Fastly의 글로벌 보안 연구 보고서와 AI 보안 격차: 혁신이 방어보다 빠르게 성장할 때

사무실 속 섀도우 AI: 아무도 통제하지 못하는 엄청난 보안 위험

사이버 보안 업체 패스트리(Fastly)의 연구 결과가 큰 화제를 모으고 있습니다. 독일, 오스트리아, 스위스(DACH) 지역에서 피해액 급증과 수개월에 걸친 시스템 다운 등 심각한 수치를 제시하며 경고음을 울리고 있는 것입니다. 하지만 이러한 암울한 시나리오 중 얼마나 많은 부분이 정당한 경고이고, 얼마나 많은 부분이 이러한 공포심을 이용해 막대한 이익을 얻는 기업의 교묘한 마케팅 전략일까요? 공포심을 조장하는 이 홍보 전략의 이면을 비판적으로 살펴보면, 진정한 위험은 AI 기술 자체에 있는 것이 아닙니다. 오히려 사무실 내 무분별하게 확산되는 '섀도우 AI', 숙련된 인력의 심각한 부족, 그리고 포괄적인 거버넌스 체계 없이도 혁신을 안전하게 추진할 수 있다는 잘못된 인식이 더 큰 문제입니다. AI에 대한 과도한 열광 뒤에 숨겨진 진정한 취약점을 냉철하게 평가해야 할 때입니다.

가장 큰 소리로 경고하는 사람들이 소화기를 판다 - Fastly 연구에 대한 비판적 분석과 AI 우선주의 열풍 이면에 숨겨진 진짜 약점

인공지능(AI) 혁명으로 경제의 디지털화는 새로운 차원으로 가속화되고 있습니다. AI를 핵심 프로세스와 비즈니스 모델에 처음부터 통합하는 기업, 즉 AI 우선 기업이라고 자칭하는 기업들은 역설에 직면하고 있습니다. 경쟁 우위를 제공해 줄 것으로 기대했던 기술이 동시에 그 어느 때보다 기업을 취약하게 만들고 있는 것입니다. 2026년 2월에 발표된 Fastly Inc.의 네 번째 글로벌 보안 연구 보고서는 다음과 같은 충격적인 수치를 제시합니다. DACH 지역(독일, 오스트리아, 스위스)의 복구 시간은 평균 123일 더 길어졌고, 피해 비용은 140.5% 더 높았으며, 에이전트 기반 워크플로와 분산된 데이터 흐름으로 인해 공격 표면이 통제 불가능하게 확장되고 있습니다. 하지만 이러한 수치를 반박할 수 없는 사실로 받아들이기 전에, 보고서의 출처, 방법론적 기반, 그리고 단일 연구를 훨씬 뛰어넘는 심층적인 구조적 원인을 자세히 살펴볼 필요가 있습니다.

발신자가 수혜자인 경우: Fastly의 비즈니스 모델을 자체 경고의 맥락에서 살펴보기

샌프란시스코에 본사를 둔 상장 기업인 Fastly Inc.는 자사의 엣지 클라우드 플랫폼을 콘텐츠 전송, 컴퓨팅, 그리고 무엇보다 중요한 사이버 보안 솔루션으로 포지셔닝하고 있습니다. 2025년 4분기 Fastly는 총 1억 7,260만 달러의 매출을 기록하며 전년 동기 대비 23%의 성장을 달성했습니다. 특히 보안 사업 부문의 성장세가 두드러지는데, 보안 매출은 32% 증가한 3,540만 달러를 기록하며 전체 매출의 21%를 차지했습니다. 2025년 한 해 동안 보안 매출은 총 매출 6억 2,400만 달러 중 1억 2,510만 달러를 기록했습니다. Fastly는 2025년에 창립 이래 처음으로 흑자 회계연도를 달성했습니다.

이 수치들은 글로벌 보안 연구 보고서를 이해하는 데 매우 중요합니다. Fastly는 자체 보고서에 따르면 시급히 필요한 제품, 즉 웹 애플리케이션 방화벽, API 보안, 봇 관리 및 DDoS 공격 방지 제품을 판매합니다. Fastly의 최고 정보 보안 책임자인 마셜 어윈이 연구에서 웹 애플리케이션 및 API 보호가 비즈니스에 필수적인 도구가 되고 있다고 언급했을 때, 그는 사실상 자사 제품을 추천하고 있는 것입니다. 이것이 데이터가 무조건 부정확하다는 것을 의미하는 것은 아니지만, 해석 시 고려해야 할 구조적인 이해 상충을 야기합니다. 가장 빠르게 성장하는 사업 부문이 보안 솔루션인 회사는 보안 위협을 가능한 한 극적으로 묘사하는 데 경제적으로 상당한 이해관계가 얽혀 있습니다.

이처럼 공포심을 조장하는 마케팅은 사이버 보안 업계에서 드문 일이 아닙니다. 보안 업체들이 위협 시나리오를 과장한 연구 결과를 발표하면서 동시에 그에 상응하는 해결책을 제시하는 것은 이미 정설처럼 자리 잡은 패턴입니다. 이러한 방식이 데이터를 완전히 무의미하게 만드는 것은 아니지만, 중요한 검증이 필수적입니다.

검토 대상 방법론: 2,000명의 응답자가 실제로 입증할 수 있는 것은 무엇인가

본 연구는 다양한 산업 분야의 대기업에서 사이버 보안 결정에 영향력을 행사하는 IT 의사결정권자 2,000명을 대상으로 실시한 온라인 설문조사를 기반으로 합니다. 설문조사는 시장 조사 회사인 사피오 리서치(Sapio Research)가 2025년 4분기에 이메일 초대 및 온라인 설문지를 통해 진행했습니다. 설문 참여자는 DACH 지역(독일, 오스트리아, 스위스)에서 200명입니다.

몇 가지 방법론적 측면을 비판적으로 검토할 필요가 있습니다. 첫째, 표본 크기입니다. DACH 지역 전체에서 200명의 응답자만을 대상으로 한 조사는 상대적으로 작은 표본이며, 특히 AI 우선 기업과 비AI 우선 기업에 대한 구체적인 결론을 도출하려는 경우 더욱 그렇습니다. 표본을 두 하위 그룹으로 나누는 것은 각 하위 그룹의 통계적 검정력을 크게 감소시킵니다. DACH 지역의 비AI 우선 기업에서 AI 활용률이 0%라는 주장과 같은 결과는 실증적 발견이라기보다는 방법론적 오류에 가깝습니다. AI를 사용하지 않는 기업은 AI 관련 보안 침해를 보고할 수 없지만, 그렇다고 해서 이러한 기업이 더 안전하다고 단정할 수는 없습니다.

다음으로 핵심 용어인 'AI 우선 기업'에 대한 정의를 살펴보겠습니다. 정확히 어떤 기업이 AI 우선 기업일까요? 본 연구에서는 AI를 단순히 보조 수단으로 사용하는 것이 아니라, 처음부터 핵심 프로세스와 서비스에 통합하는 기업을 AI 우선 기업으로 정의합니다. 이 정의는 해석의 여지가 있으며, 기업의 자체 평가에 기반합니다. 스스로를 AI 우선 기업이라고 칭하는 기업들은 규모가 크고, 기술적으로 더 야심적이며, 더 복잡한 IT 인프라를 갖춘 경향이 있습니다. 이러한 이유만으로도 공격에 취약한 부분이 더 많을 수 있으며, 이는 AI 통합 자체가 원인이 아니더라도 피해 비용 증가와 복구 시간 연장을 부분적으로 설명할 수 있습니다. 상관관계가 인과관계를 의미하는 것은 아닙니다.

더욱이, 회복 기간은 응답자들이 스스로 평가한 값이지 객관적으로 측정된 값이 아닙니다. 기업이 언제 완전히 회복되었다고 판단하는지는 주관적인 기준에 따라 달라집니다. AI 우선 기업은 기술적 복잡성이 더 크기 때문에 완전 회복에 대한 기준을 더 엄격하게 적용할 수 있으며, 이는 측정된 123일의 차이를 적어도 부분적으로 설명할 수 있습니다.

전 세계 수치와 DACH 수치 비교: 놀라운 차이

이 연구에서 주목할 만한 점은 전 세계 결과와 DACH 지역 데이터 간의 상당한 차이입니다. 전 세계적으로 AI 우선 기업과 비AI 우선 기업 간의 복구 기간 차이는 80일이며, 손해 배상 비용은 AI 우선 기업이 135% 더 높습니다. 그러나 DACH 지역에서는 그 차이가 123일로 나타났고, 비용은 140.5% 더 높은 것으로 보고되었습니다. AI 활용률의 차이는 더욱 극명합니다. 전 세계적으로 AI 우선 기업의 44%가 AI를 직접 활용하고 있다고 보고한 반면, 비AI 우선 기업은 6%에 불과합니다. DACH 지역에서는 AI 우선 기업의 수치가 49%로 상승하는 반면, 비AI 우선 기업은 0%로 떨어집니다.

주요 성과 지표를 비교해 보면 글로벌 평균과 DACH 지역(독일, 오스트리아, 스위스) 간에 상당한 차이가 드러납니다. AI 우선 기업과 비AI 우선 기업 간의 사고 발생 후 복구 시간 차이는 전 세계적으로 80일이지만, DACH 지역에서는 123일입니다. 또한 DACH 지역에서 AI 우선 기업의 손해 배상액은 140.5%로, 글로벌 평균인 135%보다 높습니다.

전 세계 AI 우선 기업의 44%에서 AI가 직접적인 공격에 악용되었으며, DACH 지역(독일, 오스트리아, 스위스)에서는 이 수치가 49%로 더욱 높았습니다. AI 우선 기업이 아닌 경우, 전 세계적으로 이러한 사례는 6%에 불과했으며, DACH 지역에서는 단 한 건의 사례도 보고되지 않았습니다(0%).

전 세계적으로 응답자의 64%가 AI 기반 웹 스크래핑을 비용 요소로 고려하는 반면, DACH 지역(독일, 오스트리아, 스위스)에서는 이 수치가 57%로 높아집니다. 웹 스크래핑에 드는 연평균 비용은 전 세계적으로 약 34만 8천 달러, DACH 지역에서는 약 37만 2천 59유로입니다.

이러한 차이는 의문을 제기합니다. DACH 지역은 거의 모든 범주에서 세계 평균보다 극단적인 양상을 보입니다. 이는 조사 대상 기업 구성의 차이, 독일, 오스트리아, 스위스의 더욱 복잡한 규제 환경과 같은 지역 특유의 요인, 또는 단순히 200명에 불과한 표본 크기로 인한 통계적 변동 때문일 수 있습니다.

보안 취약점의 진짜 원인은 무엇일까요? 마케팅 문구 이면에 숨겨진 구조적 원인이 드러납니다

Fastly 연구에 대한 정당한 비판에도 불구하고, 한 가지 핵심적인 주장은 부인할 수 없습니다. 바로 많은 기업에서 AI 도입 속도가 IT 보안 역량을 초과하고 있다는 것입니다. 이러한 현상은 상업적 이해관계가 전혀 없는 수많은 독립적인 자료들을 통해 확인되고 있습니다.

97개국 3,338명의 위험 전문가를 대상으로 한 설문조사를 바탕으로 작성된 알리안츠 리스크 바로미터 2026은 순위 변동이 두드러짐을 보여줍니다. 인공지능(AI)은 글로벌 비즈니스 리스크 순위에서 10위에서 2위로 급상승했으며, 5년 연속 1위를 차지한 사이버 공격에 이어 두 번째로 높은 순위를 기록했습니다. 독일에서는 AI가 전체 언급의 26%를 차지하며 4위에 올랐습니다. 알리안츠 연구는 기술 도입이 종종 지배구조 및 규제보다 빠르게 진행되어 법적 리스크를 악화시킨다고 지적합니다.

IBM의 '2025년 데이터 침해 비용 보고서'는 실제 보안 사고 분석을 바탕으로 더욱 심층적인 정보를 제공합니다. 전 세계 데이터 침해 평균 비용은 444만 달러로 감소했지만, 이른바 '섀도우 AI' 관련 사고는 평균 463만 달러의 비용을 발생시켜 일반적인 사고보다 67만 달러 더 높은 것으로 나타났습니다. 섀도우 AI 관련 사고는 이미 전체 데이터 침해의 20%를 차지하고 있습니다. 특히 우려스러운 점은 AI 관련 보안 침해를 겪은 기업의 97%가 적절한 AI 접근 제어 시스템을 갖추고 있지 않았다는 사실입니다.

CrowdStrike의 2026년 글로벌 위협 보고서에 따르면 AI 기반 공격이 전년 대비 89% 증가했습니다. 공격자들은 정찰, 신원 도용, 활동 은폐 등 다양한 목적으로 AI를 활용하고 있습니다. 90개 이상의 기업에서 생성형 AI 도구에 악성 메시지가 주입되었습니다. 네트워크 침투 시간(최초 접근부터 네트워크 내 측면 이동까지 걸리는 시간)은 경우에 따라 30분 미만으로 단축되었습니다.

섀도우 AI: 기업 내 보이지 않는 전염병

AI 중심 기업들이 겪는 보안 문제의 가장 중요한 원인 중 하나는 승인된 AI 사용이 아니라 무단 사용입니다. IT 부서의 승인이나 감독 없이 AI 도구를 사용하는 '섀도우 AI'는 대부분의 경영진이 과소평가하는 규모에 이르렀습니다.

데이터는 명확합니다. 모든 조직의 98%가 직원들이 AI 도구를 포함한 승인되지 않은 애플리케이션을 사용하고 있습니다. 기업 내 AI 사용의 거의 90%는 조직에서 인지하지 못하는 사이에 이루어지고 있습니다. 가트너가 175명의 직원을 대상으로 실시한 설문조사에 따르면 57%가 업무용으로 개인 GenAI 계정을 사용하고 있으며, 3분의 1은 기밀 정보를 승인되지 않은 도구에 업로드했다고 인정했습니다. AI 도구에 복사되거나 업로드된 기업 데이터의 양은 2023년과 2024년 사이에 485% 증가했습니다. 2024년에서 2025년 사이에는 GenAI 서비스로의 직원 데이터 유입량이 30배 증가했습니다.

문제는 악의적인 의도보다는 구조적인 유인책의 충돌에 더 있습니다. 직원들이 AI 도구를 사용하는 이유는 생산성을 높이고 싶기 때문입니다. 직원 중 60%는 업무 속도를 높이는 데 도움이 된다면 승인되지 않은 AI 도구를 사용하는 것이 보안 위험을 감수할 만한 가치가 있다고 생각합니다. 이는 IT 보안 담당자에게 딜레마를 안겨줍니다. 제한적인 조치는 AI 도구 사용을 더욱 은밀하게 만들 뿐이고, 관대한 태도는 공격 표면을 더욱 넓히기 때문입니다.

기업의 17%만이 기밀 데이터가 AI 도구에 업로드되는 것을 실제로 방지할 수 있는 기술적 통제 장치를 갖추고 있습니다. 63%는 공식적인 AI 거버넌스 정책이 전혀 없으며, 고도화된 AI 보안 전략을 보유한 기업은 단 6%에 불과합니다. 이러한 수치는 문제가 기술 자체에 있는 것이 아니라, 거버넌스 체계가 심각하게 부족하다는 것을 보여줍니다.

Xpert.Digital의 광범위한 5가지 전문 지식을 종합 서비스 패키지로 활용해 보세요 | 연구 개발, XR, PR 및 디지털 가시성 최적화 - 이미지: Xpert.Digital

Xpert.Digital은 다양한 산업 분야에 걸쳐 심도 있는 지식을 보유하고 있습니다. 이를 바탕으로 고객의 특정 시장 부문의 요구 사항과 과제에 정확히 부합하는 맞춤형 전략을 개발할 수 있습니다. 시장 동향을 지속적으로 분석하고 산업 발전을 모니터링하여 선제적으로 대응하고 혁신적인 솔루션을 제공합니다. 풍부한 경험과 전문성의 결합은 고객에게 부가가치를 창출하고 결정적인 경쟁 우위를 제공합니다.

자세한 내용은 여기에서 확인하세요:

• Xpert.Digital의 5개 전문 분야 서비스를 하나의 패키지로 이용해 보세요. 월 500유로부터 시작합니다

숙련 노동자 문제: 산업계가 자체 수요를 충족시키지 못하는 현상

인공지능 통합의 보안 격차는 자격을 갖춘 전문가의 만성적인 부족으로 더욱 악화되고 있습니다. 전 세계 사이버 보안 업계는 480만 명의 숙련된 인력이 부족하며, 미국에서만 중간급 전문가가 22만 5천 명이나 부족합니다. 상황은 개선되지 않았습니다. 북미와 유럽에서는 사이버 보안 인력이 오히려 감소했습니다.

이러한 인력 부족 현상의 질적 측면은 특히 문제가 됩니다. 2025년 ISC2 연구에 따르면, 조사 대상 전문가의 59%가 소속 조직에 심각하거나 상당한 기술 격차가 있다고 응답했는데, 이는 전년 대비 44% 증가한 수치입니다. 가장 시급하게 필요한 기술로 AI 보안(41%)이 꼽혔고, 그 다음으로 클라우드 보안(36%)이 언급되었습니다. 이러한 인력 부족의 영향은 직접적으로 측정 가능합니다. 전문가의 88%가 소속 조직에서 기술 격차로 인해 최소 한 가지 이상의 부정적인 결과를 경험했다고 응답했으며, 4분의 1은 직원들이 자신의 교육 수준을 넘어서는 업무를 맡게 된다고 답했습니다.

이러한 인력 부족은 Fastly 연구 결과의 상당 부분을 설명해 줍니다. 기업들이 AI를 프로세스에 통합하면서도 보안 아키텍처를 같은 속도로 현대화할 인력이 부족할 경우, 필연적으로 격차가 커지게 됩니다. 문제는 AI 자체가 안전하지 않다는 것이 아니라, AI를 안전하게 만들 수 있는 인력이 부족하다는 것입니다.

경제적 측면: 안보 지출은 사상 최고 수준이지만, 잘못 배분되고 있는가?

점점 심각해지는 위협 환경에 대한 기업들의 대응은 투자 증가로 나타나고 있습니다. 가트너는 전 세계 정보 보안 지출이 2026년까지 2,400억 달러에 달할 것으로 예측하며, 이는 전년 대비 12.5% ​​증가한 수치입니다. 2024년의 1,935억 달러와 비교하면 불과 2년 만에 약 470억 달러가 증가한 것입니다. 특히 AI 기반 보안 시장은 2025년 490억 달러에서 2029년 1,600억 달러로 성장할 것으로 전망됩니다.

하지만 막대한 지출액만으로는 그 효과를 제대로 가늠하기 어렵습니다. 탈레스의 2025년 연구에 따르면 조사 대상 기업의 52%가 AI 보안 지출로 기존 보안 예산을 잠식하고 있는 것으로 나타나 우려를 자아냅니다. 이는 AI 시스템 보호를 위한 자금이 추가로 배정되는 것이 아니라, 클라우드 데이터 보호 및 신원 관리와 같은 기존 보안 조치 예산에서 전용되고 있음을 의미합니다. 이러한 예산 재배정은 다른 곳에 새로운 취약점을 만들어냅니다.

IBM의 데이터는 흥미로운 반론을 제시합니다. AI와 자동화를 보안 아키텍처에 완벽하게 통합한 기업은 보안 사고당 평균 190만 달러를 절감하며, 이러한 투자를 하지 않은 기업의 평균 비용 552만 달러에 비해 362만 달러의 비용을 지출합니다. 놀라운 역설은 바로 새로운 공격 표면을 만들어내는 기술이 적절한 통제와 함께 배포될 경우 가장 효과적인 방어 수단이 될 수 있다는 점입니다.

에이전트형 AI: 공격 표면의 다음 단계 확대

Fastly 연구는 현재 상황을 기록하고 있지만, 다음 단계의 위협은 이미 눈앞에 다가와 있습니다. 에이전트형 AI, 즉 독립적으로 작업을 수행하고, 데이터베이스에 접근하며, 시스템 간에 통신하는 자율적인 AI 시스템은 사이버 보안 전문가의 48%가 2026년 가장 중요한 공격 벡터로 꼽고 있습니다. 따라서 이 위험은 딥페이크 위협과 기타 AI 관련 위험을 모두 능가합니다.

근본적인 문제는 기업 환경에 배포되는 모든 AI 에이전트가 API 접근 및 기계 간 인증을 필요로 하는 비인간적 ID를 생성한다는 점입니다. 기존의 ID 관리 시스템은 기계가 아닌 사람을 인증하도록 설계되었습니다. 마케팅 팀이 AI 에이전트를 사용하여 캠페인 분석을 자동화하려면 CRM, 이메일 플랫폼, 고객 데이터베이스 및 광고 API 등 각각 고유한 인증 요구 사항을 가진 네 가지 시스템에 접근해야 합니다. 이러한 도구를 테스트하는 팀의 수를 고려하면 공격 표면이 얼마나 빠르게 통제 불능 상태로 악화될 수 있는지 알 수 있습니다.

2025년 12월, OWASP(Open Web Application Security Project)는 업계, 학계, 정부 기관의 100명이 넘는 보안 전문가들이 참여한 에이전트 기반 애플리케이션 상위 10개 목록을 처음으로 발표했습니다. EchoLeak과 ForcedLeak과 같은 실제 공격 사례는 각각 9.3과 9.4라는 매우 높은 CVSS 점수를 기록하며, 이러한 위협이 단순히 이론적인 시나리오에 그치지 않고 있음을 보여줍니다. 데이터를 자율적으로 복제하고 유출하는 에이전트의 위협은 이미 현실이 되었습니다.

공격자와 수비자 간의 경쟁: 구조적 불균형

AI 우선 전략의 보안 문제는 궁극적으로 근본적인 구조적 불균형을 반영합니다. AI는 공격자가 방어 대책을 마련하기 전에 공격 비용과 진입 장벽을 빠르게 낮추고 있습니다. 생성형 AI를 사용하면 설득력 있는 피싱 캠페인을 며칠이 아닌 몇 분 만에 만들 수 있습니다. 피싱 미끼를 만드는 데 필요한 시간이 극적으로 단축된 것입니다. 현재 모든 데이터 유출 사고의 16%는 공격자가 악의적으로 AI 도구를 사용한 결과이며, 이 중 37%는 AI로 생성된 피싱 캠페인이고 35%는 딥페이크 공격입니다.

방어 측면에서는 인력 부족뿐 아니라 속도 부족 문제도 심각합니다. 평균 복구 시간은 2024년 7.34개월에서 2025년 6.08개월로 17% 감소했지만, 이러한 개선은 주로 사후 검토(조직의 52%)와 대응 조치 자동화(43%)를 통해 달성된 것입니다. 특히 AI 배포 및 데이터 흐름에 대한 투명성 부족과 같은 근본적인 아키텍처 문제는 여전히 해결되지 않고 있습니다.

실제 원인: 네 가지 시스템적 문제

AI 우선 전환 과정에서 발생하는 보안 문제의 근본 원인은 Fastly 연구에서 다루는 범위를 훨씬 뛰어넘는 네 가지 시스템적 결함에 있습니다.

첫 번째 문제점은 혁신과 보안이 조직 차원에서 분리되고 있다는 점입니다. 많은 기업에서 AI 프로젝트는 사업 부서나 혁신팀이 주도하는 반면, IT 보안은 부차적인 통제 절차로 취급됩니다. 연구에 따르면 AI 우선 기업의 51%가 사고 대응 책임자가 누구인지 불분명하다고 답한 반면, AI 우선 기업이 아닌 기업에서는 23%만이 같은 답변을 했습니다. 이러한 혼란은 AI 보안을 AI 전략의 핵심 요소로 포함하는 거버넌스 구조가 부재함을 시사합니다.

두 번째 문제는 기술적 통제 수단의 부족과 과도한 정책의 결합입니다. 데이터에 따르면 교육(기업의 40%가 사용), 경고 이메일(20%), 문서화된 정책(10%)과 같은 인적 통제는 실질적인 보호 효과를 제공하지 못하는 것으로 나타났습니다. 자동 차단, 실시간 데이터 분류, 통합 관리 플랫폼과 같은 기술적 통제만이 실질적인 보호 효과를 제공합니다. 하지만 이러한 기술적 통제 수단을 갖춘 기업은 17%에 불과합니다.

세 번째 문제점은 예산 확대가 아닌 예산 전용입니다. 기업의 52%가 기존 보안 예산에서 AI 보안 비용을 충당하고 있는데, 이는 문제를 해결하는 것이 아니라 단지 미루는 것에 불과합니다. 새로운 AI 시스템의 보안을 강화하는 것이 기존 인프라 보호를 희생시키는 결과를 초래해서는 안 됩니다. 하지만 현실은 바로 이런 식으로 흘러가고 있습니다.

네 번째 부정적인 현상은 시장 경쟁으로 인한 조급함입니다. 뒤처지지 않기 위해 AI를 신속하게 도입해야 한다는 경쟁 압력 때문에 보안 감사가 생략되거나 단축됩니다. 개발자들은 보안 검증이 제대로 이루어지지 않은 에이전트형 AI를 사용하고 있으며, 여기에는 검증되지 않은 오픈 소스 MCP 서버와 소위 바이브 코딩으로 생성된 코드도 포함됩니다. 그 결과, 공격자들이 필연적으로 노릴 취약한 인프라가 점점 더 많아지고 있습니다.

규제 체계: EU 인공지능법은 양날의 검과 같다

인공지능(AI) 보안 문제에 대한 규제 대응이 점차 구체화되고 있지만, 그 자체로 복잡한 과제를 안고 있습니다. 2024년 한 해에만 AI 관련 신규 규제가 59건이나 발표될 예정인데, 이는 전년 대비 두 배 이상 증가한 수치입니다. 기업들은 보안 허점, 규정 위반, 경쟁력 저하라는 복합적인 문제에 직면하고 있습니다. 특히 EU AI법은 이러한 압력을 더욱 가중시키고, 자동화된 의사결정 과정과 관련하여 새로운 법적 책임 문제를 야기합니다.

알리안츠 연구에 따르면 많은 기업들이 이제 AI를 전략적 기회일 뿐만 아니라 운영, 법률 및 평판 측면에서 복잡한 위험 요소로 인식하고 있습니다. 많은 경우, AI 도입 속도가 지배구조, 규제 및 기업 문화의 적응 속도보다 훨씬 빠릅니다. 거의 55%의 기업이 AI 관련 규제 준수에 대한 준비가 미흡한 상태입니다.

이 규정은 실질적인 문제들을 해결하지만, 혁신적인 AI 사용자들에게 규정 준수 비용이 비대칭적으로 전가될 경우 유럽 기업들의 경쟁력 약화를 심화시킬 위험이 있습니다. AI를 적극적으로 도입하여 더 큰 경제적 이익을 얻는 기업들이 가장 높은 수준의 규정 준수 부담을 지게 되는 것입니다. 역설적으로, 이는 공격자들이 유럽 규정을 준수하지 않기 때문에 유럽 기업들이 보안 강화 없이 AI를 더디게 도입하는 결과를 초래할 수 있습니다.

비용 편익 분석: AI 우선 정책의 실제 비용은 얼마일까?

AI 우선 전략에 대한 냉철한 경제 분석을 위해서는 높아진 보안 비용과 생산성 향상 효과를 비교해야 합니다. Fastly 연구는 비용 측면에만 초점을 맞추고 이점을 제대로 고려하지 않았습니다. AI 우선 기업은 종종 더 혁신적이고 효율적이며 경쟁력이 뛰어납니다. 핵심은 AI 통합에 보안 비용이 발생하는지 여부가 아니라, 그 순 효과가 여전히 긍정적인지 여부입니다.

IBM 데이터는 중요한 단서를 제공합니다. AI와 자동화를 완벽하게 도입한 기업은 평균 사고 처리 비용을 362만 달러로 줄이는 반면, AI 기반 보안을 도입하지 않은 기업은 552만 달러를 지출합니다. 사고당 190만 달러의 비용 절감과 탐지 시간 80일 단축은 해결책이 AI 사용량 감소가 아니라 AI 관리 개선에 있음을 보여줍니다.

에이전트형 AI는 생산성을 5배에서 10배까지 향상시킬 수 있습니다. 이러한 엄청난 효율성 향상은 복구 시간 증가 및 손해 배상 비용 상승과 같은 추가 비용과 비교하여 신중하게 고려해야 합니다. 대부분의 기업에게 있어, 보안 아키텍처에 동시에 투자한다면 비용 대비 이점이 더 클 것입니다. 진정한 위험은 AI 자체의 사용에 있는 것이 아니라, AI 보안에 투자하지 않고 AI의 이점만을 누릴 수 있다는 착각에 있습니다.

기회주의인가, 정당한 경고인가: 심층적인 분석

Fastly 보고서가 기회주의적 마케팅인지 아니면 정당한 경고인지에 대한 근본적인 질문은 이분법적으로 답할 수 없습니다. 두 가지 요소 모두 존재하며, 그 중요성은 관점에 따라 달라집니다.

이 보고서는 불확실성을 조장하여 직접적인 이익을 얻는 기업에서 나온 것이므로 기회주의적입니다. WAAP 솔루션을 보고서에 설명된 문제에 대한 해결책으로 제시하는 것은 사실상 제품 광고에 불과합니다. 표본 크기가 작고 전 세계 평균보다 극단적인 값이 두드러지는 DACH 지역 데이터는 해석에 신중을 기해야 합니다.

동시에, 이 보고서는 인공지능 도입 속도가 보안 현대화 속도를 앞지르고 있다는 근본적인 주장이 수많은 독립적인 자료들에 의해 뒷받침되고 있다는 점에서 정당한 경고라고 할 수 있습니다. 알리안츠 리스크 바로미터, IBM의 데이터 침해 비용 보고서, 크라우드스트라이크 위협 보고서, 빅ID의 AI 리스크 보고서, 그리고 가트너의 지출 예측 자료들은 모두 일관된 그림을 보여줍니다. 즉, 공격 표면이 방어 능력보다 빠르게 확대되고 있다는 것입니다.

AI 우선 기업에서 발생하는 보안 문제의 진정한 원인은 Fastly가 제시하는 것보다 훨씬 더 깊습니다. 이는 단순히 사용 가능한 보안 제품이 부족해서가 아니라, 조직적인 결함, 즉 부적절한 거버넌스 구조, 부족한 인력, 잘못된 예산 배분, 그리고 보안보다 속도를 우선시하는 문화에 기인합니다. 이러한 구조적 문제는 웹 애플리케이션 방화벽을 구매하는 것만으로는 해결할 수 없습니다. 물론 그러한 도구가 필요할 수는 있지만 말입니다. 기업이 AI 프로젝트를 계획, 승인, 모니터링하는 방식에 근본적인 변화가 필요합니다. 기술 자체는 문제가 아닙니다. 문제는 보안을 혁신의 동등한 파트너로 여기려는 의지, 그리고 그러한 의지가 부족하다는 데 있습니다.

☑️ 저희 업무 언어는 영어 또는 독일어입니다

☑️ 신규 기능: 모국어로 소통하세요!

Konrad Wolfenstein

저와 저희 팀은 여러분의 개인 자문가로서 기꺼이 도움을 드릴 준비가 되어 있습니다.

여기 있는 문의 양식을 작성하시거나 +49 89 89 674 804 ( 뮌헨) 으로 전화 주시면 연락 [email protected] 입니다.

저는 우리의 공동 프로젝트를 기대하고 있습니다.

☑️ 중소기업의 전략, 컨설팅, 기획 및 실행 지원

☑️ 디지털 전략 수립 또는 재정비 및 디지털화

☑️ 해외 영업 프로세스 확장 및 최적화

☑️ 글로벌 및 디지털 B2B 거래 플랫폼

☑️ 선구적인 사업 개발/마케팅/홍보/박람회