사이버보안이 '작업 증명'이 됐다 — AI 시대, 방어 비용은 누가 져야 하나

사이버보안 업계에서 흥미로운 비유가 돌고 있습니다. “보안은 이제 작업 증명(Proof of Work)이 됐다"는 겁니다. 비트코인 채굴처럼, 시스템을 안전하게 지키려면 끝없이 연산 자원을 태워야 한다는 뜻인데요. AI가 공격 도구를 민주화하면서 이 논쟁이 다시 수면 위로 올라왔습니다.

공격은 싸지고, 방어는 비싸지고

사이버보안의 근본적인 비대칭은 오래된 이야기입니다. 공격자는 딱 하나의 취약점만 찾으면 되지만, 방어자는 모든 경로를 막아야 합니다. 문제는 AI가 이 비대칭을 극단적으로 벌려놓고 있다는 점입니다.

LLM 기반 도구들이 피싱 메일을 자동 생성하고, 취약점 스캐닝을 자동화하고, 심지어 소셜 엔지니어링까지 대행하는 시대가 왔습니다. 공격의 한계비용이 사실상 0에 수렴하고 있는 겁니다. 반면 방어 비용은? 여전히 사람의 시간, 인프라 투자, 그리고 끊임없는 패치 사이클에 묶여 있습니다.

“작업 증명” 비유의 핵심

이 비유가 주목받는 이유는 꽤 정확하기 때문입니다. 비트코인의 작업 증명은 네트워크를 안전하게 유지하기 위해 참여자들이 실제 에너지를 소모하는 구조입니다. 사이버보안도 마찬가지로, 시스템을 신뢰할 수 있는 상태로 유지하려면 조직이 막대한 자원을 계속 투입해야 합니다.

문제는 이 비용이 불균등하게 분배된다는 것입니다. 대기업은 수천억 원의 보안 예산을 집행할 수 있지만, 스타트업이나 개인 개발자는 어떨까요. 오픈소스 메인테이너 한 명이 수백만 사용자의 보안을 책임지는 구조에서, “작업 증명"의 부담은 가장 여유가 없는 사람에게 돌아갑니다.

antirez의 반론 — “비유는 좋지만, 해법이 틀렸다”

Redis 창시자이자 개발자 커뮤니티의 영향력 있는 목소리인 antirez(Salvatore Sanfilippo)는 이 논의에 날카로운 반론을 내놓았습니다. 그의 핵심 논점은 이렇습니다.

작업 증명 비유가 현상을 잘 포착하긴 하지만, 해법의 방향이 잘못됐다는 것입니다. 비트코인의 작업 증명은 의도적으로 설계된 시스템입니다. 보안의 작업 증명은 의도치 않은 부산물이고요. 이 둘을 같은 프레임으로 묶으면, 마치 높은 방어 비용이 “원래 그런 것"처럼 정당화될 위험이 있다는 지적입니다.

antirez는 진짜 문제를 이렇게 짚었습니다. 소프트웨어가 태생적으로 너무 복잡하다는 것. 복잡성이 공격 표면을 만들고, 그 공격 표면을 방어하는 데 자원이 소모됩니다. AI로 방어를 자동화하자는 접근보다, 애초에 공격 표면을 줄이는 설계가 우선이라는 주장입니다.

방어의 AI 자동화, 진짜 답이 될까

업계 일각에서는 “AI로 공격하면, AI로 방어하면 된다"는 낙관론을 내놓습니다. 실제로 AI 기반 위협 탐지, 자동 패치, 이상 행동 분석 도구들이 빠르게 발전하고 있긴 합니다.

하지만 여기에는 함정이 있습니다. AI 방어 도구 역시 비용이 드는 서비스입니다. 결국 방어자의 지갑에서 나가는 돈이 바뀌는 게 아니라, 비용의 형태만 바뀌는 셈입니다. 보안 엔지니어 인건비가 AI SaaS 구독료로 대체될 뿐, 총비용은 줄어들지 않을 수 있습니다.

더 근본적인 문제도 있습니다. AI 방어 도구 자체가 새로운 공격 표면이 된다는 점입니다. LLM을 활용한 보안 시스템이 프롬프트 인젝션에 취약하다면, 방어 도구가 오히려 침투 경로가 되는 아이러니가 발생합니다.

그래서, 누가 이 비용을 져야 하나

이 논쟁의 본질은 결국 책임 분배의 문제입니다. 현재 구조에서는 최종 사용자와 서비스 운영자가 방어 비용의 대부분을 흡수합니다. 하지만 취약한 소프트웨어를 출하한 벤더, 보안 표준을 강제하지 않는 플랫폼, 그리고 규제 프레임워크를 설계하는 정부 모두 이 비용의 일부를 분담해야 한다는 목소리가 커지고 있습니다.

EU의 사이버 복원력 법(Cyber Resilience Act)이나 미국의 소프트웨어 공급망 보안 행정명령은 이 방향의 첫 걸음입니다. 소프트웨어 제조사에게 기본적인 보안 책임을 지우는 것. “작업 증명"의 부담을 최종 사용자에게만 떠넘기지 않겠다는 신호입니다.

antirez의 지적처럼, 방어 비용을 당연한 것으로 받아들이는 순간 우리는 더 나은 설계를 포기하게 됩니다. AI 시대의 사이버보안은 결국 “더 잘 막는 기술"이 아니라 “덜 뚫리는 구조"에서 답을 찾아야 할지도 모릅니다. 여러분의 조직은 지금 보안 비용을 어떻게 감당하고 계신가요?