AI가 사이버 방어를 어떻게 변화시키고 있는가: 2026년 실태 조사

최근 'AI가 사이버 공격을 완벽하게 막는 시대가 왔다'라는 제목의 기사를 자주 접합니다. 과연 그럴지 궁금하여 직접 조사해 보았습니다.

조사할수록 '생각했던 것보다 훨씬 깊이가 있다'는 느낌을 받았습니다. 본문에서는 확인된 사실들을 중심으로 내용을 정리했습니다.

IPA(정보처리진흥기구)가 2026년 1월에 발표한 '정보 보안 10대 위협 2026'에서, 'AI 활용과 관련된 사이버 리스크'가 처음으로 등장하여 조직 대상 3위에 올랐습니다.

| 순위 | 위협 | |
|---|---|
| 1 | 랜섬웨어 공격 (11년 연속 1위) |
| 2 | 공급망이나 위탁업체를 노린 공격 |
| 3 | AI 활용과 관련된 사이버 리스크 (최초 등장) |
| 4 | 표적형 공격 (스피어 피싱) |
| 5 | 내부 부정행위・정보 유출 |

IPA는 이 리스크를 세 가지로 분류하고 있습니다.

AI 활용과 관련된 사이버 리스크 (IPA 2026)
├── AI를 악용하는 사이버 공격의 고도화・정교화
├── AI에 대한 공격 (프롬프트 인젝션・데이터 오염 등)
... 

공격에 사용되는 리스크가 주목받고 있지만, 동시에 'AI가 방어를 극적으로 변화시켰다'는 기사들도 함께 나오고 있습니다. 어느 정도까지가 사실인지 확인해 보았습니다.

Google이 2026년 5월에 발표한 'Google AI Threat Defense'는 Gemini・Wiz・Mandiant・CodeMender를 통합한 AI 보안 기반입니다. Google 자체 내부 테스트에서는 '매일 수백만 건의 외부 이벤트를 분석하여, 대응해야 할 위협을 98%의 정확도로 특정'했다고 합니다.

이 '자동 처리'의 내용을 깊이 파고들자, 방대한 알림(alert) 중에서 중요한 것을 골라내는 트리아지(triage)가 핵심이라는 것을 알게 되었습니다.

플로우
대량의 로그・알림 (수백만 건/일)
↓
... 

분석가가 봐야 할 정보의 질이 높아진다는 점이 큰 가치라고 이해했습니다.

2026년 5월 20일, NTT 도코모 비즈니스가 'AI SOC' 제공을 시작했습니다. 자체 개발한 AI Advisor(로그 교차 분석)와 매니지드 SOAR(자동 대응)를 결합한 서비스입니다.

| 항목 | 기존 방식 | AI SOC |
|---|---|
| 상관 분석 (위협의 전체 그림 파악) | 1~2 시간 (인력) | 약 10분 |
| 알림 대응 가동률 | — | 95% 감소 |

'가동률 95% 감소'는 Cloud Watch 기사 등에서 확인할 수 있습니다. 보도 자료에는 '전문 지식이 없는 고객도 전문가가 지원'이라는 내용이 있어, AI 분석과 사람의 지원을 결합한 설계입니다.

AI SOC 설계 (NTT 도코모 비즈니스 보도자료 발췌)
알림 발생
↓
... 

Microsoft Security Copilot, SentinelOne Purple AI 등 자연어로 위협 헌팅(threat hunting)이 가능한 도구들이 등장하고 있습니다.

조사해 보니 깨달은 것은, '무엇을 질문할지'를 설계하는 힘 자체가 조사 품질로 이어진다는 것입니다. AI는 질문에 대한 답변은 잘하지만, 무엇을 물어봐야 할지에 대한 판단은 사용자에게 맡겨져 있습니다. 보안 분야의 맥락 이해와 결합했을 때 비로소 효과가 발생하는 설계라고 느꼈습니다.

IPA의 10대 위협 2026에는 AI를 사용한 공격뿐만 아니라 'AI에 대한 공격'도 포함되어 있습니다.

| 공격 기법 | 내용 | |
|---|---|
| 프롬프트 인젝션 | 로그 데이터에 악의적인 명령을 삽입하여 AI가 오작동하게 함 |
| ... | |

AI 도구를 도입할수록, 그 도구 자체의 보안도 고려해야 한다는 점입니다. 이는 조사하기 전까지는 인식하지 못했던 시각이었습니다.

Gemini・Wiz・Mandiant・CodeMender를 통합한 AI 보안 기반. 취약점 스캔 → 우선순위 지정 → 복구 제안 → 모니터링을 일관되게 수행합니다. 내부 테스트에서 외부 이벤트 위협 특정 정확도 98% (Google 발표 수치).

AI Advisor를 통한 로그 교차 분석(약 10분) + 매니지드 SOAR에 의한 자동 대응. 알림 대응 가동률을 95% 감소시킵니다. 전문가 지원도 포함되어 있습니다.

'AI 활용과 관련된 사이버 리스크'가 최초 등장하여 조직 대상 3위에 올랐습니다. 공격 악용, AI에 대한 공격, 운영 리스크의 세 가지 분류로 나뉩니다.

AI를 활용한 보안 지원은 확실히 진화하고 있으며, 특히 대량의 로그 분석 및 트리아지(Triage) 효율화는 실제 서비스에서 수치로 나타나기 시작했습니다. NTT 도코모 비즈니스의 '1~2시간 → 10분'이라는 변화는 구체적이며, 분석가들의 부담을 크게 줄일 가능성이 있습니다.

조사해 보니 현재까지는 'AI가 분석을 지원하고, 인간이 판단 및 승인하는' 구조가 중심이라는 것을 알게 되었습니다. 완전 자동화라기보다는, 사람과 AI의 역할을 분담하도록 설계하는 단계에 있다고 느꼈습니다.

또한, AI 도구를 활용할수록 그 도구 자체의 보안까지 설계에 포함해야 합니다. IPA(정보보호원)가 'AI에 대한 공격'을 10대 위협에 포함하고 있는 것은, 이 점을 미리 인지해 주었으면 하는 메시지로 읽었습니다.

• IPA 정보보호 10대 위협 2026
• NTT 도코모 비즈니스 AI SOC 제공 개시 (2026년 5월 20일)
• NTT 도코모 비즈니스, 자체 AI 에이전트가 자동 대응하는 'AI SOC' — 조사 가동률 95% 절감 (Cloud Watch)
• Introducing Google AI Threat Defense (Google Cloud Blog)
• IPA '정보보호 10대 위협 2026' AI의 사이버 리스크를 3가지로 나누어 이해하기 (Trend Micro)

이 글은 Zenn에서도 공개했습니다.