1 week ago
9
[이데일리 최정훈 기자] 금융권에 인공지능(AI)과 클라우드 도입이 빠르게 확산되면서 보안 위협도 근본적으로 달라지고 있다. 특히 생성형 AI 기반 ‘에이전트’가 실제 금융 업무에 적용되기 시작하면서 기존 보안 체계로는 탐지조차 어려운 새로운 공격 방식이 현실화되고 있다는 경고가 나온다. 현장 전문가들은 “금융보안은 이제 기술이 아니라 속도의 싸움”이라고 입을 모은다.
 |
| 금융보안원 여성 화이트 해커 3인이 지난 1일 서울 여의도 금융보안원 사무실에서 이데일리와 인터뷰를 진행하고 있다. 왼쪽부터 송은지 팀장, 김규연 수석, 이민희 수석.(사진=방인권 기자) |
금융보안원에서 AI 레드티밍(침투시험)을 담당하는 송은지 팀장, 디지털 포렌식을 맡고 있는 김규연 수석, 화이트해킹을 수행하는 이민희 수석은 지난 1일 이데일리와 인터뷰에서 “AI는 이미 금융 시스템 내부를 교란할 수 있는 단계까지 진입했다”고 진단했다. 이들은 기존의 ‘네트워크 중심 방어’만으로는 더 이상 대응이 어렵다고 강조했다.
대표적인 사례는 AI 에이전트를 겨냥한 ‘문서 기반 공격’이다. 송은지 팀장은 “AI가 대출 심사를 수행하는 환경에서 공격자가 제출한 문서 내부에 보이지 않는 명령을 삽입하면 결과 자체를 조작할 수 있다”며 “겉으로는 정상적인 흐름이라 기존 보안 체계로는 탐지가 사실상 불가능하다”고 설명했다. 이 과정은 네트워크 접근이나 시스템 로그에도 이상 징후가 남지 않는다. 그는 “이제는 네트워크가 아니라 AI가 해석하는 ‘정보 자체’를 들여다보는 보안이 필요하다”고 말했다.
다만 실제 사고 현장을 보면 위협의 출발점은 여전히 ‘기본 관리’에 있다. 김규연 수석은 “사고를 분석해보면 대부분 신기술 문제가 아니라 운영·관리 부실에서 시작된다”고 강조했다. 퇴사자 계정 방치, 보안 패치 누락, 외부 업체에 대한 과도한 권한 부여 등 기본적인 통제 실패가 사고로 이어진다는 설명이다. 그는 “단 하나의 설정 실수나 패치 누락이 대형 사고로 이어질 수 있다”고 말했다.
공격 양상도 달라지고 있다. 김규연 수석은 “하나의 소프트웨어 취약점이 여러 기업으로 동시에 확산되는 ‘공급망 공격’이 늘고 있다”며 “이제는 개별 기업 문제가 아니라 산업 전체 리스크로 번지는 구조”라고 설명했다.
사고 대응 과정은 여전히 ‘사람 중심’이다. 포렌식 분석은 서버와 PC 저장장치를 복제한 뒤 로그와 파일을 일일이 확인하는 방식으로 진행된다. 김 수석은 “단일 시스템 분석에도 통상 4~5일이 걸리고, 대형 사고는 수십 대 장비를 동시에 분석해야 해 한 달 이상 소요되기도 한다”고 말했다. 실제 수십 대 서버가 동시에 침해된 사건에서는 한 달 반 가까이 분석이 이어졌고, 이 기간 동안 주말과 야간 근무가 이어졌다. 그는 “아직까지는 사람이 직접 들여다보는 작업 비중이 상당히 크다”고 덧붙였다.
 |
| 금융보안원 여성 화이트 해커 3인이 지난 1일 서울 여의도 금융보안원 사무실에서 이데일리와 인터뷰를 진행하고 있다. 왼쪽부터 송은지 팀장, 이민희 수석, 김규연 수석.(사진=방인권 기자) |
이민희 수석은 기술보다 ‘구조적 취약성’을 더 큰 문제로 지적했다. 그는 “클라우드 전환이 빠르게 이뤄지면서 권한 설정 하나만 잘못돼도 전체 인프라 위험으로 확대될 수 있다”며 “보안은 기술보다 운영과 관리의 문제”라고 말했다. 특히 설치형 보안 프로그램과 중앙 통제형 솔루션 구조도 잠재적 리스크로 꼽힌다. 이 수석은 “중앙 서버가 침해되면 전체 단말로 공격이 확산될 수 있다”며 “사용자 편의와 보안 사이 균형을 다시 고민해야 하는 시점”이라고 설명했다.
현장에서는 조직 구조 문제도 반복적으로 제기된다. 송은지 팀장은 “금융회사마다 보안팀의 위상이 크게 다르다”며 “입지가 높은 곳은 체계가 잘 갖춰져 있지만, 그렇지 않은 곳은 사고 전까지 비용 조직으로 인식되는 경우가 많다”고 말했다. 이로 인해 취약점이 발견돼도 즉각적인 개선이 어려운 경우가 적지 않다는 설명이다.
공격 주체도 고도화되고 있다. 김규연 수석은 “북한 해킹 조직은 국내 보안 환경에 대한 이해도가 높아 특정 솔루션이나 구조적 취약점을 집중적으로 공략한다”며 “외부에 알려지지 않은 사고도 계속 발생하고 있다”고 말했다. AI는 공격 방식 자체도 바꾸고 있다. 송은지 팀장은 “지인의 얼굴과 목소리를 그대로 모방한 보이스피싱이 이미 등장했다”며 “누구든 속을 수 있는 수준”이라고 경고했다.
이에 따라 전문가들은 금융소비자의 역할도 중요해졌다고 강조한다. 김규연 수석은 “링크를 바로 클릭하지 않고 한 번 더 확인하는 습관만으로도 사고를 예방할 수 있다”고 조언했다. 송은지 팀장은 “가족 간 ‘비밀코드’를 미리 정해두는 것도 하나의 대응 방법”이라며 “보안은 더 이상 전문가만의 영역이 아니다”고 말했다.
남성 중심으로 인식되던 보안 업계에서도 변화는 감지된다. 세 사람은 공통적으로 “결국 중요한 것은 성별이 아니라 전문성”이라고 강조했다. 송은지 팀장은 “이 분야에서는 결국 기술로 말해야 한다”고 말했다.
![[단독] '알파고 아버지' 10년 만에 방한…이세돌과 다시 만난다](https://img.hankyung.com/photo/202603/AA.43666527.1.jpg)
!['하시4' 유지원, 군대 가지만 3주 훈련 후 민간인 복귀 "공중보건의사로 국방의 의무" [전문]](https://image.starnewskorea.com/cdn-cgi/image/f=auto,w=1200,h=1679,fit=cover,q=high,sharpen=2/21/2026/03/2026031811115911727_1.jpg)
English (US) · 