[人사이트] 조웅현 라이나생명 CISO “AI시대, 사이버위협 고도화…공격자는 규제보다 빠르다”

“인공지능(AI) 시대가 도래하면서 사이버 위협이 확산되고 있습니다. 이미 보이스피싱과 딥페이크 사기 등에 생성형 AI가 활용되고 있는 상황입니다. 반면 방어자에겐 최신 보안기술 도입이 제한돼 있습니다. 공격자에겐 지켜야할 룰이 없지만, 방어자인 기업은 규제를 준수하면서 보안을 강화해야 하기 때문입니다.”

조웅현 라이나생명 정보보호 최고책임자(CISO·상무)는 최근 우리나라 기업을 강타하고 있는 보안 위협에 대해 이같이 진단했다.

조 상무는 지난 2004년부터 20년 이상 보안 업무를 담당해 온 보안 전문가다. 씨티은행, 아마존, 빗썸 등을 거쳐 현재 라이나생명 CISO를 역임하고 있다. 지난 7월 과학기술정보통신부 정보보호의 날 기념식에선 그간 공로를 인정받아 과기정통부 장관 표창을 수상한 바 있다.

조웅현 CISO는 지난 2023년 라이나생명 입사 후 정보보안 취약점을 바로잡고 보안 역량을 글로벌 스탠더드 수준으로 끌어올리는 데 집중하고 있다.

조 상무는 “기업에 중요하지 않다고 여겨지는 부분도 공격자에겐 큰 허점으로 보일 수 있다”며 “기업의 목표 1순위가 보안일 수는 없지만, 목표를 달성하기 위해선 보안이라는 기본기가 뒷받침돼야 한다는 데에 처브그룹과 라이나생명 기조가 일치하고 있다”고 말했다.

실제 라이나생명은 단말기, 네트워크, 서버, 데이터베이스, 애플리케이션(앱) 등 각 영역에 보호체계를 구축하는 '다중계층 보안구조'를 구현한 상태다. 영역별 솔루션과 프로세스를 마련해 모든 단계에서 위험을 방지한다는 목표다.

올해 라이나생명은 ISO27001(국제 정보보호 경영시스템 인증), PCI DSS(글로벌 데이터 보안 표준) 등 인증을 획득하며 국제수준 보안 역량을 인정받았다. 향후에도 △공급망관리(SCM) 강화 △오픈소스 관련 취약점 개선 △취약점 통합관리 시스템 구축 등을 통해 보안을 강화할 방침이다.

조 상무는 최근 AI시대 도래와 함께 한국 기업에게 보안 위협이 가중되고 있다고 평가했다. 조웅현 CISO는 “AI는 학습에 불편함을 느끼지도, 쉬지도 않는다”면서 “AI 기술 발전과 함께 인간중심 리스크, 공격의 자유화, 규제와 시간차 등 문제가 발생하고 있는 상황”이라 설명했다.

이어 그는 “예컨대 AI를 활용한 공격은 AI로 방어하는 것이 가장 효율적이지만, 우리나라 금융사의 경우 실시간 AI 활용이 망분리 규제에 많이 막혀 있다”며 “규제가 공격 기술을 따라가지 못하는 현상이 심화되고 있어 개선이 필요한 상황”이라 전했다.

실제 금융사들은 최신 보안기술을 도입할 때 △신용정보법 △전자금융거래법 △개인정보보호법 △정보통신망법과 망분리 환경 등 다수 규제를 고려한 이후 적용을 결정하고 있다. 반면 공격자에겐 무기 제약이 없다.

특히 기업간 거래에서 위험이 부각될 수 있다. 한쪽만 보안에 취약하더라도 위험이 전이될 수 있기 때문이다. 이에 라이나생명은 제3자 정보보안 평가를 통해, 회사와 계약을 체결하려는 업체에 대해서도 보안 수준을 점검하고 있다.

조 상무는 “우리나라도 보안에 대해선 원칙 중심, 자율기반 규제로 방향성을 잡아가는 추세지만 아직 샌드박스로도 허용되지 않는 부분들이 있다”며 “보안기술 강화 및 투자에 대해선 기업과 금융사 선택의 폭을 넓혀줄 필요가 있다”고 전했다. 마지막으로 그는 “기술적으로 규제가 완화된다면 새로운 위협에도 개선된 기술환경이 이를 충분히 보완할 수 있을 것”이라 말했다.

박진혁 기자 spark@etnews.com