CISO는 이미 데브옵스 속도에 맞춰 개발자가 안전한 코드 원칙을 유지하도록 지원하는 데 어려움을 겪고 있었다. 이제 AI 지원 개발이 코드 작성과 배포 방식을 재편하면서 과제는 더욱 가속화되고 있다.

가트너 전망에 따르면 불과 2년 전 기업 소프트웨어 엔지니어의 약 14%만이 정기적으로 AI 코딩 보조 도구를 사용했지만, 해당 비율은 2028년까지 90%에 이를 전망이다. 또한 분석 기업 파로스 AI(Faros AI)의 연구에 따르면 AI를 사용하는 개발자는 풀 리퀘스트 병합이 98% 더 많은 것으로 나타났다.

보안 팀 입장에서는 속도 자체가 복합적인 문제를 만든다. 코드 양은 증가하고 생산 속도는 빨라지며 검토 시간은 줄어든다. 이론적으로는 AI 도구가 코드 리뷰의 수작업 영역을 자동화할 수 있지만, 실제 현장에서는 아직 높은 정확도로 작동하지 않는 경우가 많다. 또한 AI 기반 코드 리뷰 효율이 향상되더라도 개발자 교육이 불필요해지는 것은 아니다.

교육 방식이 달라져야 한다. AI 도구가 일반적인 코드 수준 결함을 더 잘 탐지하고 수정하게 되면서 개발자 보안 교육의 초점은 시스템적 소프트웨어 위험에 대한 위협 모델링의 근본 원칙으로 이동한다. 기존의 전통적 교육 방식은 폐기 대상이다. 보안 리더 사이에서는 개발자 교육이 짧고 실습 중심이며, 개발자 도구 체인에 내장돼야 한다는 공감대가 형성되고 있다.

출력에서 결과로 초점 전환

AI 지원 코딩이 성숙해질수록 일반적인 코드 수준 취약점 탐지는 점점 도구가 담당하게 된다. AI 코딩 보조 도구와 정적 분석, 자동 수정 기능이 결합되면 기존 개발자 보안 교육이 중점적으로 다뤄온 줄 단위 결함 상당수를 식별하고 수정할 수 있다. 대표적으로 SQL 인젝션, 크로스 사이트 스크립팅, 안전하지 않은 구성과 같은 문제가 여기에 해당한다.

CISO는 개발자 역량 강화와 교육 접근 방식을 재검토해야 한다. 자동화된 스캐닝과 수정이 AI 지원 개발의 기본 요건이 되더라도, 체크인 단계의 리뷰 과정은 여전히 다른 영역의 보안 취약점을 상당수 놓칠 가능성이 있다.

엑서터 파이낸스 수석 보안 엔지니어 안킷 굽타는 “AI가 생성한 코드는 문법적으로는 정확할 수 있지만 맥락상 위험할 수 있다”라고 말했다. 굽타는 “개발자는 ‘그럴듯하지만 신뢰할 수 없는’ AI 출력물을 검토해야 한다”며 “안전한 개발은 생성 중심 활동이 아니라 검증 중심 활동으로 전환되고 있다”라고 설명했다.

카네기 멜런 대학교 소프트웨어 공학 연구소 고신뢰 소프트웨어 신속 구현 기술 디렉터 하산 야사는 개발자가 줄 단위 코드 리뷰 준비에 집중하기보다 배포 환경 맥락에서 기능이 안전하게 동작하는지를 평가하는 데 초점을 맞춰야 한다고 말했다. 특히 통합 지점, 아키텍처, 로직에서 발생하는 위험을 식별할 수 있어야 한다고 강조했다.

야사는 “출력에서 결과로 이동하고 있다”며 실제 실행 환경에서 시스템이 어떻게 작동하는지를 비판적으로 검토하도록 유도하는 것이 목표라고 설명했다. “결과란 사용자에게 제공하는 기능이다. 해당 기능이 의도대로 동작하는지 확인해야 한다”라고 말했다.

개발자 보안 교육 플랫폼 시큐어플래그(SecureFlag) 공동 설립자 에밀리오 핀나는 이런 변화가 보안 인식 교육 내용의 근본적 전환을 의미한다고 밝혔다. 핀나는 “5년 전 산업 교육은 ‘이것은 하지 말고 저것은 항상 하라’는 식의 특정 패턴을 가르쳤다”며 “현재는 코드 생성 방식과 무관하게 어떤 코드든 평가할 수 있도록 근본 원칙에 초점을 맞춰야 한다”라고 말했다.

개발자는 AI 생성 코드가 안전하지 않은 가정, 취약한 기본 설정, 시스템 전반으로 확산될 수 있는 통합 취약점을 도입하는지 인지할 수 있어야 한다. 또한 자동화된 엔지니어링 파이프라인에 더 많은 보안 통제가 내장되면서, 자동 게이트가 무엇을 잡아내고 무엇이 인간 판단을 요구하는지도 이해해야 한다. 핀나는 “엔지니어링 내 보안 인식은 개별 취약점 중심이 아니라 시스템 수준 접근으로 이동했다”며 “아이덴티티 및 접근 관리, 종속성, 공급망 위험 등이 포함된다”라고 말했다.

핵심 역량으로서의 위협 모델링

이런 시스템 수준 사고는 개발자의 위협 모델링 숙련도를 높여야 할 필요성을 부각한다. 야사는 제품 보안과 엔지니어링 팀이 위협 모델링을 대규모로 운영화하는 데 오랜 기간 어려움을 겪어왔다고 설명했다. 애플리케이션 사용 맥락, 아키텍처, 관련 위험에 대한 충분한 이해가 부족해 효과적 위협 모델을 구축하기 어려웠다는 것이다.

AI는 이런 부분에서 도움이 될 수 있다. 기업 맥락과 아키텍처 패턴을 종합해 위협 모델 구축을 쉽게 만들 수 있다. 그러나 AI가 위협 모델링의 절차를 가속하더라도 개발자는 신뢰 경계를 설정하는 방법, 보호 가치가 있는 자산 식별 방법, 공격자가 기능을 악용할 방식을 예측하는 방법 등 기본 원칙을 이해해야 한다. 개발자 교육을 취약점 회피 중심에서 전환하려는 CISO라면 위협 모델링 역량을 핵심 능력으로 포함해야 한다.

수주 랩스 설립자 마이클 벨은 CTO와 CISO가 개발자와 엔지니어링 팀 전반이 ‘위협 모델링 직관’을 기르도록 지원해야 한다고 말했다. 벨은 “단순히 코드가 작동하는지 확인하는 수준을 넘어 ‘어떻게 악용될 수 있는가’를 질문해야 한다”며 “코드 작성의 상당한 인지 부담을 AI에 위임하는 만큼 확보된 시간과 기회를 출력된 코드를 검토하는 데 활용해야 한다”라고 강조했다.

벨은 위협 모델링 직관을 구축하려면 공격자가 애플리케이션을 어떻게 노릴지 체험하는 사이버 레인지 기반 실습 훈련이 필요하다고 말했다. 벨은 “AI가 일상적 코딩 업무를 더 많이 처리할수록 인간의 가치는 판단력으로 이동한다”며 “실습 훈련은 강의나 영상이 제공하지 못하는 판단력을 길러준다”라고 말했다.

거버레일에 교육 신호를 내재화

실습 교육의 핵심 과제는 고속 엔지니어링 환경에서 이를 어떻게 제공할지에 있다. AI 지원 코딩은 워크플로를 가속화하고 생산 기대치를 더욱 높이고 있다. 교육을 위해 속도 조절을 요구하는 CISO는 CTO에게 부담으로 비칠 수 있다.

핀나는 “전통적이고 정적인 일회성 교육은 현재 개발 생애주기에서 효과가 없다”며 “현실적 엔지니어링 시나리오를 기반으로 한 지속적 실습 교육과 상황 맞춤형 즉시 학습이 효과적”이라고 말했다.

보안 코딩 리더 사이에서 부상하는 접근 방식은 플랫폼 엔지니어링과 개발자 엔지니어링을 결합해 개발자가 이미 사용하는 워크플로와 도구에 보안 지침을 직접 내장하는 것이다. 과거 교육 내용을 기억하길 기대하기보다, 보안 팀은 통제를 수행하면서 동시에 학습을 유도하는 거버레일을 구축해야 한다.

핀나는 “보안 팀은 개발 파이프라인 전반에 확장 가능한 거버레일을 구축하고 있다”며 “거버레일은 위험을 지침으로 전환하고 자동화 도구가 교육을 강화하도록 한다”라고 말했다. 목표는 교육과 통제가 함께 작동하도록 만들어 거버레일을 경험하는 과정 자체가 보안 원칙 이해로 이어지도록 하는 것이다.

굽타 역시 유사한 비전을 제시했다. 굽타는 “문서를 읽도록 요구하는 대신, 파이프라인에 보안 기대치를 내장하고 통제 이유와 준수 방법을 설명하는 안내를 제공한다”라고 말했다.

단순한 안내 수준을 넘어설 수 있다. 개발자가 직면한 정확한 문제를 기반으로 5분, 10분, 15분 단위 온디맨드 마이크로 학습을 제공하는 방식도 효과적이다. 야사는 “내가 사용하는 도구가 학습을 도와야 한다”라고 말했다.

거버레일과 통제가 작동한 데이터는 애플리케이션 보안 팀이 심층적이면서도 목표 지향적 교육을 설계하는 데 활용될 수 있다. 동일한 취약점이나 통합 패턴이 반복될 경우 특정 주제에 대한 집중 교육 신호로 해석할 수 있다.

벨은 “애플리케이션 보안 팀은 자동화된 탐지 결과를 교육과 연결하는 핵심 역할을 한다”며 “같은 문제가 반복되면 교육 기회로 삼아야 한다”라고 말했다.

CISO의 새로운 교육 의제

현명한 CISO는 바이브 코딩 환경이 개발팀에 더 높은 수준의 보안 역량을 요구한다는 점을 인식하고 있다. 보안 리더는 엔지니어링 리더십과 더욱 긴밀히 협력해 보안 인식 교육의 내용과 전달 방식 변화를 이끌어야 한다.

보안 전문가는 AI 지원 코딩이 기업에 자리 잡으면서 또 다른 교육 과제가 등장한다고 지적한다. 개발자는 AI 도구 자체를 안전하게 사용하는 방법에 대한 교육도 받아야 한다.

야사는 “CISO는 엔지니어가 보안 관점에서 AI 도구를 사용하도록 어떻게 교육할 것인지 고민해야 한다”며 “도구에 무엇을 요청하고 무엇을 받았는지 평가하고 검증하는 방법을 가르쳐야 한다”라고 말했다. 이는 거버넌스 문제로 귀결된다.

CTO 및 이해관계자와 협력해 AI 지원 코드에 인간 검토가 필요한 시점, AI 도구에 사용할 수 있는 데이터 유형, 코드가 프로덕션에 도달하기 전 AI 사용 통제 방식을 정의하는 명확한 정책을 수립해야 한다. 굽타는 기업이 개발자 역량 강화 프로그램의 일환으로 이런 규칙을 공식화하기 시작했다고 말했다.

또한 보안 설계 내재화 목표를 실현할 기회도 있다. CISO는 엔지니어링 팀과 협력해 프롬프트 엔지니어링 지침을 활용해 코드 생성 시점에 보안 요구 사항을 포함할 수 있다. 보안 팀이 교육과 사전 정의된 프롬프트 문구를 제공하면 초기 단계부터 더 안전한 소프트웨어 생산을 유도할 수 있다.

야사는 “프롬프트에 규정 준수를 내재화할 수 있다”며 “개발자는 웹 로그인 기능을 생성하도록 요청하면서 관련 규정 지침을 상세히 포함할 수 있다”라고 설명했다. 이런 접근은 설계 단계에서부터 규정 준수를 구현하는 기회를 제공한다.

이처럼 CISO는 AI 지원 코딩 전환을 활용해 이전보다 더 회복력 있는 소프트웨어를 구축할 수 있다. 결론적으로 개발자 교육은 계속 필요하다. CISO는 보안 판단력이 엔지니어링 문화에 내재화되도록 변화에 적극 개입해야 한다. 위협 모델링, 거버레일, AI 거버넌스 역량을 개발자가 매일 사용하는 도구에 직접 통합하는 것이 핵심이다.

dl-itworldkorea@foundryco.com