AI 확산에 보안 판 바뀌었다… 기업들 ‘신뢰 인프라’ 구축 서두른다

인공지능(AI)이 사이버보안 환경을 빠르게 바꾸면서 기업들의 대응 방식도 달라지고 있다. AI 기반 보안 도구 도입은 늘고 있지만, 정작 AI가 만들어낼 새로운 위협에는 대부분의 조직이 제대로 대비하지 못하고 있다는 분석이 나왔다.

더큐브리서치(theCUBE Research)에 따르면 전체 조직의 70% 이상이 이미 AI 기반 보안 도구를 도입했다. 반면 AI 주도 위협에 준비돼 있다고 답한 곳은 10% 남짓에 그쳤다. AI 활용이 빨라질수록 단순한 보안 솔루션을 넘어 ‘신뢰 인프라’가 필수 요소로 떠오르고 있다는 의미다.

폴 나샤와티 더큐브리서치 수석 애널리스트는 “지능형 신뢰는 더 이상 보안 개념에 머무르지 않고 운영 프레임워크로 자리 잡고 있다”며 “디지서트가 공개키기반구조(PKI), 도메인네임시스템(DNS), 소프트웨어 무결성, 디바이스 ID를 하나의 통제 체계로 묶는 접근은 AI 중심 환경을 대규모로 보호하려는 기업에 필요한 방향”이라고 평가했다.

2026년엔 규제 업무 30%에 AI 내장… ‘실시간 검증’이 핵심

시장조사업계는 2026년까지 규제를 받는 업무의 30%, 비규제 환경의 최대 60%에 AI가 실제 운영 시스템 형태로 직접 탑재될 것으로 보고 있다. AI가 실험 단계를 지나 본격적인 ‘프로덕션’ 환경으로 이동하면서, 기업에는 기술 도입 속도보다 거버넌스와 검증 체계가 더 중요한 과제가 됐다.

크리스타 케이스 더큐브 수석 애널리스트는 “AI는 대부분의 조직이 통제 체계를 갖추는 속도보다 더 빠르게 운영 환경으로 들어가고 있다”며 “이제 핵심은 지속적인 검증이다. 기업은 AI 시스템이 무엇을 하고 있는지, 어떻게 작동하는지, 실시간으로 신뢰할 수 있는지를 파악해야 한다”고 설명했다.

이 같은 변화는 금융권에도 직접적인 영향을 미친다. 은행, 자본시장 기업, 보험사는 AI 시스템의 ‘정확성’뿐 아니라 ‘신뢰성’과 ‘설명 가능성’을 함께 검증해야 하기 때문이다. 디지서트 트러스트 서밋에서도 이런 과제를 중심으로 AI 운영 효율과 신뢰 확보 방안이 논의될 예정이다.

TLS 인증서 47일로 단축… 자동화 없으면 대응 어려워

AI 외에도 기업의 신뢰 인프라 구축을 압박하는 요인은 또 있다. CA/브라우저 포럼은 TLS 인증서 유효기간을 47일로 줄이는 방안을 공식 의결했다. 인증서 갱신 주기가 크게 짧아지면서 수작업 중심 관리 방식으로는 대응이 사실상 어려워졌다는 평가가 나온다.

나샤와티는 “양자내성암호 전환과 더 짧아진 인증서 주기가 운영 규율의 대전환을 강제하고 있다”며 “기업은 지금 당장 ‘암호 민첩성’을 확보해야 하며, 47일 인증서 체계는 PKI와 DNS 환경 전반에서 자동화와 가시성, 현대화를 앞당기고 있다”고 진단했다.

이는 단순한 기술 변경이 아니라 운영 체계 전반의 재설계를 요구하는 변화로 읽힌다. 인증서 관리, 키 교체, 신원 검증, 시스템 연동을 자동화하지 못하면 AI 기반 서비스 확장 과정에서 장애와 보안 공백이 동시에 커질 수 있어서다.

양자컴퓨터 위협도 가시화… 보안 업계, ‘Q-데이’ 대비 본격화

사이버보안 업계는 이른바 ‘Q-데이’ 가능성에도 주목하고 있다. Q-데이는 양자컴퓨터가 현재의 공개키 암호체계를 무력화할 수 있는 시점을 뜻한다. 아직 정확한 시점은 불확실하지만, 업계는 그 전에 암호 체계 전환 능력을 확보해야 한다는 데 무게를 두고 있다.

케이스는 “포스트 양자 보안은 원래 더 일찍 시작됐어야 할 논의를 앞당기고 있다”며 “여전히 많은 조직이 대규모 암호 환경을 관리할 가시성과 민첩성을 갖추지 못했다. 양자 기술은 이런 약점을 빠르게 드러낼 것”이라고 말했다.

결국 AI 확산, 짧아진 인증서 수명, 양자내성암호 전환 이슈는 하나의 방향으로 모인다. 기업이 앞으로 경쟁력을 유지하려면 보안 기능을 따로 덧붙이는 수준을 넘어, 신뢰 인프라를 디지털 운영의 중심에 놓아야 한다는 것이다. 업계는 앞으로 기업 보안의 승부처가 ‘탐지’보다 ‘신뢰를 얼마나 자동화하고 검증하느냐’로 옮겨갈 가능성에 주목하고 있다.