[인터뷰] 이광원 iM금융 CISO “보안과 AI 혁신, 저울의 균형 맞춰야”
Source: Byline Network
인공지능(AI) 시대가 본격화되면서 보안에 대한 은행권의 고민이 깊어지고 있다. AI를 활용한 금융 서비스를 확대하는 동시에 고객 신뢰의 기반인 보안을 강화해야 하기 때문이다. 서비스 혁신과 보안 강화라는 두 과제를 동시에 해결해야 하는 최고정보보호책임자(CISO)의 역할도 더욱 중요해지고 있다.
이광원 iM금융지주 겸 iM뱅크 CISO는 AI 활용과 보안의 관계를 ‘저울의 균형’에 비유한다. AI 기반 서비스 확대는 필수지만, 고객 신뢰를 바탕으로 하는 은행업 특성상 보안 역시 그만큼 강화돼야 한다는 설명이다.
올해 임기 3년 차를 맞은 그는 빠르게 변화하는 금융 환경 속에서 신뢰 기반의 디지털 금융 보안 체계 구축에 집중하고 있다. 이 CISO를 만나 AI 시대 은행이 서비스 혁신과 보안 강화의 균형을 어떻게 맞춰가고 있는지 들어봤다.
**– AI 시대, **어떻게 대비하고 있나
AI 기술의 발전 속도가 매우 빠르다. 통제가 어려운 영역으로 발전할 가능성도 있다고 본다. 극단적으로 표현하면 AI가 핵무기보다 더 위험한 기술이 될 수 있다는 생각도 한다. 안전장치가 충분히 마련되지 않은 상태에서 기술 발전에 제한이 없다면 과연 이를 제대로 통제할 수 있을지 고민이 많다.
그렇기에 AI 시대에는 신뢰 기반의 디지털 금융 보안을 구현하는 것이 중요하다고 생각한다. 특히 항상 염두에 두고 있는 키워드는 최신화, 내재화, 복원력이다.
최신화는 빠르게 변화하는 외부 환경에 대응하는 역량을 의미한다. AI 기술과 사이버 위협이 끊임없이 진화하고 있기에 보안 체계 역시 지속적으로 발전해야 한다.
지난해 IT 개발자 한 명을 보안 부서에 배치해 직접 개발 업무를 맡겼다. 현재는 인프라와 보안 모니터링 관련 개발을 수행하고 있다. 보안 업무를 하다 보면 기존 솔루션이나 플랫폼으로 해결되지 않는 요구사항들이 있다. 하지만 이를 별도로 개발해 줄 조직은 없기 때문에 내부 개발 인력을 활용해 필요한 기능을 직접 개발하고 있다. 이를 통해 보안 업무의 내재화를 추진하고 있다.
복원력 강화도 중요한 과제다. 아무리 철저하게 준비해도 침해 사고 가능성을 완전히 없앨 수는 없다. 중요한 것은 사고를 얼마나 빨리 복구하느냐다. 침해를 당할 수는 있지만 빠르게 복원할 수 있다면 피해를 최소화할 수 있다.
사전 예방 측면에서는 모니터링 체계 강화에 집중하고 있다. 집에 방범용 폐쇄회로(CC)TV가 많을수록 침입 상황을 빠르게 파악할 수 있는 것처럼 디지털 환경에서도 가시성을 높이는 것이 중요하다. 이상 징후와 보안 이벤트를 실시간으로 확인할 수 있는 체계를 강화하고 있다.
– 보안과 AI의 균형은 어떻게 맞춰나갈 수 있을까
현재는 AI를 활용한 새로운 비즈니스가 계속 만들어지고 있는 상황이다. 가령 챗GPT 같은 생성형 AI는 업무 생산성을 크게 높일 수 있는 도구지만, 보안을 이유로 활용이 제한되는 경우도 많다.
비즈니스를 하고 싶은데 보안 때문에 안 된다고 막기보다는, 보안 수준을 높여 비즈니스를 할 수 있도록 지원하는 것이 중요하다고 본다. AI와 보안의 균형을 맞추는 방법이다.
직원들에게도 ‘쉽게 안 된다’는 이야기를 하지 말라고 강조하고 있다. 팀원 한 명이 판단해 결정하기보다 팀장에게 보고하고 대안을 먼저 찾아보라고 한다. 검토가 필요하면 기다려 달라고 설명하고, 정말 불가능한 경우에만 제한해야 한다고 교육하고 있다.
중요한 것은 비즈니스를 지원할 수 있는 보안 환경을 만드는 일이다. 금융 샌드박스(혁신금융서비스) 등 여러 제도가 운영되고 있지만 현재는 과도기적인 단계라고 본다. AI 활용에 대한 제약이 점차 완화되면 기업 간 경쟁력 차이도 더욱 커질 수 있다.
이를 위해서는 보안 인재 육성이 필수적이다. 현재는 AI 보안을 심사할 수 있는 담당자가 많지 않다. 내부적으로도 AI 보안 담당자를 지정해 운영하고 있다.
다만 보안 인력만 키워서는 안 된다. IT 인력도 함께 성장해야 한다. 향후 AI 기반의 새로운 서비스, 스테이블코인 활용 등이 확대될 텐데 AI 시스템, 클라우드, 블록체인 담당자 등 관련 인력도 함께 육성해야 한다고 생각한다.
**– AI ****활용 확대와 함께 망분리 완화도 최근 주요 이슈인데 **
망분리 정책은 비교적 적은 투자로 높은 보안 효과를 얻을 수 있는 정책이었다. 물리적·논리적으로 경계를 나눠 놓았기 때문에 외부 위협이 내부 핵심 시스템으로 들어오는 것을 차단하는 데 효과적이었다. 그런데 망분리를 완화한다는 것은 그 경계를 열어야 한다는 의미다. 기존에 통제하던 영역 밖으로 시스템이 연결되는 만큼 새로운 보안 위협에 대응해야 한다.
그럼에도 망분리가 점차 완화되는 이유는 사용성과 개발 효율성 때문이다. 망분리가 없으면 계정계(핵심 금융거래 처리 시스템)와 정보계(정보 활용 시스템)가 분리돼 있을 필요가 없고 시스템을 통합해 개발할 수 있다. 개발 편의성이 높아지고 업무 효율성도 개선된다. 인터넷망과의 제약이 줄어들면 외부에서 사용하는 다양한 소프트웨어와 서비스도 보다 자유롭게 활용할 수 있게 된다.
다만 정보보호 책임자 입장에서는 망분리를 가능한 한 신중하게 접근해야 한다고 생각한다. 보안 측면에서는 최대한 늦추고 싶지만, 서비스 이용자와 현업 부서에서는 더 빠른 개방을 원하고 있다.
– 스테이블코인 등 디지털자산이 확산되면서 보안 환경에는 어떤 변화가 있나
중앙은행 디지털화폐(CBDC)도 한강 프로젝트를 통해 추진되고 있고, 스테이블코인 역시 제도화 논의가 본격화되고 있다. 앞으로는 카드나 현금 없이 전자지갑만으로 생활하는 시대가 올 수 있다고 본다.
디지털 자산 확산의 핵심은 편리성이다. 다만 편리성이 높아진 만큼 보안 수준도 함께 높아져야 한다. 전자지갑에 담긴 자산이 해킹을 통해 탈취된다면 큰 피해로 이어질 수 있기 때문이다. 가령 비밀번호 하나만으로 자산 전체가 유출될 수 있는 환경이라면 심각한 사고로 이어질 수 있다. 이를 방지하기 위해서는 보다 강력한 인증 체계와 보안 정책이 함께 마련돼야 한다.
특히 스테이블코인의 경우 발행과 유통에 대한 법적·제도적 기반이 먼저 마련될 필요가 있다. 관련 법제화가 이뤄져야 금융권도 걸맞은 보안 체계를 구축하고 체계적으로 대응할 수 있을 것이다.
**– 최근 금융당국이 보안 사고에 대한 책임을 강화하고 있는데 **
금융당국이 징벌적 손해배상 차원에서 접근하려는 것으로 보이는데, 금융권 입장에서는 부담이 큰 요소 중 하나라고 생각한다. CISO 협의회에서는 징벌적 과징금을 부과하기 전에 제도 개선이 먼저 이뤄져야 한다는 의견을 지속적으로 전달하고 있다. 제도와 기준을 마련하고 이에 따라 대응할 수 있도록 했는데도 하지 않은 부분에 대해서는 책임을 물을 수 있다.
다만 새로운 위협이 등장하고 있는데 대응 방법이나 기준조차 마련되지 않은 상황에서 사고가 발생했다고 해서 곧바로 과징금이나 인적 제재를 부과하는 것이 과연 적절한지에 대한 고민이 있다.
정부에서도 아직 대응 체계를 완전히 만들지 못한 상황에서 소비자 피해가 발생했다는 이유만으로 금융사에 모든 책임을 지우는 방식은 바람직하지 않다고 생각한다. 그렇게 되면 누구도 책임 있는 역할을 맡으려 하지 않을 것이다. 후배들이 보안 책임자나 임원이 되는 것을 기쁘게 받아들여야 하는데 오히려 부담스러운 자리가 될 수 있다.
다행인 점은 최근 금융당국도 사고 발생 이후 제재에만 집중하기보다 예방 활동을 강화하고 있다는 것이다. 새로운 취약점이나 보안 이슈가 발생하면 관련 패치 정보를 신속하게 공유하고, 금융사들이 빠르게 대응할 수 있도록 지원하고 있다.
처벌을 강화하는 방향보다는 사고를 사전에 예방할 수 있는 방향으로 정책이 발전했으면 한다. AI 시대에는 디지털 환경 변화가 매우 빠르기 때문에 보안 체계와 기술, 인력 역량을 지속적으로 강화해야 한다.
– 최근 이사회에 보안 전문가가 합류했는데 어떤 변화가 있을까
류재수 사외이사는 키움증권과 BC카드 등에서 IT와 정보보안 분야 임원을 지낸 전문가다. 해당 분야에 대한 전문성을 갖추고 있는 만큼 이사회 차원의 의사결정 과정에서도 관련 의견이 하나의 중요한 관점으로 반영될 수 있을 것으로 기대한다.
그간 경영이 주로 숫자와 성과 중심으로 의사결정을 해왔다면 앞으로는 내부통제에 대한 부분도 함께 강조될 필요가 있다고 생각한다. 다만 내부통제와 보안 분야는 경영진을 설득하는 과정이 쉽지 않다. 경영과 보안이 사용하는 언어가 다르기 때문이다.
보안을 비용이 아니라 투자라는 관점으로 인식할 수 있도록 설명하고 설득하는 것이 중요하다. 그런 점에서 보안 전문성을 갖춘 이사가 이사회에 참여하게 되면 보안 이슈를 경영의 언어로 풀어내고 경영진과 보안 조직 간의 이해를 연결하는 데 도움이 될 것이라 본다.
**– 올해 이루고 싶은 보