인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 롯데카드는 2021년 12월 ‘디지로카(Digi-LOCA)’ 브랜드를 선보이며 디지털 회사로의 대전환을 선포했다. 고객 앱‧웹과 내부 시스템 등에 디지털전환(DX)을 적용한 롯데카드는 이제 인공지능 전환(AX) 시대를 겨냥한다. 이에 발맞춰 롯데카드는 AX시대에 맞는 보안환경을 조성한다.

이창복 롯데카드 최고정보보호책임자(CISO)는 <디지털데일리>와 보안리더스 인터뷰를 통해 정보보호 영역에서 ‘AI 데이터레이크(AI DATA LAKE)’ 기반 AI 보안 시스템을 구축하겠다고 밝혔다. 롯데카드에 맞는 인공지능(AI) 구축을 위한 학습과 활용 측면에서 중요한 기반 작업이다. 또한, 롯데카드는 업무에 일상적으로 AI가 활용되는 환경에 대비해 ‘AI 사용 가이드라인’ 제정과 ‘AI 특화 정보유출 방지 체계’도 구축할 예정이다.

AI를 보안분야 ‘게임체인저’로 주목한 이창복 롯데카드 CISO는 “IT 인프라 디지털화와 해커의 지능화로 인해 전통적 보안 체계만으로는 최신 위협에 효과적으로 대응하기 어렵다”며 “ 기존에는 다양한 보안솔루션과 정확한 탐지 정책‧패턴 관리, 지속적 인력투입을 통한 예방‧대응전략이 필요했다면, 앞으로는 AI 기반 모든 시스템 데이터의 통합적 학습‧분석을 통해 위협 탐지, 사용자 행동 분석, 보안 자동화 전략이 핵심 전략으로 전환될 것”이라고 진단했다.

◆AI를 위한 SIEM…2025년 ‘AI 데이터레이크’ 착수

우선, 롯데카드는 AI를 위한 보안정보‧이벤트 관리(SIEM) ‘AI 데이터레이크’를 내년 사업으로 설정했다. AI 데이터레이크는 롯데카드에서 만든 용어로, 기존 SIEM과는 다른 부분이 있다.

이창복 CISO는 “SIEM을 구축할 때, 목적성을 가지고 어떤 데이터를 연동해 무엇을 보겠다고 하는 것이 명확하다”며 “하지만 롯데카드는 내부 보안 관련 이벤트를 추적하고 가시성을 만들 수 있는 모든 데이터를 AI 데이터레이크에 축적하겠다는 목표다. 기존 SIEM과는 개념이 약간 다르다”고 설명했다.

정보유출‧해킹 등 특정 업무 영역만을 위한 SIEM이 아니라 ▲내부 임직원 이상징후 ▲외부 침해 탐지 ▲데이터 수집 ▲외부 사고사례 등을 모두 학습해 AI 데이터레이크 안에서 통합적으로 볼 수 있는 허브를 만들겠다는 것이다. 향후 AI를 적극적으로 활용하기 위한 준비단계로도 볼 수 있다.

이 CISO는 “외부 로그가 발생할 수 있는 전체 시스템을 대상으로 하기에, 규모에 대해 고민 중”이라며 “업무‧비용 효율화를 위해 목적성에 맞는 특정 데이터만을 대상으로 하는 게 아니라, 학습을 시킨다는 목표 아래 모든 데이터를 축적시키겠다는 것으로 이해해야 한다”고 말했다.

이어 “필요한 부분을 분석하기 위해 이에 맞는 데이터를 수집해야 했던 기존 절차가 없어지는 것”이라며 “이미 수집‧학습돼 있다면 AI는 바로 가시성 있는 데이터를 줄 수 있다. 이를 간소화하면서도 실제 자동화 단계 이전에 효율적 분석을 위한 방안도 만들려고 한다”고 덧붙였다. 관련해 입찰제안요청서(RFP) 공개는 내년 1분기 중으로 예상된다.

롯데카드는 해킹 관제 영역에서의 외부 침해 대응을 시작으로 내부직원 이상행위에 이르기까지 보안 이벤트에 대한 가시성 확보와 탐지 고도화와 자동화 전략도 추진한다. 프로그래밍 언어가 아닌, 인간의 언어를 사용한 프롬프트 명령어를 제시하는 자동화로 가시성을 높일 방침이다. 관련해 수십여종 보안솔루션을 종합적으로 연계 분석하고, 상관성과 가시성을 확보한다.

◆AI가 일상 업무에 스며드는 ‘AI 내재화’, 보안도 대비하라

이와 함께 이 CISO는 AI 내재화를 대비하고 있다. 롯데카드는 AI를 내부 업무에 내재화하기 위해 올해 컨설팅 후 내년 본격 추진을 앞두고 있다.

AI를 사용하게 됐을 때, 온프레미스(구축형)를 하더라도 외부 연결과제가 생길 수 있고 서비스형소프트웨어(SaaS)를 활용하는 특정 업무 영역이 생기게 된다. 데이터 유출 방지 및 통제부터 클라우드 보안 등에 더 신경쓸 수밖에 없는 요소다.

이에 롯데카드는 내년에 임직원을 1차 대상으로 한 ‘AI 사용 가이드라인’을 제정한다. AI 데이터레이크 오픈 전 가이드라인부터 먼저 제시할 예정이다. 임직원 등 내부 영역부터 먼저 고민 후, 이후 내재화를 진행하면서 고객 대상 AI 거버넌스도 정립해야 한다. AI 특화 정보유출 방지체계도 살펴보고 있다. AI를 본격 도입하게 되면, 기존 데이터유출방지(DLP)로는 한계가 있다고 판단했다.

이러한 내년도 보안사업을 통해 이 CISO는 이전보다 신속한 침해대응이 가능해지고 보안인력은 더 고도화된 업무로 전환돼 정책적‧기술적 보안강화가 이뤄질 것으로 기대했다. 나아가, 중장기적으로 금융보안에 있어 AI 활용도를 극대화할 수 있는 프로세스를 구축하고 운영할 방침이다.

이 CISO는 “중장기적으로 AX 시대와 이행을 목표로 삼았다”며 “AI는 업무 효율성을 혁신적으로 개선시킬 수 있고, 보안 영역에서도 반드시 가야 할 방향”이라고 내다봤다.

◆장밋빛 청사진에도 그늘은 있다…규제로 더뎌지는 AI

이 CISO가 AI를 중장기 전략으로 세운 또 다른 이유는 규제다. 금융분야에서 AI 활용을 촉진하기 위해 규제 개선을 발표했지만, 아직 금융사에서 적극적으로 SaaS와 AI를 쓰기엔 제약이 많다. 안타깝게도 현 규제에서는 효과적인 개념검증(PoC)조차 쉽지 않은 상황이다.

이 CISO는 “AX 전환 시점에서 가장 중요한 인프라 요소는 클라우드와 AI”라며 “규제샌드박스를 통한 예외 사용 승인 절차가 있다고는 하나, 금융사에서 적극적으로 SaaS와 AI를 활용하는데 많은 한계가 있다”고 지적했다.

금융권은 데이터 처리‧저장 방식에 대한 제한이 엄격하기에, AI를 도입할 때 SaaS 기반 솔루션을 활용하기 어려운 실정이다. 그럼에도 AI를 내부에서 활용하려면, 온프레미스(구축형)로 AI 시스템을 구축하거나 혁신금융 서비스 신청을 해야 한다. 롯데카드 AI 데이터레이크도 구축형으로 고려하고 있다.

이 CISO는 “AI 솔루션은 업무 자동화와 고도화뿐 아니라 예방·탐지 활동에도 혁신적이지만, 대부분 SaaS 기반이라 즉각적으로 테스트하고 PoC를 해보고 싶어도 규제샌드박스 열차로 인해 할 수 없다”고 전했다.

또 “SaaS나 AI는 안전성평가와 이용자 신고만으로 끝나지 않고, 특정 보안 영역에 대한 주기적 검토와 승인 과정을 거쳐야 한다. 다른 회사들과 함께 신청해서 대기해야 하기 때문에 우리가 원하는 일정대로 추진하는 것이 쉽지 않다”며 “금융권 망분리 개선안이 나왔지만, 신청 대상 기업도 많고 조건도 충족해야 하고, 심사에 소요되는 일정도 고려하지 않을 수 없다”고 토로했다.

이에 이 CISO는 규제 특례 정규 제도화와 확대가 보다 빠른 시일 내 적용되기를 바라고 있다. 금융사업과 정보보호 영역이 발전할 수 있는 적기를 놓치지 않아야 하기 때문이다.

이 CISO는 “AI 관련 규제가 완화된다면 카드사들이 AI를 적극적으로 도입할 영역이 많아질 것”이라며 “보안 쪽에선 실제 우리가 보지 못했던 영역으로 확대해 외부 침해활동 대응을 강화할 수 있는 충분한 계기가 되며, 내부 임직원에 의한 정보 유출이나 위협요소 판별에도 주요한 역할을 할 수 있을 것이다. 모든 이벤트를 취합해 위험요소를 계속 학습할 수 있는 시스템은 AI뿐”이라고 강조했다.

<다음 기사에서 계속>

◆이창복 롯데카드 CISO 주요 약력

▲2022년~현재 한국정보보호최고책임자협의회 부회장

▲2022년~현재 금융보안원 금융보안포럼 운영위원

▲2024년 제13회 정보보호의날 과기정보부 장관상

▲2022년~현재 롯데카드 정보보호실장(CISO/CPO)

▲2014~2022년 현대카드/캐피탈 정보보호팀장

▲2011~2013년 현대카드/캐피탈 정보보호담당

▲2003~2010년 현대카드 IT감사 및 정보보호담당