의회의 AI 사이버 대응 압박, 보스턴 AI 채용은 ‘검증·보안’으로 넓어진다
미국 의회가 백악관에 고성능 AI 모델의 사이버보안 위험에 더 빠르게 대응하라고 요구하고 있다. AI가 코드를 보조하는 수준을 넘어 운영체제와 웹브라우저의 보안 취약점을 대량으로 찾아낼 수 있다는 점이 핵심 쟁점이다. 보스턴권 독자에게는 AI 일자리의 무게중심이 모델 개발뿐 아니라 검증, 보안, 운영 리스크 관리로 넓어지고 있다는 신호로 읽힌다.
Axios는 5월 13일 공화·민주 양당 하원의원 32명이 숀 케언크로스 국가사이버국장에게 서한을 보내, AI가 발견하는 대량의 소프트웨어 취약점에 대한 연방 차원의 대응을 요구했다고 보도했다. 서한은 Anthropic의 Mythos와 OpenAI의 GPT-5.5 Cyber 같은 고급 사이버 AI 도구에 방어 목적의 접근을 확대하고, 기업들이 AI가 찾아낸 취약점을 검증하고 패치할 수 있도록 정부가 어떤 역할을 할 수 있는지 물었다. 보도에 따르면 의원들은 Mythos가 주요 운영체제와 웹브라우저에서 수천 건의 고위험 제로데이 취약점을 찾아냈다는 점을 문제의 출발점으로 제시했다. 제로데이는 개발사나 사용자에게 충분히 알려지기 전에 악용될 수 있는 보안 결함을 뜻한다.
이 흐름은 이미 미 상무부 산하 NIST의 Center for AI Standards and Innovation, CAISI 움직임과도 맞물려 있다. CAISI는 Google DeepMind, Microsoft, xAI 모델을 평가하는 협력 구조를 마련했고, 상업용 AI 시스템의 보안 측정, 민간 AI 개발사와의 자발적 협약, 사이버보안·바이오보안·화학무기 등 국가안보 관련 위험 평가를 담당한다고 설명한다. 다만 백악관 내부에서는 AI 모델 사전 검토를 어디까지 제도화할지, 민간 혁신과 안보 리스크 사이 균형을 어떻게 잡을지에 대한 논의가 아직 정리되는 과정에 있다.
배경에는 AI 성능 향상이 보안 업무의 속도를 바꾸고 있다는 현실이 있다. 과거에는 연구자나 보안팀이 제한된 범위에서 취약점을 찾고 보고했다면, 최신 AI 모델은 훨씬 더 많은 코드를 빠르게 훑고 잠재 결함을 제시할 수 있다. 문제는 취약점 발견 속도가 빨라질수록 검증, 우선순위 판단, 패치 배포, 고객 통지 같은 후속 업무가 병목이 될 수 있다는 점이다. AI가 방어자에게 유용한 도구가 될 수 있지만, 같은 능력이 공격자에게 넘어갈 경우 기존 보안 대응 체계로 감당하기 어려운 속도 차이가 생길 수 있다는 우려도 함께 제기된다.
보스턴권에서 이 사안이 중요한 이유는 지역 산업 구조와 연결된다. 보스턴은 MIT, Harvard, Northeastern, Boston University 등 연구 기반이 두텁고, 헬스케어·바이오테크·로보틱스·금융·공공 조달과 가까운 기업 생태계를 갖고 있다. Massachusetts AI Hub가 매사추세츠 그린 고성능 컴퓨팅 센터에 3,100만 달러 규모의 AI 컴퓨트 자원을 구축하고, 장기적으로 1억2,000만 달러 규모의 공공·민간 투자를 추진하는 것도 AI를 연구실 밖 실제 산업으로 확장하려는 흐름과 닿아 있다. 이 과정에서 필요한 인력은 단순히 모델을 만드는 연구자에 한정되지 않는다. 모델 평가, 레드팀 테스트, 취약점 검증, 클라우드 보안, 데이터 거버넌스, 규제 대응 문서화 같은 역할이 더 눈에 띄게 된다.
유학생과 취업 준비생에게는 ‘AI를 쓸 줄 안다’는 표현만으로는 경쟁력을 설명하기 어려워진다는 의미가 있다. 소프트웨어 개발자는 코드 작성 능력과 함께 보안 취약점 관리, 테스트 자동화, 클라우드 권한 관리, 로그 분석 경험을 보여주는 편이 유리하다. 데이터·AI 직무 지원자는 모델 정확도만 말하기보다 실패 사례 분석, 평가 데이터 설계, 개인정보 보호와 보안 리스크를 어떻게 점검했는지 설명할 수 있어야 한다. 제품·프로그램 매니저 직무에서도 AI 기능 출시 일정을 관리하는 것에 더해 법무, 보안, 엔지니어링팀 사이에서 위험을 문서화하고 의사결정을 조율하는 능력이 중요해지고 있다.
현직자에게도 AI 도입은 특정 업무가 곧바로 사라진다는 단순한 이야기로 보기 어렵다. 기업들은 AI가 만든 결과를 검토하고, 잘못된 결과가 고객 피해나 보안 사고, 규제 문제로 번지지 않도록 운영하는 역량을 필요로 한다. 특히 금융, 헬스케어, 교육, 공공서비스처럼 보스턴권에 많은 산업에서는 AI 모델의 성능보다 ‘검증 가능한 사용’이 프로젝트 예산과 채용 기준에 더 직접적으로 반영될 수 있다. 레드팀은 공격자 관점에서 시스템의 약점을 미리 찾아보는 보안 검증 업무를 말하며, 앞으로는 기술팀뿐 아니라 제품·운영·법무 부서와 함께 움직이는 기능으로 자리 잡을 가능성이 있다.
비자 스폰서십을 고민하는 독자는 개별 기업의 정책과 직무 성격을 따로 확인해야 한다. 다만 일반적으로 규제, 보안, 고객 신뢰와 연결된 직무는 단기 실험성 포지션보다 조직 안에서 필요성을 설명하기 쉬운 경우가 있다. OPT나 STEM OPT 기간을 활용하는 학생이라면 AI 앱을 하나 만드는 경험뿐 아니라 보안 테스트 결과 보고서, 모델 평가 문서, 클라우드 배포와 모니터링 경험처럼 실무자가 바로 확인할 수 있는 포트폴리오를 준비하는 것이 현실적이다.
앞으로 볼 변수는 세 가지다. 백악관이 AI 사이버보안 지침을 얼마나 구체적으로 내놓는지, CAISI 같은 기관의 모델 평가가 실제 기업 출시 절차에 어느 정도 영향을 주는지, 그리고 기업들이 AI 보안과 검증 인력을 별도 직무로 채용할지 기존 엔지니어 역할 안에 흡수할지다. 현재 확인되는 변화는 AI 일자리의 중심이 ‘무엇을 만들 수 있는가’에서 ‘어떻게 안전하게 운영할 수 있는가’로 넓어지고 있다는 점이다. 보스턴의 한인 직장인과 유학생에게도 이 변화는 기술 스택을 고를 때 보안, 검증, 운영 책임성을 함께 봐야 한다는 실무적 단서를 제공한다.