사이버보안의 성패는 인공지능(AI) 기술 도입에 앞서 '인간 요소'를 어떻게 다루느냐에 달렸다는 분석이 나왔다.
글로벌 IT 자문기관 가트너는 3일(현지시간) 미국 내셔널 하버에서 열린 '가트너 보안 및 위험 관리 서밋'에서 이같이 밝혔다. 이날 발표자로 나선 엘리자베스 데이비스 가트너 수석 디렉터 애널리스트는 기업이 사이버 리스크를 줄이는 데 있어 인간 요소가 가장 크고 간과된 기회라고 강조했다.
데이비스 애널리스트는 직원들이 겪는 업무 압박이 보안 통제를 우회하는 등 불안전한 행동을 유발하는 핵심 요인이라고 지적했다. 그는 "사람들이 실제로 일하는 방식을 고려해 설계하지 않으면, 리스크는 성과 압박의 부산물이 된다"고 설명했다.
가트너는 해결책으로 단순한 '보안 인식' 제고를 넘어 '보안 습관'을 만드는 문화를 구축해야 한다고 제언했다. 이를 위해 '보안 행동 및 문화 프로그램(SBCP)'을 실행해 안전한 업무 방식을 내재화해야 한다는 것이다.
특히 인간 문제를 먼저 해결하지 않으면 AI에 대한 모든 투자는 가치를 잃게 될 것이라고 경고했다. 데이비스 애널리스트는 "최고정보보호책임자(CISO)는 AI 보안, AI를 이용한 공격 방어, 그리고 이 두 가지를 위해 AI를 활용해야 하는 삼중의 임무를 지닌다"고 덧붙였다.
데이비스 애널리스트는 "직원과 구성원은 위험이 아닌 자산"이라며 "그들을 위험으로 취급하는 사고방식에서 벗어나 기업 사이버보안 프로그램의 더 가치 있는 부분으로 투자해야 한다"고 역설했다.