AI로 해킹이 쉬워졌더니 서버 보안 예산이 2배 — 웨드부시, 4,000억 달러 전망

AI가 발전하면 해킹이 줄어들 것이라는 기대가 있었습니다. AI가 공격을 자동으로 탐지하고 차단하니까요. 그런데 월스트리트의 대표적인 AI 강세론자, 웨드부시(Wedbush Securities)의 댄 아이브스(Dan Ives) 수석 애널리스트는 정반대의 분석을 내놨습니다. "AI가 지난 20년간 사이버보안 산업에서 가장 강력한 촉매제로 작용하고 있다." RSA 콘퍼런스(사이버보안 분야 세계 최대 연례 행사)를 앞두고 발간된 2026년 3월 보고서의 핵심 결론입니다.

역설적이게도, AI가 공격자의 무기가 되면서 방어 예산이 오히려 더 빠르게 늘어나고 있습니다. 이 역설을 정확히 읽은 웨드부시는 기술주 대폭락 속에서도 사이버보안주를 강력 매수하라고 권고했습니다. 왜 그런지, 숫자로 살펴보겠습니다.

공격이 쉬워지면 방어 비용이 2배 — 웨드부시가 제시한 숫자들

현재 기업들이 전체 IT 예산 중 보안에 쓰는 비중은 약 5~8%입니다. 웨드부시는 이 비중이 머지않아 10%로 올라갈 것이라 전망했습니다. 단순한 수치 변화 같지만, 실제 의미는 전 세계 보안 시장 규모가 현재 약 2,000억 달러(약 280조 원)에서 4,000억 달러(약 560조 원) 이상으로 2배 이상 성장한다는 뜻입니다.

기관마다 전망치는 다르지만 방향은 같습니다:

• Gartner(가트너, 세계 최대 IT 리서치 기관): 2026년 보안 지출 2,400억 달러(전년 대비 +12.5%)
• IDC(아이디씨, 글로벌 시장조사 기관): 2026년 3,080억 달러 → 2029년 4,300억 달러
• 웨드부시(미국 대형 투자분석사): 향후 수 년 내 4,000억 달러 이상
• Cybersecurity Ventures: AI 역량까지 포함 시 총 시장 2조 달러

특히 AI 사이버보안(AI 기술을 활용한 보안 도구·서비스 세부 시장)은 2024년 243억 달러에서 2030년 1,338억 달러로 연평균 21.9% CAGR(연평균 복합 성장률, 매년 평균적으로 얼마나 성장하는지 나타내는 지표)로 성장할 것으로 분석됩니다. 이는 전통적인 보안 시장 성장률(CAGR 13.8%)의 약 1.6배에 달합니다.

기업 IT 지출 순증가율은 33%에 달하고, 보안 예산과 AI 예산 모두 전년 대비 각각 20%씩 증가했습니다. 웨드부시 수석 애널리스트 댄 아이브스는 2026년을 AI 투자의 "변곡점(Inflection Point, 흐름이 급격히 바뀌는 전환 시점)"으로 공식 지목했습니다.

왜 AI가 서버와 컴퓨터를 오히려 더 위험하게 만드나

① 비인간 신원(Nonhuman Identity)의 폭발적 증가

AI 에이전트(사람의 지시 없이 자율적으로 작동하는 AI 프로그램)가 기업 내에 빠르게 도입되면서 새로운 문제가 생겼습니다. AI 에이전트 하나하나가 회사 서버와 시스템에 접속할 때 별도의 '계정(신원)'을 가지게 되는데, 이를 비인간 신원(Nonhuman Identity, NHI)이라고 부릅니다.

기존 보안 시스템은 '사람'이 접속한다고 가정하고 설계됐습니다. 그런데 직원 100명인 회사에 AI 에이전트가 수천 개 도입되면, 보안팀이 관리해야 할 '계정'이 수천 배로 늘어납니다. 이 AI 계정들 대부분은 기존 보안 체계에 포함되어 있지 않아, 새로운 공격 경로인 공격 표면(Attack Surface, 해커가 침투할 수 있는 취약한 진입점의 총합)이 기하급수적으로 늘어납니다.

CDW의 수석 CISO(최고 정보보안 책임자)인 월트 파웰(Walt Powell)은 RSA 콘퍼런스 2026에서 이렇게 말했습니다: "보안 프로그램의 모든 영역 — GRC(지배구조·위험관리·컴플라이언스), IAM(신원 및 접근 관리 시스템), SOC(보안관제센터, 24시간 보안 위협 모니터링 조직) — 어디에나 AI 에이전트가 들어가고 있다."

② AI 무기를 든 공격자 vs AI 방패를 든 방어자

AI는 방어팀만 쓰는 것이 아닙니다. 공격자들도 AI를 씁니다. 피싱 이메일(가짜 이메일로 정보를 훔치는 공격)을 AI로 자동 생성하면 이전에는 전문 해커가 수 시간 걸리던 작업을 누구나 수 분 만에 할 수 있습니다. 랜섬웨어(컴퓨터와 서버를 잠그고 돈을 요구하는 악성 프로그램) 코드 작성 비용과 기술 장벽도 AI 덕분에 극적으로 낮아졌습니다.

웨드부시는 보고서에서 이 역설을 명확히 짚었습니다: "AI는 엔드포인트(PC·서버·스마트폰 등 네트워크에 연결된 모든 기기), ID(신원 관리), 클라우드, 보안관제 자동화의 필요성을 줄이는 것이 아니라 오히려 확대시키고 있다."

파웰은 이를 두 가지 과제로 정리했습니다: "AI를 위한 보안(AI가 제대로 작동하도록 보호)과 AI로부터의 보안(AI를 무기로 쓰는 공격자 방어), 두 가지를 동시에 해결해야 한다."

2026년 기술주 폭락 속 사이버보안주가 오른 이유

2026년 초, 나스닥이 관세·거시 불확실성으로 출렁이면서 기술주가 대규모 매도세를 맞았습니다. 그러나 웨드부시는 이 상황에서도 사이버보안주를 "AI의 세이프 하버(Safe Harbor, 폭풍 속 안전한 피난항)"로 규정하고 강력 매수 권고를 유지했습니다. 심지어 댄 아이브스는 이 시기 사이버보안주를 "내 커리어에서 본 가장 저평가된 거래(most disconnected trade)"라고 표현했습니다.

Gartner는 2027년까지 사이버보안 지출의 40% 이상이 AI 관련 역량에 직접 연계될 것이라고 전망했습니다. 2023년 기준 겨우 8%였으니, 4년 만에 5배 수준으로 올라가는 셈입니다.

비CISO 부문(IT 부서 외 일반 사업부서의 보안 지출)도 향후 3년간 연 24% CAGR로 성장할 것으로 예상됩니다. 보안이 이제 IT 부서만의 과제가 아닌, 경영진 전체의 의제가 된 것입니다. AI 에이전트 도입으로 인한 보안 리스크 관리법은 에이전틱 AI 기초 가이드에서 더 자세히 확인할 수 있습니다.

웨드부시가 가장 주목한 보안 기업 CrowdStrike 실적

웨드부시 보고서에서 최고 투자 추천주로 꼽힌 것은 CrowdStrike(크라우드스트라이크)입니다. 클라우드 기반의 엔드포인트 보안(PC·서버 등 기기를 실시간으로 지키는 솔루션) 플랫폼을 제공하는 이 회사의 성장세가 놀랍습니다:

CrowdStrike 주요 성과 지표 (2021~2026)
─────────────────────────────────────
매출 CAGR(연평균 성장률)     : 41%
조정 순이익 연간 성장률       : 73%
현재 시가총액                : 1,037억 달러
6개 이상 모듈 사용 기업 비율  : 24% → 50% (5년간 2배)
─────────────────────────────────────
→ 한 번 도입하면 기능을 계속 추가하는 '플랫폼 잠금 효과' 뚜렷

보안 투자의 효과를 수치로 보면 더 명확합니다. 의료 분야에서 데이터 침해 사고가 발생하면 건당 평균 700만 달러(약 98억 원) 이상의 비용이 발생합니다. 반면 제로 트러스트(Zero Trust, '아무도 기본적으로 신뢰하지 않는다'는 보안 원칙으로, 모든 접속마다 신원을 재확인) 투자의 ROI(투자 수익률)는 1달러 투자당 3.5달러 수익으로 나타납니다. 보안을 비용이 아닌 수익 창출 수단으로 보는 시각이 확산되는 이유입니다.

AI 도구를 직접 설치하고 보안 설정을 점검하고 싶다면, AI 도구 환경 세팅 기초 가이드부터 시작해보세요.

장밋빛만은 아니다 — 반론과 현실적 한계

웨드부시의 전망이 장밋빛만은 아닙니다. 균형 잡힌 시각을 위해 반론도 살펴볼 필요가 있습니다:

• 실제 2025년 기업 보안 예산 성장률은 고작 4%로, 전년(8%) 대비 오히려 반토막 났습니다. IT 예산 내 보안 비중도 11.9%→10.9%로 소폭 하락하는 역행 데이터가 존재합니다.
• 웨드부시는 월스트리트에서 가장 낙관적(Bullish)인 애널리스트로 꼽혀 낙관 편향(Optimism Bias) 비판을 받습니다. "향후 몇 년 내" 10% 달성이라는 예측은 구체적 달성 시기가 불명확합니다.
• 중소기업은 보안 예산을 2배로 늘리기 어려운 구조적 한계가 있어, 시장 성장이 대기업 집중에 그칠 수 있습니다.
• 관세 불확실성과 경기 변동으로 IT 전체 예산이 위축될 경우, 보안 예산도 감소 압력을 받을 수 있습니다.
• AI 보안 도구 도입이 오히려 새로운 취약점을 만들 수 있다는 역설도 RSAC 2026 주요 의제로 제기됐습니다.

기관별 2026년 전망치도 큰 폭 차이를 보입니다 — Gartner(2,400억 달러) vs IDC(3,080억 달러) vs 웨드부시(4,000억 달러 이상). 어느 수치가 현실이 될지는 지켜볼 필요가 있습니다. 그러나 방향성 자체에는 이견이 없습니다. AI 시대일수록 보안은 더 중요해집니다.

관련 콘텐츠 — Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기