“사이버 사고=그룹 리스크, 공동 대응 필요”
‘공격자’ 레드팀·‘방어자’ 블루팀 협업 구조
“방어 역량 향상 학습…실전형 보안 될 것”
“AI 활용 고도화는 물론 통제·검증도 중요”
 |
| 이재용 KB금융그룹 사이버보안센터장(상무) [KB금융 제공] |
[헤럴드경제=김은희 기자] “단순한 체크리스트식 점검을 넘어 공격 시나리오 기반의 실전형 검증으로 바꿨습니다. ‘보안 시스템을 갖추고 있다’에서 ‘해킹 공격을 실제로 막는다’로 무게중심을 옮긴 거죠. 그게 KB금융그룹 사이버보안센터의 가장 큰 차별점입니다.”
KB금융지주가 최근 그룹 차원의 사이버보안센터를 출범시킨 배경에는 사이버보안을 더 이상 IT(정보기술) 운영 이슈로만 볼 수 없다는 인식의 변화가 자리 잡고 있다. 이재용 KB금융 사이버보안센터장(상무)은 25일 헤럴드경제와의 서면 인터뷰에서 “사이버 사고는 고객 보호와 평판, 법규 리스크로 직결되는 그룹 리스크”라며 “계열사별 대응 방식만으로는 한계가 있어 그룹 차원의 공동 대응 체계가 필요했다”고 밝혔다.
금융권을 둘러싼 위협 환경은 빠르게 변하고 있다. 공격자는 특정 시스템 하나를 노리기보다 외부에 노출된 서비스와 클라우드 환경, 협력사·공급망 접점 등 상대적으로 취약한 지점을 집요하게 파고든다. 생성형 인공지능(AI)을 활용한 피싱과 스캠, 문서·음성 위조 공격도 늘었다. 사람의 판단만으로는 걸러내기 어려운 위협이다.
이 센터장은 “랜섬웨어 역시 예전과는 양상이 다르다”며 “단순히 시스템을 암호화하는 수준을 넘어 정보를 먼저 탈취한 뒤 이를 공개하겠다고 협박하는 이중 갈취 형태로 진화했다”고 짚었다. 그는 “한 번 사고가 나면 피해 범위와 파급력이 과거와는 비교하기 어려울 정도”라고 덧붙였다.
KB금융은 이러한 변화에 대응하기 위해 지주와 11개 계열사의 외부 침해 위협을 그룹 차원에서 공동 대응하는 사이버보안센터를 새로 만들었다. 단순히 관제 범위를 넓힌 조직이 아니다. 그룹 공통 보안 프레임워크와 표준 정책을 정립하고 실제 공격을 가정한 검증과 개선을 반복하는 전담 조직이다.
센터 운영의 키는 레드팀과 블루팀의 협업이다. 레드팀은 공격자 관점에서 앱·웹 등 비대면 채널과 주요 시스템을 대상으로 모의해킹과 침투 테스트를 반복한다. 블루팀은 24시간 365일 상시 모니터링을 통해 이상 징후를 조기에 탐지하고 차단한다.
이 센터장은 “레드팀과 블루팀을 단순히 공격과 방어의 대결로 보면 안 된다”며 “방어 역량을 끌어올리기 위한 학습 구조”라고 설명했다. 레드팀이 취약점을 찾아내면 블루팀은 동일한 공격 시나리오가 관제 환경에서 어떻게 보이는지 확인하고 탐지 규칙과 차단 기준, 대응 절차를 즉시 보완한다. 보완된 체계는 레드팀이 다시 검증하게 된다.
그는 “공격과 방어를 연결해 발견검증개선재검증의 고리를 짧게 만드는 것이 핵심”이라며 “이를 통해 규정을 충족하는 보안이 아니라 실제 공격자 관점에서 끊임없이 검증되고 현장에서 증명되는 실전형 보안을 만들겠다는 것”이라고 부연했다.
계열사별 각기 다른 보안 성숙도를 필수 기준선까지 올려놓는 것도 사이버보안센터의 역할이다. 이 센터장은 “외부 접점 자산 관리나 공급망 리스크, 랜섬웨어 대응처럼 사고로 직결되는 핵심 영역은 그룹 표준으로 강하게 맞출 계획”이라며 “점검과 개선이 같은 기준으로 이뤄지도록 하겠다”고 말했다. 교차 점검과 상시 모니터링을 통해 계열사 간 격차를 줄이는 작업도 중요한 요소다.
KB금융이 사이버보안을 얼마나 중시하는지는 조직 구조에서도 드러난다. KB금융은 지난해 말 조직 개편을 통해 사이버보안센터가 속한 지주 정보보호부를 준법감시인 산하로 옮겼다. 사이버보안을 내부통제의 한 축으로 끌어올린 셈이다.
이 센터장은 “보안 이슈는 비용이나 일정, 편의성과 충돌할 때 흔들리기 쉽다”며 “내부통제 관점에서 독립적으로 판단하고 집행할 수 있는 기반을 마련했다는 데 의미가 있다”고 말했다. 이어 “문서 중심이 아니라 실행 중심의 보안이 조직 전반에 자리 잡히는 시너지를 기대하고 있다”고 덧붙였다.
그는 AI 시대 보안의 관건으로 ‘활용’과 ‘통제’의 균형을 꼽았다. AI를 활용해 탐지와 분석 역량을 높이는 동시에 AI가 AI를 공격하는 흐름을 고려해 AI 모델에 대한 취약점 검증과 통제 기준을 강화해야 한다는 것이다. 이 센터장은 “결국 AI는 도구”라며 “활용을 넓히는 것만큼이나 관리와 통제, 검증 체계를 갖추는 게 중요하다”고 역설했다.
이 센터장이 그리는 사이버보안센터의 목표는 분명하다. 사고를 완전히 없애겠다는 선언보다 사고 가능성을 구조적으로 낮추고 발생하더라도 빠르게 확산을 막고 복구할 수 있는 회복탄력성을 그룹 표준으로 만드는 것이다.
그는 “보안은 문서로 완성되는 것이 아니라 현장에서 증명되는 것”이라며 “고객이 보안을 의식하지 않아도 안전한 상태, 그것이 KB금융이 만들고 싶은 금융 보안의 기준”이라고 강조했다.
