AI 시대, 보안전문가가 일을 대하는 방식에 대한 생각

2026년 첫 포스팅이기에 한 해의 방향성을 다잡는다는 생각으로 조금은 주관적일 수 있는 내용을 가져와봤다.

---

1부. 보안전문가가 AI를 잘 활용하는 법

보안은 결국 흐름이다

서론

AI가 나오고 나서 보안 일하는 방식이 꽤 바뀌었다.
툴도 직접 만들고, 스크립트도 빨리 짜고, 문서도 AI 도움 받아 정리한다.

근데 써보면 알게 된다.
AI가 일을 대신해주는 건 아니다.
내가 생각을 안 해도 되는 도구도 아니다.
오히려 생각을 더 많이 하게 만든다.

---

본론

보안도 이제 개발 잘해야 하냐는 얘기 많이 나온다.
솔직히 문법은 덜 중요하다.
AI가 다 써준다. 틀리면 다시 고치면 된다.

문제는 이 일을 왜 하고 있는지, 어떤 순서로 진행되는지, 어디까지가 반복이고 어디부터가 판단인지가 정리돼 있느냐다.

---

보안 실무는 원래 흐름 덩어리다.

자산을 보고,
설정이나 로그를 확인하고,
기준과 비교해서 판단하고,
정리해서 보고한다.

이 흐름을 사람이 계속 손으로 반복한다.
귀찮고, 실수 나고, 시간도 많이 든다.
AI랑 개발은 이 흐름을 코드로 옮기는 도구다.

---

AI는 코드 짤 때만 쓰는 게 아니다.
아이디어 단계에서도 꽤 쓸모 있다.

이거 자동화할 수 있을지, 이 흐름이 과한 건 아닌지, 단계를 줄일 수는 없는지 그냥 던져본다.

정답을 기대하기보다는 생각을 한 번 더 굴려보는 용도다.
이 과정에서 놓치고 있던 단계가 보이기도 하고, 쓸데없는 작업이 드러나기도 한다.

 

요즘은 AI를 내 생각을 대신해주는 도구라기보다는 내 생각을 정리해주는 도구에 가깝게 쓴다.

머릿속에 막연하게 떠 있는 걸 문장으로 풀어 쓰게 만들고, 그걸 다시 구조로 정리하게 만든다.

 

그래서 AI한테 코드를 시키기 전에 생각부터 던지는 경우가 많다.

이걸 자동화해도 되는지, 굳이 이 단계가 필요한지, 사람이 꼭 봐야 하는 지점은 어딘지.

AI는 답을 주기보다는 내 생각을 한 번 더 정돈하게 만든다.

---

AI를 잘 쓰는 사람들을 보면 공통점이 있다.
자기 업무 흐름을 정확히 안다.

이 단계는 왜 있는지,

이건 자동화해도 되는지,

여기서 판단이 들어가는지,

이걸 빼면 뭐가 깨지는지 이게 정리돼 있다.

그래서 AI에게 뭘 시킬지도 명확하다.

그리고 중요한 게 하나 더 있다.
어떤 기능이 필요한지 명확히 알고, 그걸 세세하게 요청할 수 있는 능력이다.

자동화해달라고 뭉뚱그리지 않는다.

입력은 뭐고,

조건은 어떻게 나뉘는지,

예외는 뭔지,

출력은 어디에 쓰일 건지까지 말한다.

 

AI는 문법보다 요구사항을 더 잘 먹는다.

---

반복되는 업무는 과감하게 자동화한다.
로그 파싱, 설정 비교, 결과 정리, 보고서 초안.
사람이 할 이유가 없다.

 

대신 판단이 들어가는 부분은 남긴다.
보안에서 이 선을 잘못 잡으면
편해지는 게 아니라 위험해진다.

---

AI로 코드 짜고 끝내면 찜찜하다.
돌아가긴 하지만 그대로 쓰긴 불안하다.

그래서 항상 한 번 더 본다.
쓸데없이 복잡한지, 흐름이 한눈에 보이는지, 다른 사람이 봐도 이해할 수 있을지.

그리고 다시 AI에게 정리해달라고 한다.

가독성 정리, 불필요한 로직 제거, 라인 단위 주석 추가

이 과정까지 가야 실무에서 쓸 만해진다.

---

결론

AI 시대에 보안전문가에게 중요한 건 개발자가 되는 게 아니다.

업무의 흐름을 이해하고, 어떤 기능이 필요한지 명확히 정의하고, AI에게 그걸 세세하게 요청할 수 있는 능력이다.

 

AI는 생각을 대신해주지 않는다.
대신 생각을 정리해주고, 넓혀주고, 구현을 빠르게 해준다.
그래서 보안의 중심은 여전히 사람이다.

---

2부. 컨설턴트가 생각하는 AI 시대 보안전문가의 AI 활용 방식

서론

1부에서는 AI를 어떻게 쓰고 있는지, 어떤 식으로 일을 정리하고 있는지에 대해 썼다.

2부에서는 조금 더 개인적인 얘기를 해보려고 한다.

이게 맞는 방향인지, 정답인지까지는 모르겠다.
다만 AI 시대를 살면서 나는 나중에 이런 보안담당자가 되어야겠다. 정도는 정리해볼 수 있을 것 같다.

---

본론

내가 되고 싶은 보안담당자는 AI를 잘 쓰는 사람이기보다는 AI를 기준 삼지 않는 사람이다.

AI가 있다고 해서 모든 걸 자동화하려 들지 않고,

AI가 없다고 해서 아무것도 못 하는 상태도 아닌.

AI는 그냥 일을 돕는 도구 중 하나였으면 좋겠다.

---

AI를 쓸 때도 제일 먼저 하고 싶은 건 코드를 짜는 게 아니다.

이 일이 왜 필요한지, 어디가 반복이고, 어디부터가 판단인지부터 먼저 정리하는 사람이고 싶다.

 

자동화할 수 있는 부분은 자동화하되, 판단이 들어가는 영역은 일부 남겨두는 쪽을 택하고 싶다.

보안에서 판단을 덜어내는 자동화는 편해질 수는 있어도 안전해지지는 않는다고 생각한다.

---

AI는 내 생각을 대신해주는 존재가 아니라 내 생각을 정리해주는 도구였으면 좋겠다.

머릿속에 대충 떠 있는 걸 말로 풀어내게 만들고, 그 말을 다시 구조로 정리하게 만드는 역할.

그래서 AI에게 코드를 요청하기 전에 생각부터 던질 수 있는 사람이 되고 싶다.

이 작업을 굳이 자동화해야 하는지,
이 단계는 왜 존재하는지,
사람이 꼭 봐야 하는 지점은 어딘지.

AI는 답을 주기보다는 내 생각을 한 번 더 점검하게 만드는 쪽이면 충분하다.

---

또 하나는 요구사항을 명확하게 정리할 수 있는 보안전문가다.

자동화가 필요하다고 느꼈을 때 막연하게 “자동화해보자”가 아니라,

입력은 뭐고,
조건은 어떻게 나뉘고,
예외는 뭔지,
출력은 어디에 쓰일 건지까지 말로 설명할 수 있는 사람.

AI에게 세세하게 요청할 수 있다는 건 결국 일을 세세하게 이해하고 있다는 뜻이라고 생각한다.

---

AI가 짜준 코드도 그대로 쓰고 끝내고 싶지는 않다.

돌아간다고 끝이 아니라, 흐름이 보이는지, 다시 봐도 이해할 수 있는지, 다른 사람이 봐도 괜찮은지까지
한 번 더 보고 싶다.

가독성 정리하고,
불필요한 로직 걷어내고,
주석 달고.

“일단 쓰는 코드” 말고
“남겨도 되는 코드”를 만드는 쪽에 가깝고 싶다.

---

결론

정리해보면 내가 AI 시대에 되고 싶은 보안전문가는 이렇다.

AI를 맹신하지 않고,
그렇다고 거부하지도 않으며,
업무의 흐름을 먼저 생각하고,
반복은 자동화하되
판단은 끝까지 사람이 가져가는 사람.

 

AI는 내 일을 대신해주는 존재가 아니라
내 생각을 정리해주고 속도를 올려주는 도구였으면 좋겠다.

 

아직은 다 잘하고 있다고 말하긴 어렵다.
다만 이 방향으로는 가고 싶다.

 

이 정도면 지금 시점에서의 내 기준은 된 것 같다.

---

이상, 조금은 주제넘게 보일수도 있지만
투박하고 먹구름 낀 것 같은 개인적인 생각을 AI의 도움으로 정리한 포스팅이었다.