거울과 그 쌍둥이: AI, 견습, 그리고 사이버 작전의 공허화

Source: Dev.to

Introduction

AI가 사이버 보안을 무너뜨린 것이 아니라 이미 취약했던 부분을 드러낸 것이다. 수년간 사이버 보안은 운영자 인지에서 분석가 의존으로 흐려져 왔다. AI가 그 분열을 일으킨 것이 아니라, 문제를 무시할 수 없게 만들었을 뿐이다.

The Mirror & Its Twin Pattern

The Mirror

• 겉핥기 수준의 역량
• AI가 만든 사고 방식
• 내부 구조 없이 설득력 있는 분석

The Twin

• 실제 운영자 인지
• 내부 스키마, 불변식, 불확실성 하에서의 추론

AI는 Mirror를 그 어느 때보다 설득력 있게 만들고, Twin과 구별하기 어렵게 만든다.

Litmus Test

AI가 24시간 사라진다면, 당신의 워크플로우가 완전히 무너질까, 아니면 단지 느려질까?

• 무너짐 → Mirror
• 느려짐 → Twin

AI’s Effect on Core Tasks

AI는 다음 작업들의 비용을 낮춘다:

• 스크립트 디코딩
• 악성코드 요약
• YARA 규칙 생성
• 인프라 매핑
• 프로토콜 설명
• 탐지 규칙 작성

이 작업들은 원래 운영자의 내부 모델을 형성하는 견습 과정의 핵심이었다. 이제는 프롬프트 하나로 해결된다.

Expertise vs. Appearance

AI가 전문성을 자동화한 것이 아니라, 전문성의 외양을 자동화한 것이다. 위험은 AI 자체가 아니라, 조직이 결과물을 이해로 착각하는 데 있다.

Building Real Operators in a Third‑Gen Landscape

불변식에 대해 운영자를 교육한다:

• 적대적 의도
• 프로토콜 동작
• 엔트로피와 구조
• 공격자 경제학
• 인프라 제약
• 탐지 이론
• 실패 모드
• 시스템 경계

이것들은 AI가 지원할 수는 있지만 절대 대체할 수 없는 요소이다. 도구가 실패했을 때도 살아남는 운영자 인지의 골격을 이룬다.

Rethinking Training

Shift Focus to Reasoning

• 교육을 처리량이 아니라 추론 중심으로 재구성한다.
• AI에 문의하기 전에 분석가는 다음을 명확히 해야 한다:
  • 가설
  • 기대 행동
  • 이상 징후
  • 가정
  • 알 수 없는 부분

모델이 먼저이고, 도구는 그 다음이다.

Use AI as a Second Opinion

• 운영자는 자신의 내부 모델을 머신의 출력과 비교하고, 이를 다듬는다.

Embrace Struggle

분석가에게 다음을 제공한다:

• 구조화되지 않은 로그
• 손상된 패킷
• 이상한 바이너리
• 모호한 피벗
• 불완전한 텔레메트리

고군분투하는 과정에서 모델이 형성된다. 고군분투를 없애면 견습 과정도 사라진다.

Governance and Incentives

• 조직이 처리량을 보상하면 Mirror가 생긴다.
• 조직이 추론을 보상하면 Twin이 생긴다.

측정하는 대로 얻는다.

Conclusion

AI는 힘을 배가시키는 도구이지만, 배가시킬 실제가 있어야 의미가 있다. 지금 바로 견습 파이프라인을 재설계하지 않으면 다음과 같은 상황에 처한다:

• 소수의 진정한 운영자 집단
• 다수의 AI‑의존 분석가 집단
• 차이를 알기 전에 이미 늦은 산업

AI가 분야를 비우게 만든 것이 아니라, 우리가 분석을 생산이 아니라 견습으로 여기면서 비우게 만든 것이다. 해결책은 향수가 아니라, 관리이다.