보안관리자, 지속가능하고 성숙한 비즈니스 프로세스 위한 ‘전체적 관점’ 필요

[보안뉴스= 이중명 EY한영 Cyber Security팀 컨설턴트] “이제 앞으로 우리 아이들 직업으로는 무엇이 좋을까요?”, “당장 5년 뒤에 우리 직업이 사라지는 것은 아닐까요?”, “어떤 직업은 장래 10년 이내에 사라진다고 하던데...” 최근 사람들이 모이면 나누는 흔한 이야기들이다.


알파고(Alpha GO)와 이세돌 9단과의 바둑대결로 전 세계가 인공지능(Artificial Intelligence)을 얘기하며, 곧 다가올 미래사회가 어떻게 변할 것인가 관심이 뜨겁다. 일부 비관론자들은 연일 인간이 할 수 있는 모든 일, 특히 지식이나 정보관련 업무를 모두 컴퓨터(AI)가 대체할 것이라며 고용사회의 종말까지 거론하곤 한다.

AI의 기본원리는 무한한 경우의 수를 대입하고 학습해 수리적으로 가장 목표에 가까운 답을 찾는 것이다. 위험은 식별 가능해야만 통제할 수 있고, 빠른 연산처리가 가능하기 때문에 인공지능은 위험관리(Risk management) 분야에 혁신적인 기술이고, 정보보호 인력들이 인공지능으로 대체 가능하다는 말이 현실적으로는 가능해 보인다. 예를 들면 해킹, APT에 대한 위협 및 대응, 부정거래에 대한 탐지 및 판단 등의 업무가 AI를 통해 고도화되고, 이로 인해 결국 산업 전체 관련 인력이 대체될 것이라는 얘기다.

하지만 반대로 생각해 보면 AI의 업무의존도가 높아지면 높아질수록 인공지능의 고유 위험이 불가피하게 증가함에 따라 비즈니스 이해관계자들에게 신뢰와 확신을 제공해야 하는 이슈가 제기될 것이다. 따라서 인공지능 자체를 보호하거나 검증하기 위한 과제들, AI Assurance(내부 감사, IT 감사, SOC 타입 I, II 등)와 사이버 레질리언스(Cyber Resilience), 물리 보안(Physical Security)와 같이 기존 사이버보안 업무영역이 새로운 측면으로 발전될 가능성이 크다.

새로운 기술들은 도입 그 자체로 모든 정보보호 위협을 대응할 수 없을 뿐만 아니라 수반되는 새로운 위협들이 계속 증가할 것으로 예상되기 때문에 정보보호관련 투자대비 성과에 대한 판단, 사업목표(Business Objective) 달성에 필요한 합리적 수준의 정보보호 전략(Security Strategy), 정보보호 목표(Security Objective) 및 기술에 적용하는(Security Operation) 업무가 증가하는 등 정보보호 거버넌스(Security Governance) 역할에 대한 비중이 확대될 것이다. 또한 이사회(BOD)의 비즈니스 의사결정에 더 큰 비중을 차지하게 되어 ‘보안으로 경영’하는 시대가 도래할 수도 있을 것으로 본다.

정보기술의 발전은 항상 인간의 노동을 대체할 듯 했지만 역설적으로 사라지는 일 보다 새로운 일자리를 더 많이 창출했고, 이를 통해 인류의 삶을 윤택하게 만들었다. 이번 대국에서 보듯 인공지능(AI)은 목표(승리)를 위해 합리적이고 효과적인 분석으로 가장 균형(Equilibrium)에 가까운 의사결정을 지향한다. 다시 말해 인공지능은 빠른 연산 처리를 통해 정보보호 관리자에게 합리적인 의사결정 도구가 될 수 있겠지만, 그 자체로 어떤 위협이든 막을 수 있는 방패 역할을 할 수 있는 것은 아니라는 것이다.

따라서, 정보보호 관리자는 정보 유출이나 침해사고 위협, 비즈니스 실패에 대비하는 기존의 수동적인 관점에서 앞으로는 지속가능하고 성숙한 비즈니스 프로세스에 보증을 제공하는 전체적 관점(Holistic View)으로 변화해야 할 것이고, 이는 정보보호 산업 전반에 걸쳐 새로운 도약의 계기가 될 것으로 기대된다.
[글 _ 이중명 EY한영 Cyber Security팀 컨설턴트(jung-myung.lee@kr.ey.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>