AI & 보안 산업
생성형 인공지능(AI)이 화이트칼라 직무를 흔든 순서에는 분명한 규칙이 있다. 그 규칙을 보안 산업에 대입하면, 어떤 영역이 가장 먼저 무너지고 어떤 영역이 끝까지 버티는지가 또렷하게 보인다.
생성형 AI가 본격적으로 확산되면서 가장 먼저, 가장 깊게 타격을 받은 화이트칼라 직군으로는 흔히 세 가지가 꼽힌다. 번역, 디자인, 그리고 법률 문서 검토다. 이 진단은 단순한 인상이 아니라 노동시장 연구로도 뒷받침된다. 마이크로소프트(Microsoft)가 2025년에 내놓은 직업별 생성형 AI 적용 가능성 연구에서 번역가와 통역사는 적용 가능성이 가장 높은 직군으로 분류됐고, 한 대형 프리랜서 플랫폼을 분석한 연구에서는 글쓰기와 번역 같은 대체 가능 업무의 수요가 기준선 대비 20-50% 감소한 것으로 나타났다. 법률 분야에서도 계약서 초안 작성, 문서 요약, 판례 분석 같은 반복 업무가 빠르게 자동화되고 있다.
왜 하필 이 세 직군이 먼저였을까. 표면적으로는 전혀 다른 일처럼 보이지만, 세 직군은 작업의 구조가 거의 같다. 그리고 이 공통 구조가 바로 AI가 일을 대체하는 속도를 결정하는 핵심 변수다.
번역, 디자인, 법률 검토를 한자리에 놓고 보면 세 가지 공통점이 드러난다.
첫째, 전문 지식이 필요하다. 아무나 외국어 문서를 옮기거나, 시각 디자인을 만들거나, 법 조항을 해석할 수는 없다. 진입 장벽이 분명히 존재한다.
둘째, 그 전문 지식이 패턴화되어 있다. 실제 현장의 디자인 작업은 검증된 몇 가지 구도와 기법을 변형해 반복하는 경우가 많고, 법률 검토도 기존 판례와 정형화된 해석 틀 위에서 움직인다. 번역 역시 어휘와 문형 단위로 보면 거대한 패턴의 집합이다. 전문성은 있되, 그 전문성이 재현 가능한 규칙으로 환원된다.
셋째, 대량의 반복 노동을 수반한다. 세 직군 모두 결과물의 분량 자체가 많고, 그 분량을 채우는 과정이 고된 단순 반복이다. 흔히 말하는 손이 많이 가는 일이다.
이 세 조건이 동시에 충족될 때, 일은 AI가 가장 빠르게, 가장 싸게 대체할 수 있는 형태가 된다. 진입 장벽이 있어 인건비가 비싸지만, 그 안에서 하는 일은 정해진 패턴을 대량으로 반복하는 작업이기 때문이다. 거꾸로 말하면, 비싼 인건비를 들여 사람이 패턴을 반복하던 자리일수록 AI로 갈아끼울 경제적 유인이 크다.
들어가기는 까다롭지만, 일단 들어가면 정해진 동작을 끝없이 반복하는 일을 떠올려 보자. 면허가 필요한 단순 사무처럼, 자격은 어렵고 작업은 단조롭다. 바로 이 조합이 AI가 노리는 지점이다. 자격이 없어 그동안 비싸게 사람을 써야 했지만, 막상 그 사람이 하는 일은 기계가 흉내 내기 좋은 반복이기 때문이다.
이 세 가지 조건을 보안 산업에 그대로 대입해 보면, 가장 먼저 흔들릴 영역이 곧바로 지목된다. 모의해킹, 곧 침투 테스트(Penetration Testing)다. 모의해킹은 실제 공격자가 하듯 시스템과 웹 서비스의 취약점을 직접 찾아 뚫어 보고, 그 결과를 보고서로 정리해 기업에 전달하는 일이다. 방어가 제대로 작동하는지 공격 쪽 시각에서 점검하는 보안의 핵심 업무 중 하나다.
이 일을 세 조건에 비춰 보자. 취약점을 찾고 익스플로잇을 다루려면 전문 지식이 필요하다. 첫 번째 조건이 충족된다. 그런데 공격의 상당 부분은 OWASP(Open Worldwide Application Security Project) Top 10처럼 잘 정리된 취약점 목록 위에서 이뤄진다. 점검해야 할 항목이 표준화되어 있다는 뜻이다. 두 번째 조건도 충족된다. 마지막으로, 자산을 일일이 식별하고 항목별로 점검하며 보고서를 채우는 과정은 전형적인 대량 반복 노동이다. 세 번째 조건까지 그대로 들어맞는다. 모의해킹은 번역, 디자인, 법률 검토와 작업 구조가 사실상 같다.
모의해킹과 번역은 겉모습만 다를 뿐 뼈대가 같다. 번역가가 어려운 자격을 갖춘 뒤 정해진 어휘와 문형을 대량으로 옮기듯, 침투 시험자는 전문 자격을 갖춘 뒤 표준화된 취약점 목록을 대상별로 반복해 확인한다. 번역이 AI에 먼저 흔들렸다면, 같은 구조의 모의해킹이 보안에서 같은 운명을 맞는 것은 이상한 일이 아니다.
이는 전망이 아니라 이미 진행 중인 현실이다. 2025년에는 한 자율 공격 도구가 미국의 대표적인 버그바운티 플랫폼 순위에서 수천 명의 인간 해커를 제치고 1위에 오르며 화제가 됐다. 여러 AI 에이전트가 병렬로 취약점을 발견하고 검증하고 익스플로잇까지 수행하는 방식이었다. 또 다른 도구는 기업 내부망의 핵심인 액티브 디렉터리(Active Directory) 침투 벤치마크를 약 15분 만에 돌파했다. 사람이 며칠씩 매달리던 작업이 자동화된 셈이다. 침투 테스트 시장은 2025년 기준 약 25억-30억 달러 규모로 추산되며 연 12-16% 성장하는데, 그 성장의 상당 부분이 이런 자율형 도구로 옮겨가고 있다. 일부 업계 분석은 2027년 무렵이면 수작업 침투 테스트가 일부 까다로운 문제에 한정된 틈새 서비스로 축소될 것이라고 본다.
다만 모의해킹 전체가 한꺼번에 사라지는 것은 아니다. 충격은 숙련도에 따라 매우 불균등하게 떨어진다. 먼저 짚어둘 사실이 있다. 체크리스트를 기계적으로 따라가는 수준의 공격은 이미 잘 통하지 않는다. 웹 방어가 단단해졌고, 널리 쓰이는 개발 프레임워크는 기본적인 공격을 처음부터 막아내며, 웹 방화벽 같은 방어 계층도 두꺼워졌다. 그 결과 모의해킹 안에서 고수와 하수의 실력 격차가 이미 크게 벌어진 상태다.
이 지형 위에 AI가 들어오면 충격은 가운데로 쏠린다. 한쪽 끝의 초고수는 거의 영향을 받지 않는다. 정형화되지 않은 환경에서 창의적으로 공격 경로를 엮어내는 일은 표준 패턴의 반복이 아니어서, AI가 대신하기 어렵다. 반대로 표준 점검을 정해진 절차대로 수행하던 중간 숙련층, 특히 경력 10년 이하의 실무진이 가장 큰 타격을 받는다. 이들이 인건비를 들여 며칠에서 몇 주씩 수행하던 작업을, 비슷한 수준으로 더 싸게 자동화할 수 있기 때문이다.
번역에서도 같은 일이 벌어졌다. 문체와 맥락을 새로 빚어내는 최정상 문학 번역가는 자리를 지켰지만, 정형 문서를 빠르게 옮기던 중간층 번역가의 일감은 빠르게 줄었다. 보안에서도 똑같다. 사라지는 것은 직업 그 자체가 아니라, 직업 안에서 패턴을 반복하던 중간 구간이다.
취약점을 찾아내는 일이라고 해서 모두 같은 운명은 아니다. 공격 표면 관리(ASM, Attack Surface Management)가 대표적인 반례다. ASM은 한 조직이 인터넷에 노출하고 있는 모든 자산, 곧 잊힌 테스트 서버나 방치된 클라우드 자원, 그림자 IT까지 끊임없이 찾아내고 그 위험을 추적하는 분야다. 모의해킹이 특정 표적을 깊게 파고드는 일이라면, ASM은 노출면 전체를 넓게 훑는 일에 가깝다.
여기서 운명을 가르는 것은 분야가 아니라 사업 모델이다. 핵심 분기는 사람을 들여 기업마다 맞춤형으로 돌리던 인력 중심 서비스인가, 아니면 탐지와 자산 발견, 보고를 이미 기계가 자동으로 수행하는 제품화된 솔루션인가에 있다.
인력에 기대 운영하던 서비스는 모의해킹과 마찬가지로 타격을 피하기 어렵다. 반면 이미 AI로 자산 탐지와 위험 우선순위 산정, 고객 맞춤 리포팅을 자동화해 둔 제품형 사업자에게는 오히려 기회에 가깝다. 핵심 기능이 처음부터 기계로 돌아가고 있었으므로, AI의 확산은 기존 제품을 한층 고도화하는 방향으로 흡수된다. 회사가 휘청일 만한 충격이라기보다 제품 경쟁력의 연장선에 놓이는 것이다.
시장 흐름도 이 방향과 맞물린다. ASM은 주기적 스캔에 의존하던 1세대에서, 지속적인 자동 발견과 위험 점수화를 도입한 2세대를 거쳐, 발견한 노출을 실제 검증한 뒤에야 경보를 띄우는 3세대로 진화해 왔다. 시장은 2030년까지 연 30%를 넘는 성장률이 전망되고, 2026년 들어 대형 보안 플랫폼이 ASM 역량을 인수해 흡수하는 통합 움직임도 나타났다. 이는 ASM이 별개의 도구를 넘어 지속 위협 노출 관리(CTEM, Continuous Threat Exposure Management)라는 더 큰 틀의 일부로 자리 잡고 있음을 보여준다.
정리하면 — 흔들리는 것은 탐지라는 기능이 아니라 인력 중심 운영 모델이다. 같은 영역 안에서도 사람을 갈아 넣어 돌리던 곳은 위태롭고, 일찌감치 자동화로 제품을 만들어 둔 곳은 충격을 기회로 바꾼다.
보안 관제는 결이 또 다르다. 보안 관제 센터(SOC, Security Operations Center)는 기업 시스템에서 쏟아지는 경보를 실시간으로 지켜보며 위협을 가려내고 대응하는, 방어의 최전선이다. 같은 보안 인력이고 전문성이 필요하며 반복 작업도 분명히 존재한다. 그렇다면 보안 관제도 모의해킹처럼 빠르게 흔들릴까. 단기적으로는 그렇지 않고, 장기적으로는 그렇다고 보는 편이 정확하다.
단기적 방어막의 정체는 업무의 비정형성이다. 모의해킹은 표적이 정해지면 그 표적만 독립적으로 파고드는, 잘 규격화된 작업이다. 반면 보안 관제는 업무 범위가 훨씬 넓다. 정형화된 경보 분류만 하는 것이 아니라, 행정 업무와 운영 업무를 처리하고, 현장의 질의에 답하며, 어떻게 대응해야 할지조차 분명하지 않은 모호한 문제들까지 떠안는다. 게다가 그 구성은 조직마다 제각각이다. 정해진 입력에 정해진 출력이 대응하지 않는, 맥락 의존적이고 비정형적인 일이 두텁게 섞여 있어 AI가 한 번에 통째로 감당하기 어렵다.
그러나 장기 추세는 또렷하다. 보안 관제의 1차 대응(Tier-1) 영역, 곧 경보를 받아 맥락을 채우고 우선순위를 매겨 분류하는 정형 업무는 이미 자동화가 빠르게 진행되고 있다. 한 업계 전망은 2026년까지 AI가 1차 경보의 90% 이상을 자동으로 처리하거나 상위 단계로 넘길 것으로 봤다. 시장조사기관 가트너(Gartner)는 2028년까지 1차 분석가 업무의 50% 이상이 자동화되고, 위협 탐지와 대응에서 여러 AI 에이전트를 함께 쓰는 비중이 5%에서 70%로 뛸 것으로 전망했다. 이미 보안팀의 81%가 시범 운영 단계를 넘어 실제 에이전트 배치로 이동했다는 조사도 있다.
그 귀결은 직업의 소멸이 아니라 역할의 이동이다. 사람의 일은 경보를 일일이 처리하는 분석가에서, 자동화된 판단을 감독하고 검증하며 정형 업무 너머의 신종 위협을 사냥하는 쪽으로 옮겨간다. 새로운 위협, 사업적 맥락, 전략적 판단, 이해관계자와의 소통은 여전히 사람의 영역으로 남는다.
세 영역을 한자리에 놓으면 충격의 순서를 가르는 변수가 분명해진다. 첫째는 작업이 독립적이고 규격화되어 있는가, 아니면 비정형적이고 맥락에 의존하는가다. 규격화될수록 먼저, 비정형일수록 나중에 흔들린다. 둘째는 사람을 들여 돌리는 인력 중심 모델인가, 처음부터 자동화된 제품 중심 모델인가다. 인력 중심일수록 위태롭고, 제품 중심일수록 충격을 기회로 흡수한다. 셋째는 숙련의 양극화다. 어느 영역이든 최상위 전문가와 신규 진입 사이의 넓은 중간 숙련층이 가장 취약하다.
여기서 한 가지 오해를 짚어둘 필요가 있다. 이 변화는 보안 인력이 필요 없어진다는 뜻이 아니다. 정보보안 분석가 수요는 오히려 늘어날 것으로 전망되고, 전 세계적으로 보안 인력은 여전히 크게 부족하다. 사라지는 것은 직업이 아니라, 직업 안에서 패턴을 반복하던 작업이다. 그 작업에 머물러 있으면 AI에 밀리고, 그 위로 올라가 AI를 도구로 부리는 쪽으로 옮겨가면 오히려 더 적은 인원이 더 많은 일을 해낸다.