지난달 출범한 국내 금융그룹 최초 ‘그룹 사이버보안센터’ 초대 수장이 된 그는 올해 그룹 공동대응 체계를 정착시키는 데 목표를 두고 있다. 형식적인 점검에 그치는 것이 아니라 실제 공격 상황에서도 작동하는 보안 시스템을 구현하겠다는 게 핵심이다. 현재 이 센터장은 KB국민은행 정보보호본부와 KB금융지주 정보보호부 상무 등을 겸직하며 사실상 KB금융그룹의 디지털 보안 역량을 총괄하고 있다.
다음은 이 센터장과 일문일답한 내용.
-우선 KB금융그룹 사이버보안센터가 어떤 역할을 하는 곳인지 간단히 설명해 달라.
“그룹 전체를 대상으로 외부 침해위협을 공동 인지하고 대응하는 전담 조직이다. KB금융은 이미 그룹 차원에서 통합보안관제 체계를 통해 외부 위협을 상시 모니터링하고 있는데 사이버보안센터는 이를 기반으로 위협에 대한 분석·대응·개선 기능을 그룹 관점에서 체계화하기 위해 신설됐다. 계열사별로 분산돼 있던 관제와 점검 결과를 하나의 시야로 연결해 위협 대응 속도와 기준을 일관되게 유지하는 컨트롤타워 역할을 수행한다.
최근 금융권을 둘러싼 사이버 공격은 비대면 채널, 클라우드 환경, 외주와 공급망 등 공격 표면이 넓은 지점을 복합적으로 공략하는 양상으로 변화하고 있다. 이러한 환경에서는 개별 조직 단위 대응만으로는 탐지·대응 속도와 품질을 균일하게 유지하는 데 한계가 있다. 사이버보안센터는 이러한 구조적 한계를 보완하기 위해 레드팀과 블루팀 두 축으로 운영한다. 공격과 방어를 분리하되 긴밀하게 연계함으로써 발견, 검증, 개선, 재검증이 반복되는 실전형 보안 체계를 구축하고 있다.”
-사이버보안센터가 추진할 주요 사업이나 비전은 어떻게 되나.
“올해는 그룹 사이버보안센터의 공동대응 체계를 안정적으로 정착시키는 데 중점을 두고 있다. 외부 침해 위협에 대한 탐지, 대응, 복구 전 과정을 그룹 공통 프로세스로 정렬하고 위협 정보 공유와 사고 대응 플레이북을 표준화하는 게 핵심 과제다. 중장기적으로는 위협 헌팅과 자동화, 인공지능(AI) 기반 분석 역량을 단계적으로 확대해 탐지 정확도와 대응 속도를 끌어올리는 한편 AI·디지털 자산 등 신기술 도입 시 보안 요구사항과 검증 체계를 그룹 표준으로 내재화할 계획이다.”
-정보보호 분야 전문가로서 봤을 때 현재 금융 보안 패러다임에서 가장 중요한 건 무엇인가.
“가장 중요한 키워드는 단연 실전성이다. 과거에는 법규 준수 여부나 인증 획득 여부가 보안 수준을 판단하는 주요 기준이었다면 지금은 실제 공격 상황에서 얼마나 빠르고 정확하게 탐지·대응할 수 있는지 훨씬 중요해졌다. 사이버 공격자는 규정이나 매뉴얼을 기준으로 움직이지 않는다. 항상 가장 취약한 지점을 찾고, 예상치 못한 방식으로 침투를 시도한다. 따라서 체크리스트 중심 점검이나 문서 기반 보안만으로는 고도화된 공격을 효과적으로 막기 어렵다. 이런 이유로 KB금융은 공격자 관점에서 반복 검증되는 보안을 중시하고 있다. 레드팀을 통해 실제 공격 시나리오를 점검하고, 블루팀이 이를 어떻게 탐지하고 대응하는지 함께 검증함으로써 보안 체계가 실제 현장에서 작동하는지 끊임없이 확인한다. 결국 금융권 보안은 ‘갖추고 있다’는 선언이 아니라 ‘실제로 막을 수 있다’는 증명이 중요해진 시대라고 본다.”
-AI 도입, 중앙은행디지털화폐(CBDC)나 스테이블코인 등 금융사의 디지털 체계가 발달하며 특히 주의 깊게 살펴야 할 보안 취약점은.
“신기술 환경에서 가장 주의해야 할 건 기술 그 자체보다 신뢰 구조와 시스템 간 연계 지점이다. 기술이 고도화할수록 단일 시스템의 취약점보다 여러 시스템이 연결되는 과정에서 통제가 느슨해지는 구간이 새로운 공격 지점이 될 가능성이 크다. AI는 모델 성능만큼이나 데이터 무결성과 학습 과정에 대한 신뢰성 확보가 중요하다. 데이터 오염이나 모델 조작은 단기간에 눈에 띄지 않지만 시간이 지날수록 의사결정 왜곡이나 보안 사고로 이어질 수 있기 때문에 사전 검증과 지속 점검이 필요하다.
CBDC나 스테이블코인 등 디지털 자산 환경에서는 키 관리와 권한 통제가 사고로 직결되는 핵심 요소다. 즉각적인 금전 피해로 이어질 수 있어 기존 금융 시스템보다 훨씬 엄격한 통제와 분리, 모니터링이 요구된다. 신기술 보안의 핵심은 기존 보안 체계가 적용되지 않는 영역을 선제적으로 식별하고 이를 제도와 표준으로 내재화하는 것이다.”
-금융사 비대면 영업 확대로 얼굴 등 생체 인증 기술도 다양해졌다. 정보보안과 함께 생체 인증 등 비대면 인증이 나아갈 방향은.
“비대면 인증은 금융 서비스 편의성과 직결되는 동시에 높은 수준의 보안이 요구되는 영역이다. 얼굴 인식 등 생체 인증이 확산하고 있지만 생체 인증 역시 만능 해법이 아니라 여러 인증 수단 중 하나로 바라볼 필요가 있다. 인증 한 번으로 모든 상황을 해결하려 하기보다 위험을 전제로 설계하는 접근이 중요하다. 특히 생체 정보는 유출 시 변경이 어렵기 때문에 단일 인증 방식에 대한 의존도를 낮추고 다중 인증과 행위 기반 검증을 결합하는 구조가 바람직하다. 평소와 다른 기기·위치에서 접속하거나 고위험 거래를 할 때에는 추가 인증이 자동으로 적용돼야 한다. 또한 딥페이크 등 위협을 고려해 실물 여부 확인과 위변조 탐지 등 기술적 통제가 함께 작동해야 한다. 결국 비대면 인증이 나아갈 방향은 고객은 불편함을 거의 느끼지 않되 내부적으로는 위험도에 따라 검증을 강화하는 적응형 인증 체계를 구축하는 것이라고 생각한다.”
-최근 은행 중심으로 추진되는 금융사 망분리, ‘서비스형 소프트웨어(SaaS)’ 도입 등 규제 완화가 정보보안을 위협할 수 있다고 보는지.
“망분리 완화나 SaaS 도입 자체가 곧바로 보안을 약화시킨다고 보진 않는다. 다만 업무 환경이 유연해질수록 기존과 동일한 통제 방식으로는 충분하지 않다는 점은 분명하다. 보안은 환경 변화에 맞춰 함께 진화해야 하는 영역이다. 특히 외부 서비스와 내부 시스템이 연결되는 환경에서는 접근 통제와 인증, 권한 관리에 대한 정교한 설계가 무엇보다 중요하다. 누가 어떤 경로로 어떤 데이터에 접근하는지 가시성이 확보되지 않으면 작은 설정 오류가 곧바로 보안 사고로 이어질 수 있다. 결국 중요한 건 기술 도입 여부가 아니라 어떤 통제와 검증을 전제로 운영하느냐다. 망분리 완화는 보안 체계를 한 단계 고도화할 수 있는 계기로 활용돼야 한다.”
-아울러 보안 사고는 내부 임직원의 모럴 해저드(도덕적 해이)처럼 낮은 보안 의식에서도 발생한다. 이런 인재에 따른 정보보안 문제 최소화 방법은.
“내부 리스크는 기술만으로 해결되지 않기 때문에 KB금융은 기술·프로세스·문화가 함께 작동하는 방식으로 접근하고 있다. 첫째, 업무 수행에 꼭 필요한 범위로 권한과 접근을 최소화하고 사용자 업무 영역별 권한을 명확히 분리해 모든 접근과 변경 이력을 추적할 수 있도록 로깅을 강화하고 있다. 이를 통해 누가 무엇을, 언제, 왜 접근했는지 추적 가능하게 하고 과도한 권한을 줄여 실수나 부주의가 대형 사고로 이어지지 않도록 한다.
둘째, 단순 운영 점검이 아니라 위협 중심의 상시 점검 체계를 강화한다. 외부 접점뿐 아니라 내부 데이터 흐름, 계정 사용 패턴, 이상징후를 위협 관점에서 점검해 사전 예방 효과를 높인다. 셋째, 구성원들이 ‘보안은 업무를 막는 것’이 아니라 ‘업무를 지키는 것’으로 체감하도록 교육과 훈련을 강화한다. 짧고 자주 진행되는 교육, 실제 사례 기반 훈련, 현업이 이해하기 쉬운 가이드를 통해 보안을 습관처럼 실행하도록 만드는 것이 목표다.”
김수지 기자sujiq@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
