[보안리더스] 민경표 카뱅 CISO “올해 AI금융회사 본격화, 처음부터 보안 고려”

여덟 번째 보안 리더, 카카오뱅크 민경표 CISO ② 올해 카카오뱅크 정보보호사업계획

인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 카카오뱅크는 인공지능(AI) 금융회사 전환 노력을 이미 시작했고, 올해를 기점으로 이같은 변화를 본격화할 방침이다. 올해 초 카카오뱅크는 최신 그래픽처리장치(GPU)를 갖춘 AI전용데이터센터를 오픈하고, AI서비스 개발을 전담하는 조직을 별도 구성했다.

카카오뱅크 민경표 최고정보보호책임자(CISO)는 최근 <디지털데일리>와 보안리더스 인터뷰를 통해 AI금융회사로의 첫 걸음을 ‘보안’과 함께하고 있다고 밝혔다.

민경표 CISO는 “카카오뱅크는 AI를 향해 가고 있고, 시작부터 보안과 함께 하고 있다”며 “새로운 업무에 돌입할 때마다 그랬다. 그래야만 개발자와의 협력이 수월해지고 비용도 절감할 수 있다”고 말했다.

민 CISO는 “변화는 상당히 빠른데 비해, 보안은 보통 그 속도를 저해야 하는 요인”이라며 “경쟁력을 가져가려면, 보안이 먼저 가야 한다. 미리 지뢰를 제거하고 어느 정도의 위험을 수용할 수 있는 탐지하는 역할을 보안이 해야만 한다. 기술 신기루가 있더라도, 무조건 앞으로 가면서 비즈니스를 사지로 몰 수는 없으니 말이다”라고 덧붙였다.

우선, 민 CISO는 AI금융회사 변화 과정에서 AI 데이터 거버넌스 관점의 보안 대책이 필요하다고 진단했다. 올해 카카오뱅크는 AI기술을 활용한 서비스 개발 때 요구되는 보안성 평가기준을 수립하고, 거대언어모델(LLM) 및 대형 멀티모달 모델(LMM)에 이용되는 AI 데이터 거버넌스 체계 정립을 준비한다. 신기술 도입과 관련한 기존 보안시스템이 유효한지에 대한 재평가와 재설계 작업도 추진될 방침이다.

◆올해 ‘AI 데이터 거버넌스’ 목표…보안시스템 재평가‧재설계 검토

이와 관련 민 CISO는 “공격자 비용을 어떻게 높여야 하는지, 이것이 현재 보안의 대응이다. 카카오뱅크 앱에 보호로직을 자체적으로 탑재하는 이유이기도 하다”며 “100% 안 뚫리는 보안은 없기에, 공격이 통해서 서비스에 치명적 영향을 가져오는 시점까지 최대한 시간을 끌어 공격자 비용을 늘리는 것이다. 마치 탱크 저지선과 같은 역할인데, 이를 통해 중요서비스까지 피해가 넓어지지 않도록 한다”고 설명했다.

민 CISO는 “그러나 AI가 발전하면, AI 기술로 몇 초만에 해당 기업의 취약점 분석을 끝내면서 공격자 허들이 낮아질 수 있다”며 “AI보안성 심의 기준부터 AI 시대에 맞게 정립해야 하기에, AI 데이터 거버넌스 기준을 먼저 수립해야 한다”고 강조했다.

특히, 민 CISO는 챗GPT 등 생성형 AI 기술의 업무활용을 위한 정보보호 업무환경 구축을 주요 과제로 꼽았다. 대내외 기술 및 업무환경 변화에 따른 카카오뱅크 보안정책 및 침해대응체계 적정성을 재평가하고 개선 사업을 추진하는 것은 비중 있게 생각하는 사업추진 방향이라는 설명이다.

생성형AI 기술을 활용한 개발자 코딩환경과 임직원 업무 환경이 변화하면서, 거대언어모델(LLM) 학습과 AI기술 기반에 서비스 제공 과정에 개인정보 남용‧유출, 오염된 데이터 학습을 통한 악의적 서비스 변질 등 AI기술 활용 과정상 우려들이 제기되고 있다. 정보유출 우려와 신기술 취약점을 통한 침해위험을 사전에 대응할 수밖에 없게 됐다.

민 CISO는 “생성형 AI기술의 악의적 활용으로 인한 보안위협에 영향도를 평가하고 AI기술로 진화하는 침해위협에 적시대응할 수 있도록 현 보안관리 및 침해대응 체계를 재정비해야 한다”며 “AI와 클라우드 환경으로 변하면서, 초기에 설계했던 보안정책이 앞으로의 도약에서도 적절한지 재설계를 해야 한다”고 역설했다.

카카오뱅크 태동 때 임직원의 창의적 업무환경 구축이 중요했다면 <지난 기사 참조 [보안리더스] 제로트러스트와 포스트 망분리를 고민한다면 ‘카카오뱅크’를 보자>, AI 시대에서는 AI 기술을 활용하면서도 안전하게 업무할 수 있는 환경을 만들어야 한다는 것이다. 올해 이를 준비하는 과정이 본격 진행될 예정이다.

민 CISO는 “업무 환경에 따른 보안 수준을 리빌딩해야 한다. 보안체계가 아무리 잘 돼 있는 곳이라도, 새로운 기술이 들어오면 재평가는 무조건 해야 한다”며 “새로운 기능이 들어올 때 기존 시스템에 대한 영향도를 분석하지 않으면 장애는 엉뚱한 곳에서 나타나기 마련”이라고 꼬집었다.

카카오뱅크는 클라우드 개발 환경 전환 3년차다. 3년간 기술 변화 때마다 보강 작업을 했지만, 초기 보안 설계가 앞으로도 유효한지에 대해 스스로 질문해야 한다는 것이다. 여기에 더해 AI까지 가세했으니, 보안 설계를 전면적으로 다시 들여다봐야 한다는 설명이다.

민 CISO는보안정책‧침해대응체계 적정성 재평가‧개선작업 결과에 따라 보안정보·이벤트관리(SIEM) 재구축 및 보안운영·위협대응(SOAR) 기반 침해 대응 체계 고도화 추진을 고려하고 있다.

민 CISO는 “AI와 클라우드를 받아들이면서, 초창기 프로토타입 수준의 보안 툴을 계속 가져갈 수는 없다. 아이 옷을 어른이 입을 수 없지 않겠느냐”며 “AI는 아직 어린이 단계지만, 클라우드는 성인단계에 접어들었다”고 부연했다.

◆통합분석에 진심인 카뱅, 리스크 기반 개인화 보안정책 시행체계 마련

이와 함께 카카오뱅크의 또다른 역점 사업은 리스크 기반 개인화 보안정책 시행체계(통합 모니터링) 마련이다.

카카오뱅크는 자체 구축한 보안 통합분석 시스템을 통해 ①자산의 중요도와 위협정보(TI) 상관분석에 따른 위험평가 결과 ②임직원 권한(정책) 정보, ③보안이벤트 및 임직원 행위정보를 통합 분석 가능한 보안체계를 구축, 지능화된 보안사고 예방하고 보안 위험별 차등화된 보안 대응체계를 구현할 것으로 기대하고 있다.

카카오뱅크 핵심 보안 경쟁력 중 하나는 자체 분석 모니터링 환경이다. 초기 기술 개발 때 2명이 태스크포스(TF)로 시작해, 현재 수준까지 도달하는 데 꼬박 7년이 걸렸다. 이제는 리스크 기반 개인화 보안정책을 시행할 수 있는 통합 모니터링 성과를 가시적으로 만드는 데 주력하고 있다. 사고 예방‧침해에 있어 통합분석이야말로 카카오뱅크 차별점이라고 본 것이다.

민 CISO는 “은행에 코어뱅킹시스템이 있다면, 카카오뱅크 정보보안에서는 통합분석시스템이 있다고 말할 수 있을 정도로 코어 시스템”이라며 “시장에 있는 보안솔루션을 대체하는 걸 만든 게 아니다. 모든 정보를 엮어 이상행위 의미를 분석할 수 있는 통합 모니터링이 필요했고, 사고 가능성이 높은 어떤 행위를 했을 때 알림을 줘 예방할 수 있는 체계를 만들고자 했다”고 전했다.

민 CISO는 보안이 불편한 이유가 ‘보편적 보안’에서 비롯된다고 봤다. 사고 위험성을 낮춰주기는 하지만, 누군가에는 당연한 업무 작업조차 불편해질 수 있다. 예를 들어, 총무팀 직원이 USB를 신청하는 것과 고객정보를 취급하는 직원이 USB를 신청하는 것을 동일하게 보면 안 된다. 이에 리스크 기반으로 살피기로 한 것이다.

이에 대해 민 CISO는 “이 사람의 행동이 리스크적으로 위험하다고 판단하면, 거절하거나 책임자에게 확인을 받으라고 해야 한다. 모두에게 책임자 확인을 받으라는 것과 다른 체계를 만들어야 한다”며 “위험성이 높은 행동을 하는지, 취약점 많은 기술을 쓰려고 하는지, 사고 개연성이 높은지 등을 보면서 알람을 주고 예방할 수 있도록 한다”고 말했다.

카카오뱅크는 통합분석을 위해 표준 인터페이스도 중요하게 고려한다. 실시간으로 빠르게 상호 연동하려면 애플리케이션 프로그래밍 인터페이스(API)가 표준화돼야 한다. 이는 AI 융합보안 시대에서 더 중요한 요소가 될 것이라는 판단이다.

이 외에도 카카오뱅크는 금융기술연구소와 협업해 sLLM기반의 보안 이벤트와 위협정보(Threat Intelligence) 분석 및 대응체계 구축을 위한 파일럿 프로젝트 추진을 계획하고 있다. 또, 늘어나는 보안운영 및 점검업무 자동화와 임직원 보안 절차를 간소화해 효과적 컴플라이언스 준수와 효율적인 보안 업무환경 구축을 위한 다양한 사업을 진행하고 있다.

마지막으로, 민 CISO는 “보안은 소중하게 생각하는 것을 각종 위협과 위험으로부터 안전하게 보호되고 있음을 합리적으로 보증하는 활동”이라며 “위험은 식별되지 않았을 때 가장 위험하다고 생각하며, 식별 관리 중인 위험도 환경변화에 따라 계속 변화된다”고 언급했다.

그는 “실질적인 위험수준을 평가하고 예상되는 보안 위험은 현실화되기 전, 형식적이지 않고 위험수준에 맞는 대응 방안을 수립해야 한다”며 “원칙에 입각해 일관되게 이행하는 합리적 보안활동을 지향하려 한다”고 전했다.

◆민경표 카카오뱅크 CISO 주요 약력

▲1997년~2012년 한국투자증권 IT전략 담당자

▲2012년~2016년 한국투자증권 정보보호담당자

▲2016년~2022년 카카오뱅크 정보보호기술 팀장

▲2022년~ 현재 카카오뱅크 정보보호최고책임자

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -