AI 코딩 시대, CISO는 개발자 교육을 혁신하여 위협 모델링 역량을 강화하고, 거버레일 구축 및 AI 거버넌스 체계를 확립해야 합니다.
AI 시대, CISO의 새로운 도전
CISO는 이미 데브옵스 속도에 맞춰 개발자가 안전한 코드를 유지하도록 지원하는 데 어려움을 겪고 있었습니다. 이제 AI 지원 개발이 코드 작성과 배포 방식을 재편하면서 과제는 더욱 가속화되고 있습니다. 2028년까지 기업 소프트웨어 엔지니어의 약 90%가 AI 코딩 보조 도구를 사용할 것으로 예상됩니다. 코드 양은 증가하고 생산 속도는 빨라지며 검토 시간은 줄어드는 상황에서, CISO는 개발자 역량 강화와 교육 접근 방식을 재검토해야 합니다.
출력에서 결과로: 교육 패러다임 전환
AI 코딩 보조 도구와 자동 수정 기능이 발전하면서, SQL 인젝션, 크로스 사이트 스크립팅과 같은 일반적인 코드 수준 취약점은 도구가 식별하고 수정할 수 있게 됩니다. 개발자는 줄 단위 코드 리뷰 준비에 집중하기보다 배포 환경 맥락에서 기능이 안전하게 동작하는지를 평가하는 데 초점을 맞춰야 합니다. 즉, 출력에서 결과로 초점을 전환하여 실제 실행 환경에서 시스템이 어떻게 작동하는지를 비판적으로 검토해야 합니다.
핵심 역량으로서의 위협 모델링
시스템 수준 사고는 개발자의 위협 모델링 숙련도를 높여야 할 필요성을 부각합니다. 개발자는 신뢰 경계를 설정하는 방법, 보호 가치가 있는 자산 식별 방법, 공격자가 기능을 악용할 방식을 예측하는 방법 등 기본 원칙을 이해해야 합니다. 개발자 교육을 취약점 회피 중심에서 전환하려는 CISO라면 위협 모델링 역량을 핵심 능력으로 포함해야 합니다.
거버레일에 교육 신호를 내재화
실습 교육의 핵심 과제는 고속 엔지니어링 환경에서 이를 어떻게 제공할지에 있습니다. 전통적이고 정적인 일회성 교육은 효과가 없습니다. 현실적인 엔지니어링 시나리오를 기반으로 한 지속적인 실습 교육과 상황 맞춤형 즉시 학습이 효과적입니다. 보안 팀은 개발 파이프라인 전반에 확장 가능한 거버레일을 구축하여 위험을 지침으로 전환하고 자동화 도구가 교육을 강화하도록 해야 합니다.
CISO의 새로운 교육 의제
CISO는 엔지니어가 보안 관점에서 AI 도구를 사용하도록 교육해야 합니다. 도구에 무엇을 요청하고 무엇을 받았는지 평가하고 검증하는 방법을 가르쳐야 합니다. CTO 및 이해관계자와 협력하여 AI 지원 코드에 인간 검토가 필요한 시점, AI 도구에 사용할 수 있는 데이터 유형, 코드가 프로덕션에 도달하기 전 AI 사용 통제 방식을 정의하는 명확한 정책을 수립해야 합니다. 프롬프트 엔지니어링 지침을 활용하여 코드 생성 시점에 보안 요구 사항을 포함할 수도 있습니다.
결론적으로 개발자 교육은 계속 필요합니다. CISO는 보안 판단력이 엔지니어링 문화에 내재화되도록 변화에 적극 개입해야 합니다. 위협 모델링, 거버레일, AI 거버넌스 역량을 개발자가 매일 사용하는 도구에 직접 통합하는 것이 핵심입니다.
