이 글은 AI 시대 한국 보안 거버넌스 시리즈의 2편입니다. 1편에서는 평가가 잘못된 행동을 보상하고 있다는 문제를 다뤘고, 이 글에서는 왜 그 평가 체계가 쉽게 바뀌지 않는지를 게임이론 관점에서 살펴봅니다.
문제는 무능이 아니라 균형이다
1편에서 나는 한국 보안 거버넌스가 AI 시대에 잘못된 방향으로 가속되고 있다고 썼다. 그렇다면 다음 질문이 남는다.
왜 이 구조는 바뀌지 않는가?
쉬운 답은 무능, 관성, 관료주의 같은 말이다. 그러나 그 답은 정확하지 않다. 더 정확한 답은 이렇다.
각 행위자가 자기 자리에서 합리적으로 행동하기 때문에, 전체 구조는 정체된다.
즉 문제는 악의보다 구조이고, 실수보다 균형이다.
등장인물: 누가 어떤 인센티브를 갖는가
이 구조를 단순화하면 여섯 행위자가 등장한다.
- 정보기관: 위협 정보와 안보 프레이밍을 자원으로 가진다.
- 인증 운영 주체와 정책기관: 평가 체계의 안정성과 제도 유지가 중요하다.
- 감사기관: 사후 판단 가능성과 기준 명확성을 선호한다.
- 보안 산업: 평가 복잡성과 새로운 항목이 곧 시장이 된다.
- 현장 CISO: 표준 준수는 개인 면책 논리로 작동한다.
- 정치 행위자: 변화 필요성은 느끼지만 정보 비대칭과 책임 부담을 동시에 진다.
이 행위자들은 공개적으로는 서로 다른 언어를 쓰지만, 실제 효용 구조는 놀랄 만큼 일관적이다. 누구도 먼저 움직일 유인이 약하다.
이 균형은 정적이지 않다. 한 행위자가 영역을 한 번에 가져오려 하면 충돌이 폭발하지만, “협의 좀 하자”, “공동 가이드”, “공동 주관” 식으로 한 단계씩 옮기면 다른 행위자는 매번 결정적 거부 비용을 회피한다. 그래서 한국 보안 거버넌스에서 영역 재편은 거의 항상 점진적 침범으로 일어나고, 큰 그림에서 보면 누구도 진 게 아닌데 누구도 이긴 것 같지 않은 결과가 누적된다.
사고 실험: 세 개의 짧은 장면
아래 장면은 특정 인물의 실제 발언이 아니라, 공개적으로 관찰 가능한 제도적 인센티브를 바탕으로 구성한 합성 시나리오다. 목적은 가십이 아니라 구조를 드러내는 것이다.
장면 1: 인증기관과 보안 산업
인증기관은 평가 체계를 안정적으로 운영해야 한다. 보안 컨설팅과 심사 시장은 그 체계의 복잡성에서 수요를 얻는다. 이 둘은 겉으로는 공공성과 시장이라는 다른 위치에 있지만, 실제로는 공통 이익을 가진다.
- 평가가 단순해질수록 둘 다 잃는다.
- 항목이 추가될수록 둘 다 얻는다.
- 패러다임이 바뀌는 것보다, 기존 틀에 새 체크리스트를 붙이는 것이 훨씬 안전하다.
이것이 왜 중요한가. AI 시대 변화가 “적응 능력 평가”가 아니라 “AI 항목 추가”로 흡수될 가능성을 설명해주기 때문이다.
장면 2: 정책기관과 감사기관
정책기관 입장에서는 감사원이 자율 판단을 인정하지 않으면 바꾸기 어렵다는 식이다. 감사기관 입장에서는 근거를 만들어 오면 인정할 수 있고, 그 근거를 만드는 건 자기들 일이 아니라는 식이다.
양쪽 말은 모두 부분적으로 맞다. 그리고 바로 그 점 때문에 구조는 멈춘다.
- 정책기관: 먼저 움직이면 정치적 비용이 크다.
- 감사기관: 기준이 없으면 인정할 수 없다.
- 결과: 누구도 먼저 움직이지 않는 균형이 형성된다.
여기서 한 가지 짚어야 한다. 감사원에는 적극행정면책 제도가 이미 있다. 공공의 이익, 적극적 업무처리, 고의·중과실 부재가 요건이고, 감사원의 사전컨설팅(불확실한 행정행위에 대해 미리 감사 의견을 받는 절차)을 거쳐 그대로 처리하면 면책 추정도 가능하다. 즉 면책 제도가 없어서 작동하지 않는 게 아니다. 사이버보안 영역에서 “합리적 판단이었다"고 인정받기 위한 근거 — 법, 학회 표준, 부처 지침 — 가 비어 있고, 그 근거를 만드는 책임이 다른 행위자에게 떠넘겨져 있어서 작동하지 않는 것이다. 처방을 정밀하게 쓰려면 “면책 제도가 필요하다"가 아니라 “면책 작동 근거의 책임 분배가 비어 있다"고 말해야 한다.
장면 3: CISO와 현장
현장 CISO는 속으로 안다. 인증이 실제 공격 방어를 완전히 설명해주지 못한다는 것을. 그럼에도 표준 준수는 버리기 어렵다.
이유는 단순하다.
- 사고가 없으면 표준 준수만으로도 평가를 통과한다.
- 사고가 나도 “우리는 표준을 따랐다”는 말은 강한 방어 논리가 된다.
- 반대로 자율 판단은 더 나은 보안을 만들 수 있어도, 실패 시 책임이 개인에게 집중될 수 있다.
즉 CISO 개인에게는 표준 준수가 합리적이다. 그러나 모든 CISO가 같은 선택을 하면 시스템 전체는 적응력을 잃는다.
게임이론으로 보면 어떤 구조인가
1. 누구도 먼저 움직이지 않는 균형
이 구조는 전형적인 **누구도 먼저 움직이지 않는 균형(no-first-mover equilibrium)**이다. 누구도 변화 자체를 원천적으로 반대하지 않지만, 누구도 첫 번째 위험을 감수하려 하지 않는다.
- 감사기관은 기준이 먼저 생기길 바란다.
- 정책기관은 사회적 합의가 먼저 형성되길 바란다.
- 현장은 면책 장치가 먼저 생기길 바란다.
- 산업은 새 시장이 보이기 전에는 기존 틀을 선호한다.
그래서 변화의 필요성은 모두가 말하지만, 변화의 시작점은 늘 다른 곳으로 밀려난다.
2. 공생 동맹
인증 운영과 보안 산업 사이에는 복잡성의 공생 관계가 있다. 평가가 복잡해질수록 교육·컨설팅·심사·도구 수요는 늘어난다. 이 구조에서는 “단순한 적응 지표”보다 “새로운 관리 항목”이 더 쉽게 채택된다.
3. 개인 합리성과 집단 비합리성
이건 죄수의 딜레마와 유사하다. 개별 CISO에게는 표준 준수가 우월 전략에 가깝다. 하지만 모든 CISO가 그렇게 행동하면 집단 전체는 더 느려지고 더 둔해진다.
4. 정보 비대칭
정치 행위자는 구조를 바꾸는 힘이 있는 듯 보이지만, 실제로는 위협 정보와 실무 판단에서 기존 기관에 의존한다. 이 정보 비대칭은 “유연성”보다 “통제 유지” 프레임을 강하게 만든다.
그래서 왜 변화가 어려운가
이 변화가 어려운 이유는 누군가 악의적으로 막아서가 아니다. 다음 다섯 힘이 동시에 작동하기 때문이다.
- 책임 회피: 먼저 움직인 사람이 제일 위험하다.
- 복잡성의 이익: 평가가 복잡할수록 먹고사는 주체가 있다.
- 면책 논리: 표준 준수는 여전히 가장 강한 방패다.
- 정보 비대칭: 위협 프레이밍을 가진 쪽이 논의를 이끈다.
- 점진적 흡수: 새로운 문제 제기는 패러다임 전환이 아니라 새 체크리스트로 환원되기 쉽다.
이 균형을 깨는 힘은 어디서 오는가
좋은 제안만으로는 부족하다. 이 구조는 당위보다 인센티브에 의해 움직인다. 따라서 균형을 흔드는 힘은 보통 세 곳에서 온다.
- 언어: 무엇이 문제인지 설명하는 프레임이 먼저 생겨야 한다.
- 지표: 적응 능력을 측정하는 데이터가 생겨야 한다.
- 시장: 보험, 고객사, 공급망, 투자자 같은 외부 행위자가 비용을 매겨야 한다.
즉, 변화는 위에서 내려오기보다 밖에서 안으로 밀려 들어오는 경우가 많다.
다만 한 가지 짚어둘 함정이 있다. 변화 동력이 있다고 해서 그 동력이 원하는 방향으로 가는 건 아니다. 신흥 행위자 — 새로 권한을 잡거나 영역을 확장 중인 기관 — 는 거버넌스를 재편할 동기가 강하지만, 그들이 추진하는 것은 보통 새 가드레일의 추가지 가드레일 작동 방식의 패러다임 전환이 아니다. 결과적으로 거버넌스는 더 복잡해지지만 적응력은 늘지 않는다. 변화 추진자가 직면하는 진짜 딜레마는 동력이 없는 게 아니라 동력의 방향이 어긋난다는 점이다.
다섯 힘이 동시에 작동한다
위 세 가지 — 언어, 지표, 시장 — 는 어느 하나만으로는 균형을 깨지 못한다. 앞서 본 다섯 힘은 동시에 걸려 있고, 그중 하나라도 살아남으면 균형은 자기 자리로 돌아온다. 그래서 외부 충격 없이 거버넌스가 자기 보존 쪽으로 기울 때, 그것은 실패가 아니라 균형이다. 변화는 좋은 정책 제안만으로 일어나지 않는다. 다섯이 동시에 흔들릴 외부 조건 — 큰 사고든, 국제 평가든, 시장 비용이든 — 이 만들어져야 비로소 균형이 이동한다.
한 줄로 요약하면
아무도 공개적으로 변화에 반대하지 않는다. 다만 누구도 먼저 움직이지 않는다.
그래서 이 시리즈의 다음 글은 “그렇다면 적응 능력을 무엇으로 측정할 것인가”를 다룬다. 문제를 말하는 것만으로는 균형이 바뀌지 않는다. 측정 가능한 언어가 필요하다.