- 중소기업 랜섬웨어 피해 93%, 보안 인력 97% 부족…자동화만이 살 길
- 한국 vs 미국 vs 일본, AI 보안 투자 격차 10배…한국 기업 93% 이미 뚫렸다
 |
ⓒTech42 |
문제는 이것이 단순한 기술 격차가 아니라 구조적 한계라는 점이다. 글로벌 보안 기업 시스코의 '2025 사이버보안 준비지수'에 따르면 한국 기업의 97%가 보안 인력 부족을 호소했다. 응답 기업의 34%는 10개 이상의 보안 관련 포지션이 미충원 상태라고 답했다.
그런데 2026년, 공격자들은 이미 인력 문제를 해결했다. AI를 통해서다.
■ 공격은 자동화됐는데, 방어는 여전히 수동이다
체크포인트 소프트웨어 테크놀로지스가 발표한 2025년 3분기 랜섬웨어 보안 보고서는 한국을 전 세계 랜섬웨어 표적국 상위 10위에 처음 올렸다. 전체 공격의 2%가 한국을 겨냥했으며, 이는 아시아 지역에서 일본에 이어 2위 수준이다.
더 심각한 건 공격의 속도와 정교함이다. 슬래시넥스트의 조사에 따르면, 2022년 챗GPT 공개 이후 1년 만에 AI 기반 피싱 공격이 1,265% 급증했다. 공격자들은 생성형 AI로 완벽한 한글 피싱 메일을 작성하고, 자율 에이전트를 활용해 취약점을 스스로 찾아낸다.
반면 한국 기업의 대응은 여전히 '사람 기반'이다. 국회 국정감사에서 지적됐듯이, KISA의 침해사고 현장 대응을 담당하는 포렌식팀은 팀장을 제외한 23명의 실무 인원 중 16명이 경력 2년 미만이다. 숙련된 전문가가 부족한 상황에서 지능화된 AI 공격을 막아내기란 사실상 불가능하다.
한국인터넷진흥원에 따르면 2025년 상반기 업종별 침해사고는 정보통신업이 390건으로 전년 대비 29% 증가하며 가장 많았다. IT 전문 기업조차 이 정도라면, 보안 전문성이 낮은 제조·유통·서비스업의 상황은 더 심각하다.
■ 연봉으로도 못 지키는 보안 인재
인력 부족의 핵심 원인은 처우다. 한국정보보호산업협회(KISIA)의 2025년 정보보호 산업인력현황 조사에 따르면, 국내 기업 보안 전담인력의 평균 연봉은 5,400만원이다. 중소기업은 4,600만원, 대기업도 6,340만원에 불과하다.
같은 IT 직군 내에서도 보안 인력의 처우는 개발자나 데이터 분석가에 비해 낮다. 주요 정보보안 기업들의 직원 평균 연봉은 6,130만원으로, 시큐아이가 7,900만원으로 가장 높고 안랩이 7,070만원 수준이다.
이는 미국의 3분의 1 수준이다. 2023년 기준 미국 정보보안 분석가의 평균 연봉은 12만360달러(약 1억6,700만원)다. 한국 보안 인력의 절반 이상(55.3%)이 연봉 5,000만원 미만을 받는 상황에서, 유능한 인재들은 해외로 눈을 돌리고 있다.
KISA 집계에 따르면 최근 1년 내 보안인력 채용 경험이 있는 기업은 7.6%에 불과했고, 향후 1년 내 채용 계획을 가진 기업도 33.2%에 그쳤다. 기업들은 "적합한 수준의 보안 인력 채용이 어렵다"(23.8%)며 손을 들었다.
■ 인력 경쟁이 아닌 시스템 경쟁으로 전환
한국 보안 업계는 이제 근본적 질문에 직면했다. '보안 인력 없이도 기업이 생존할 수 있는가?' 역설적이게도, AI가 만든 위기의 해답도 AI다.
국내 보안 업계는 2026년 들어 제품 전반에 자율 방어 기능을 통합하고 있다. 안랩은 2026년 5대 사이버 보안 위협 전망에서 "AI 기반 공격의 전방위 확산"을 1순위로 꼽으며, AI 자동 대응 시스템 개발을 가속화하고 있다. SK쉴더스 역시 최근 5년간 사이버 공격 피해의 83%가 중소기업에 집중됐다며 AI 기반 자동 대응 서비스를 강화 중이다.
이들 시스템은 사람의 개입 없이도 위협을 탐지하고 초기 대응을 실행한다. 네트워크 트래픽 패턴을 학습하고, 평소와 다른 행동을 실시간 차단하며, 공격 경로를 역추적해 침해 범위를 자동으로 격리한다.
 |
ⓒTech42 |
■ 4조원 시장의 성장 동력, 클라우드와 데이터 보안
보안뉴스가 발표한 '2026 보안 시장 백서'에 따르면, 2025년 3조4,529억원이었던 국내 사이버보안 시장은 2026년 4조88억원 규모로 성장한다. 이 중 가장 빠르게 성장하는 분야는 클라우드 보안과 데이터 보안이다. 두 영역 모두 두 자릿수 성장세를 기록 중이다.
이유는 명확하다. 기업들이 온프레미스 환경에서 클라우드로 대규모 이전하면서 공격 표면이 급격히 확대됐기 때문이다. 과거엔 물리적 경계만 지키면 됐지만, 이제는 SaaS 애플리케이션, 원격 접속, API 연결까지 모두 공격 경로가 된다.
사람이 일일이 감시하기엔 너무 복잡하고 빠르다. 클라우드 환경의 설정 오류, 과도한 권한 부여, 의심스러운 API 호출 등을 사람보다 빠르게 찾아내고 차단하는 AI 시스템 없이는 방어 자체가 불가능해졌다.
■ AI 기본법 시행, 보안 자동화의 변수될까
한국은 2026년 1월 22일부터 세계에서 가장 빠르게 AI 기본법을 시행했다. 네이버·카카오 등 생성형 AI 서비스와 금융·의료 분야 고영향 AI에 투명성·안전성 의무를 부과하는 내용이다.
보안 업계는 이 규제가 자율 방어 시스템에도 적용될 가능성을 주시하고 있다. 자율 방어 시스템은 본질적으로 수백만 개의 데이터 패턴을 학습해 위협을 판단하는데, 그 과정을 사람이 일일이 설명하긴 어렵다.
만약 법이 "AI가 내린 모든 보안 결정을 설명하라"고 요구한다면, 오히려 자동화 도입이 지연될 수 있다. 글로벌 시장에선 이미 자율 보안이 표준이 되고 있는데, 한국만 규제로 묶인다면 기업들은 해외 솔루션으로 눈을 돌릴 수밖에 없다.
■ 정부의 AI 예산 9.9조원, 보안 투자는 불명확
한국 정부는 2026년 AI 예산으로 9조9천억원(약 67억 달러)을 편성했다. 이 중 47.7%가 AI 인프라 강화에 투입된다. 하지만 사이버 보안 분야에 얼마가 배정됐는지는 명확히 공개되지 않았다.
미국 전략국제문제연구소(CSIS)는 최근 보고서에서 "한국의 AI 보안 프레임워크 부재가 동맹국 간 기술 협력에 걸림돌이 될 수 있다"고 지적했다. 한국이 AI 개발엔 적극적이지만, AI를 악용한 공격에 대비하는 보안 체계는 상대적으로 약하다는 분석이다.
과학기술정보통신부는 2026년도 사이버보안 R&D 예산을 1,191억원으로 확정했으나, 신규 과제는 122억원에 불과해 AI 보안 연구 투자가 부족하다는 지적을 받고 있다.
■ KISA 인력 증원, 근본 해결책 될 수 있을까
정부는 문제를 인식하고 있다. 전자신문 보도에 따르면 KISA는 2026년 사이버 침해사고 대응 인력을 포함해 총 33명을 증원한다. 디지털위협대응본부에만 10명이 추가 배치된다.
하지만 이것이 근본적 해결책이 될 수 있을까. 보안뉴스 조사에 따르면 KISA의 침해사고 대응 인력은 2022년 123명에서 2025년 132명으로 최근 3년간 9명밖에 늘지 않았다. 같은 기간 대응 업무는 몇 배, 일부는 몇십 배까지 증가했다.
2019년 116명이었던 대응 인력이 2025년 132명이 된 것은 6년간 16명 증가에 불과하다. 이 속도로는 AI로 무장한 공격자들을 따라잡을 수 없다. 1인당 담당 사고 건수는 4년 새 3배로 늘었다.
■ 중소기업, 보안 사각지대에서 벗어날 수 있을까
문제의 핵심은 중소기업이다. 국내 기업의 67.4%는 공식적인 정보보호 조직조차 운영하지 않는다. 전담 조직이 있어도 평균 보안 인력은 1~2명에 불과하다.
KISIA에 따르면 보안 인력이 부족하다고 느끼는 기업 중 구체적인 채용 계획을 가진 곳은 66.8%다. 나머지 33.2%는 "채용하고 싶어도 못 한다"는 뜻이다. 이유는 예산 부족, 적합한 인재 부재, 처우 개선 한계 등이다.
이런 상황에서 AI 자율 방어 시스템은 유일한 희망이다. 사람이 잠든 시간에도 공격을 감지하고, 주말에도 차단 조치를 실행하며, 인력 이직과 무관하게 지식을 축적한다. 중소기업이 대기업 수준의 보안을 구축할 수 있는 유일한 방법이다.
■ 2026년 한국 기업의 선택: 자동화 아니면 침해
결론은 명확하다. 한국 기업들은 더 이상 보안 인력을 늘리는 방식으로 위협에 대응할 수 없다. 인력 시장은 이미 한계에 도달했고, 공격자들은 인력 제약 없이 AI로 무장했다.
2026년 국내 보안 시장이 4조원을 돌파하는 이유는 기업들이 드디어 현실을 직시했기 때문이다. 사람으로는 못 막는다. 시스템으로 막아야 한다. 클라우드·데이터 보안이 두 자릿수 성장하는 이유도 AI 자동화 기술이 이 분야에 집중되고 있어서다.
다만 한 가지 경고가 필요하다. AI 자동화가 만능은 아니다. 시스템이 잘못 판단해 정상 업무를 차단할 수도 있고, 새로운 유형의 공격엔 무력할 수도 있다. 중요한 건 '인력 대체'가 아니라 '인력 증폭'이라는 관점이다.
소수의 보안 담당자가 AI 에이전트를 활용해 수십 배 많은 위협을 처리할 수 있게 만드는 것. 그것이 2026년 한국 기업이 선택해야 할 생존 전략이다. 선택지는 둘 뿐이다. 자동화하거나, 침해당하거나.
김광우 기자
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
![박신혜, 반지하 생활→데뷔 결심..“배우하면 돈 多 벌겠다 생각” (‘유퀴즈’)[핫피플]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F29%2F2026%2F01%2F22%2Fda8c894e432041fda617bd3b2f8cb217.png&w=384&q=100)
