아졌지만, AI 신원(AI Identity)이라는 새로운 영역에 대한 준비는 여전히 부족한 것으로 나타났다.

클라우드 네이티브 제로 트러스트 접근 제어 기업 포트녹스(Portnox)가 웨이크필드 리서치(Wakefield Research)와 함께 진행한 연례 ‘CISO 사이버 보안 동향 조사’ 보고서를 발표했다. 이번 조사는 미국 내 200명의 CISO를 대상으로 실시됐으며, 조직의 보안 리더십 신뢰도, 위협 대응 수준, AI 보안 대비 현황을 분석했다.

결과에 따르면 CISO의 자신감은 커졌지만, AI 기반 행위자(Agent) 관리에 대한 전략적 공백이 드러났다.

포트녹스(Portnox)의 CEO 데니 르콩트(Denny LeCompte)는 “CISO들은 전통적 위험에는 덜 불안하지만, AI가 만들어내는 새로운 위험에는 준비가 되어 있지 않다.”며 “AI 신원은 관리되지 않은 위협으로, 보안 프레임워크가 이를 포괄하도록 진화해야 한다.”고 강조했다.

전통적 위협 대응력 강화, 신뢰도 상승

조사에 따르면 CISO들은 지난해보다 위협 대응에 대한 자신감을 크게 회복했다. 보안 침해 발생 시 직무 상실을 우려하는 비율은 2024년 77%에서 55%로 감소했으며, 보안 사고 자체에 대한 극심한 우려도 86%에서 62%로 줄었다. 이는 공격 방어 체계의 고도화와 위기 대응 역량이 개선된 결과로 분석된다.

사이버보험 관련 부담도 완화됐다. 보험료 절감을 위해 지속적으로 보안 도구를 재평가하는 기업의 비율이 지난해 68%에서 올해 40%로 낮아졌고, 공급망 공격(58%→43%) 및 내부자 위협(51%→34%)에 대한 보험 보장 혼란도 줄었다. 포트녹스는 이러한 변화가 제로 트러스트 아키텍처 확산과 클라우드 기반 접근 제어의 발전 덕분이라고 설명했다.

AI 신원, 대비 안 된 ‘새로운 공격면’

긍정적인 흐름과 달리 AI 보안 영역에서는 심각한 대비 부족이 드러났다. 응답자 중 78%는 제로 트러스트 보안 체계 내에서 ‘AI 신원’을 관리할 공식 전략이 없다고 답했다. 여기에는 데이터에 접근하거나 전송하는 자율 AI 에이전트, 봇, 머신 기반 행위자가 포함된다.

AI의 빠른 확산은 새로운 업무 부담으로 이어질 것으로 보인다. CISO의 78%는 AI 관련 보안 위험과 취약성으로 인해 ‘AI 보안 전담 업무’가 상당히 증가할 것으로 예상했다. 웨이크필드 리서치의 네이선 리히터 수석 파트너는 “AI가 새로운 위협 벡터를 만들고 있으며, CISO들은 이를 관리하기 위한 ID 기반 보안 체계를 시급히 재정의해야 한다”고 말했다.

포트녹스는 이번 조사가 2026년 사이버 보안의 핵심 과제를 명확히 보여준다고 밝혔다. AI가 비즈니스 전반에 통합되는 가운데, 조직은 ‘인간과 AI 신원을 통합적으로 보호하는 접근 제어 체계’를 마련하지 않으면 신뢰 기반의 보안 체계가 무너질 수 있다고 경고했다.

르콩트 CEO는 “비밀번호 없는 인증과 클라우드 기반 접근 제어가 확산되며 보안의 효율성이 높아지고 있지만, AI 신원은 전혀 다른 위협 양상을 가진다”며 “AI 보안 리스크를 관리하기 위한 ID 중심 제로 트러스트 전략이 필수적”이라고 강조했다.