이런 흐름 속에서 한국의 보안 체계도 크게 방향을 틀어야 합니다. 첫 번째 전환은 “탐지해서 막는 보안”에서 “미리 대비하고 빨리 회복하는 보안”으로의 이동입니다. AI 기반 공격은 너무 빠르고 자동화돼 있어서, 이상 징후를 감지하는 순간에는 이미 데이터가 유출됐거나 시스템이 조작된 뒤일 가능성이 큽니다.

앞으로는 우리 조직에 어떤 약점이 있는지, 밖에서 어떻게 보이는지, 공격자가 어디를 먼저 노릴지 상시적으로 점검하는 ‘노출 관리(Exposure Management)’가 중요해집니다. 동시에, 실제 공격자처럼 행동하는 레드팀과 모의해킹, 그리고 이를 일부 자동화한 도구들을 활용해 “진짜 공격이 오기 전에 반복해서 훈련하는 체계”를 갖춰야 합니다.

또, AI 자체를 보안의 중요한 대상으로 인정하는 것입니다. AI 에이전트에게도 사람처럼 고유 ID와 최소 권한을 부여하고, 어떤 행동을 했는지 기록을 남기고, 돈과 데이터가 크게 오가는 중요한 업무는 사람이 마지막에 한 번 더 확인하는 구조가 필요합니다.

여기에, 보안 인력과 투자를 숨기지 말고 투명하게 드러내야 합니다. “우리 회사에는 보안 담당자가 몇 명이고, 어떤 투자를 하고 있는지”를 공개하는 것이 일종의 경영 성적표처럼 작동하도록 만드는 겁니다. 그래야 우수 인력이 보안 업계를 매력적인 진로로 볼 수 있고, 시민과 투자자도 “이 회사는 보안에 얼마나 진심인가”를 판단할 수 있습니다.

2025년 한국의 사이버 위협을 돌아보면, 이미 바닥을 본 것 같다는 절망감과 함께 “이대로는 안 된다”는 절실함이 동시에 느껴집니다. 

SK텔레콤, KT, 롯데카드, 쿠팡 사례는 “보안을 최소 비용으로만 보던 시대”가 끝났음을 알리는 신호탄입니다. 그리고 전 세계에서 쏟아지는 AI 기반 공격 예측은, 훨씬 거센 폭풍이 우리를 향해 다가오고 있음을 보여주는 경고장입니다.

우리는 지금 갈림길에 서 있습니다. 2025년을 그저 “최악의 보안 해”로만 기억할 수도 있습니다. 하지만 이 해를 계기로, 보안 의식과 체계를 통째로 갈아엎기 시작한 출발점으로 만들 수도 있습니다.

“언젠가는 우리도 한 번쯤 당하겠지”라고 체념하는 대신, “언젠가를 대비해 오늘 무엇을 바꿀 것인가”를 질문해야 합니다. “해킹을 당하고 나서 대응하는 보안”이 아니라, “해킹을 당하기 전에 스스로를 시험해 보는 보안”으로 전환해야 합니다. “AI 공격에 끌려다니는 국가”가 아니라, “AI 시대에 맞는 보안 패러다임을 먼저 준비하는 국가”로 나아가는 해로 만들어야 합니다.