공공·금융·산업 포괄한 실전 경험으로 다져진 실용주의 보안 철학 제시
사내 보안 문화 정착 이끌며 기술 기반의 AI 자율책임 보안 전략 공유
[보안뉴스 조재호 기자] “보안이 타 부서의 발목을 잡는 답답한 규제로 인식되어선 안 됩니다. 조직이 달성하고자 하는 비즈니스 목표를 정확히 파악하고, 가이드라인 안에서 최적의 해법을 찾아주는 조력자가 되어야 합니다.”
공지훈 라포랩스 보안 컴플라이언스 엔지니어가 추구하는 ‘정책 공학’(Compliance Engineering)은 규정 준수를 뜻하는 컴플라이언스(Compliance)와 공학을 뜻하는 엔지니어링(Engineering)을 결합한 개념으로, 보안·개인정보 보호·법적 규제 등의 컴플라이언스 업무를 IT 인프라에 통합하고 자동화해 지속적이고 유기적으로 관리하는 방법론을 말한다.
▲공지훈 라포랩스 보안 컴플라이언스 엔지니어 [출처: 보안뉴스]
공 엔지니어는 특성화고 졸업 후 차세대 보안리더 양성 프로그램(BoB)를 거쳐 치열한 실무 현장을 누볐다. 방화벽 엔지니어를 시작으로 한국인터넷진흥원(KISA)과 금융보안원, 카카오뱅크 등을 거치며 지식으로 접하던 개념들을 실제 인프라 환경에서 다루며 폭넓은 경험을 쌓았다.
또래의 보안 담당자 대비 다양한 곳에서 근무 이력을 지닌 공 엔지니어는 이직 기준으로 회사의 보안이 구성원과 소비자에게 실질적인 도움을 줄 수 있는지를 꼽았다. 현재 근무하고 있는 라포랩스에 합류한 배경도 4050 세대 여성을 위한 라이프스타일 플랫폼 ‘퀸잇’을 운영하는 스타트업에서 A부터 Z까지 보안 프로세스 전반을 운영할 수 있다는 점에서 매력을 느꼈다고 전했다.
최근 체크리스트 기반 통제에서 벗어나 보안과 비즈니스의 조화를 강조하고 있는 공 엔지니어를 만나 실무적 통찰을 들어봤다.
‘정책 공학’(Compliance Engineering)은 어떻게 정책과 기술의 간극 매우나
공 엔지니어는 ‘정책 공학’을 정책과 기술의 융합으로 정의했다. 그는 “과거 많은 보안 담당자들이 기술 이해에 앞서 체크리스트 방식의 정책 이행에 무게를 둬 실무자들과 마찰을 빚는 악순환을 반복했다”며 “보안 컴플라이언스 엔지니어는 기술에 기반한 정책을 수립하고 이를 지킬 수 있도록 자동화 시스템을 만들어 지속 검증하는 역할을 맡아야 한다”고 말했다.
라포랩스 합류 당시 보안 체계가 전무했던 환경은 그에게 새로운 기회였다. 신규 입사자의 온보딩부터 퇴사까지 이어지는 과정에서 필요한 보안 프로세스를 하나씩 설계했고, 이 과정에서 유관 부서와 소통 능력도 급상승했다. 경영진의 지지와 실무진의 협조 속에서 회사의 보안성은 눈에 띄게 달라졌는데, 이때의 경험이 실용주의적 보안 체계 구성의 토대가 됐다.
실제로 컴플라이언스 준수와 실질적인 보안수준 향상을 위해 오픈 소스인 Cloud Custodian을 활용해 AWS 보안 취약점을 실시간으로 탐지하는 시스템을 구성했다. 또, 입사자 개인 정보보호 교육 프로세스를 교육 수강과 퀴즈 풀이, 교육 이수 확인 등 전과정을 API 호출 기반으로 자동화하기도 했다.
스타트업 보안, SaaS 중심의 표면 최소화와 LLM 기반 운영 효율 극대화
공 엔지니어는 예산과 인력이 부족한 스타트업 특성을 감안해 온프레미스 대신 SaaS 솔루션을 최우선으로 도입했다. 그는 “온프레미스 시스템을 도입할 경우 해당 보안 장비 자체의 취약점 관리와 패치까지 챙겨야 하는 이중고가 발생한다”며 “운영 편의성과 공격 표면 최소화를 위해 백신 솔루션조차 ‘SaaS’ 기반으로 채택했다”고 말했다.
이어 “클라우드 환경의 핵심 뇌관인 비인간 아이덴티티(NHI) 통제를 위해서도 초기 트러플호그(TruffleHog) 오픈소스를 도입하고, 이후 전용 탐지 솔루션 크리밋(Cremit)을 적용해 NHI 유출을 선제적으로 탐지했다.”고 덧붙였다.
이외에도 인상적인 대목은 LLM을 활용한 오케스트레이션 자동화다. 과거 데이터베이스 접근 제어 솔루션의 권한 부여 과정을 수동으로 처리하며 발생하는 병목 현상을 해결하기 위해 슬랙 워크플로우와 연동된 자동화 시스템을 단 2일만에 구축했다. 담당자가 승인하면 자동으로 권한이 할당되고 지정된 기간이 지나면 회수되는 구조다.
그는 “LLM 도입 이후 보안 운영 공수가 10% 이하로 줄어드는 등 소수 보안팀의 한계를 극복하고 생산성이 폭발적으로 증가했다”고 강조했다. 과거 평범한 실무자 3~4인으로 구성팀 팀 업무를 자동화 스크립트와 LLM 트러블 슈팅을 통해 소화해내며 인력난에 허덕이는 중소 규모 보안 조직에 새로운 돌파구를 제시했다
▲공지훈 라포랩스 보안 컴플라이언스 엔지니어 [출처: 보안뉴스]
관성적 보안 탈피해야... “방어자의 ‘AI’ 무기화는 시대적 생존 전략”
지식 공유를 위해 아마존 웹 서비스(AWS) 커뮤니티 오거나이저와 화이트햇 멘토로도 활동 중인 그는 보안 생태계의 상향 평준화가 지니는 가치를 역설했다.
공 엔지니어는 “과거 선배들의 블로그나 강연을 통해 성장했던 것처럼, 내 노하우를 공유해 동종 업계 실무자들의 역량을 높이는 것이 결과적으로 글로벌 해킹 위협에 맞서는 산업 전체의 방어력을 키우는 길”이라는 의견이다. 단순히 ‘AI’에 의존하는 것을 넘어 사전에 문제를 뾰족하게 정의하고 도출된 결과물을 비판적으로 검증하는 엔지니어의 통제력이 수반되어야 자동화의 신뢰성을 담보할 수 있다고 덧붙였다.
나아가 2026년 현재 가장 뜨거운 화두인 금융권 망분리 규제 완화 등 산업 패러다임 변화를 언급하며 실무자들을 향해 묵직한 제언을 던졌다. 공지훈 엔지니어는 “가장 보수적인 금융권조차 가이드라인을 세우고 ‘AI’ 사용을 전면 허가하는 상황”이라며 “클로드 미토스 등 고성능 공격 도구로 무장한 해커들에 맞서기 위해 방어자 역시 ‘LLM’에 대한 거부감을 내려놓고 적극적으로 최신 무기를 획득해야 한다”고 말했다.
인터뷰 말미에 그는 관성에 젖은 보안 업무 방식을 탈피할 것을 강력히 주문했다. 공지훈 엔지니어는 “과거부터 해오던 관행적인 솔루션 도입이나 절차에 얽매이지 않고 합리적인 자율 보안 체계를 고민해야 한다”며 “기술 발전의 속도에 맞춰 보안 컴플라이언스 엔지니어 스스로 역할을 재정의하고 과감한 궤도 수정에 나서야 할 시점”이라고 강조했다.
[조재호 기자(zephyr@boannews.com)]
사내 보안 문화 정착 이끌며 기술 기반의 AI 자율책임 보안 전략 공유
[보안뉴스 조재호 기자] “보안이 타 부서의 발목을 잡는 답답한 규제로 인식되어선 안 됩니다. 조직이 달성하고자 하는 비즈니스 목표를 정확히 파악하고, 가이드라인 안에서 최적의 해법을 찾아주는 조력자가 되어야 합니다.”
공지훈 라포랩스 보안 컴플라이언스 엔지니어가 추구하는 ‘정책 공학’(Compliance Engineering)은 규정 준수를 뜻하는 컴플라이언스(Compliance)와 공학을 뜻하는 엔지니어링(Engineering)을 결합한 개념으로, 보안·개인정보 보호·법적 규제 등의 컴플라이언스 업무를 IT 인프라에 통합하고 자동화해 지속적이고 유기적으로 관리하는 방법론을 말한다.
▲공지훈 라포랩스 보안 컴플라이언스 엔지니어 [출처: 보안뉴스]
공 엔지니어는 특성화고 졸업 후 차세대 보안리더 양성 프로그램(BoB)를 거쳐 치열한 실무 현장을 누볐다. 방화벽 엔지니어를 시작으로 한국인터넷진흥원(KISA)과 금융보안원, 카카오뱅크 등을 거치며 지식으로 접하던 개념들을 실제 인프라 환경에서 다루며 폭넓은 경험을 쌓았다.
또래의 보안 담당자 대비 다양한 곳에서 근무 이력을 지닌 공 엔지니어는 이직 기준으로 회사의 보안이 구성원과 소비자에게 실질적인 도움을 줄 수 있는지를 꼽았다. 현재 근무하고 있는 라포랩스에 합류한 배경도 4050 세대 여성을 위한 라이프스타일 플랫폼 ‘퀸잇’을 운영하는 스타트업에서 A부터 Z까지 보안 프로세스 전반을 운영할 수 있다는 점에서 매력을 느꼈다고 전했다.
최근 체크리스트 기반 통제에서 벗어나 보안과 비즈니스의 조화를 강조하고 있는 공 엔지니어를 만나 실무적 통찰을 들어봤다.
‘정책 공학’(Compliance Engineering)은 어떻게 정책과 기술의 간극 매우나
공 엔지니어는 ‘정책 공학’을 정책과 기술의 융합으로 정의했다. 그는 “과거 많은 보안 담당자들이 기술 이해에 앞서 체크리스트 방식의 정책 이행에 무게를 둬 실무자들과 마찰을 빚는 악순환을 반복했다”며 “보안 컴플라이언스 엔지니어는 기술에 기반한 정책을 수립하고 이를 지킬 수 있도록 자동화 시스템을 만들어 지속 검증하는 역할을 맡아야 한다”고 말했다.
라포랩스 합류 당시 보안 체계가 전무했던 환경은 그에게 새로운 기회였다. 신규 입사자의 온보딩부터 퇴사까지 이어지는 과정에서 필요한 보안 프로세스를 하나씩 설계했고, 이 과정에서 유관 부서와 소통 능력도 급상승했다. 경영진의 지지와 실무진의 협조 속에서 회사의 보안성은 눈에 띄게 달라졌는데, 이때의 경험이 실용주의적 보안 체계 구성의 토대가 됐다.
실제로 컴플라이언스 준수와 실질적인 보안수준 향상을 위해 오픈 소스인 Cloud Custodian을 활용해 AWS 보안 취약점을 실시간으로 탐지하는 시스템을 구성했다. 또, 입사자 개인 정보보호 교육 프로세스를 교육 수강과 퀴즈 풀이, 교육 이수 확인 등 전과정을 API 호출 기반으로 자동화하기도 했다.
스타트업 보안, SaaS 중심의 표면 최소화와 LLM 기반 운영 효율 극대화
공 엔지니어는 예산과 인력이 부족한 스타트업 특성을 감안해 온프레미스 대신 SaaS 솔루션을 최우선으로 도입했다. 그는 “온프레미스 시스템을 도입할 경우 해당 보안 장비 자체의 취약점 관리와 패치까지 챙겨야 하는 이중고가 발생한다”며 “운영 편의성과 공격 표면 최소화를 위해 백신 솔루션조차 ‘SaaS’ 기반으로 채택했다”고 말했다.
이어 “클라우드 환경의 핵심 뇌관인 비인간 아이덴티티(NHI) 통제를 위해서도 초기 트러플호그(TruffleHog) 오픈소스를 도입하고, 이후 전용 탐지 솔루션 크리밋(Cremit)을 적용해 NHI 유출을 선제적으로 탐지했다.”고 덧붙였다.
이외에도 인상적인 대목은 LLM을 활용한 오케스트레이션 자동화다. 과거 데이터베이스 접근 제어 솔루션의 권한 부여 과정을 수동으로 처리하며 발생하는 병목 현상을 해결하기 위해 슬랙 워크플로우와 연동된 자동화 시스템을 단 2일만에 구축했다. 담당자가 승인하면 자동으로 권한이 할당되고 지정된 기간이 지나면 회수되는 구조다.
그는 “LLM 도입 이후 보안 운영 공수가 10% 이하로 줄어드는 등 소수 보안팀의 한계를 극복하고 생산성이 폭발적으로 증가했다”고 강조했다. 과거 평범한 실무자 3~4인으로 구성팀 팀 업무를 자동화 스크립트와 LLM 트러블 슈팅을 통해 소화해내며 인력난에 허덕이는 중소 규모 보안 조직에 새로운 돌파구를 제시했다
▲공지훈 라포랩스 보안 컴플라이언스 엔지니어 [출처: 보안뉴스]
관성적 보안 탈피해야... “방어자의 ‘AI’ 무기화는 시대적 생존 전략”
지식 공유를 위해 아마존 웹 서비스(AWS) 커뮤니티 오거나이저와 화이트햇 멘토로도 활동 중인 그는 보안 생태계의 상향 평준화가 지니는 가치를 역설했다.
공 엔지니어는 “과거 선배들의 블로그나 강연을 통해 성장했던 것처럼, 내 노하우를 공유해 동종 업계 실무자들의 역량을 높이는 것이 결과적으로 글로벌 해킹 위협에 맞서는 산업 전체의 방어력을 키우는 길”이라는 의견이다. 단순히 ‘AI’에 의존하는 것을 넘어 사전에 문제를 뾰족하게 정의하고 도출된 결과물을 비판적으로 검증하는 엔지니어의 통제력이 수반되어야 자동화의 신뢰성을 담보할 수 있다고 덧붙였다.
나아가 2026년 현재 가장 뜨거운 화두인 금융권 망분리 규제 완화 등 산업 패러다임 변화를 언급하며 실무자들을 향해 묵직한 제언을 던졌다. 공지훈 엔지니어는 “가장 보수적인 금융권조차 가이드라인을 세우고 ‘AI’ 사용을 전면 허가하는 상황”이라며 “클로드 미토스 등 고성능 공격 도구로 무장한 해커들에 맞서기 위해 방어자 역시 ‘LLM’에 대한 거부감을 내려놓고 적극적으로 최신 무기를 획득해야 한다”고 말했다.
인터뷰 말미에 그는 관성에 젖은 보안 업무 방식을 탈피할 것을 강력히 주문했다. 공지훈 엔지니어는 “과거부터 해오던 관행적인 솔루션 도입이나 절차에 얽매이지 않고 합리적인 자율 보안 체계를 고민해야 한다”며 “기술 발전의 속도에 맞춰 보안 컴플라이언스 엔지니어 스스로 역할을 재정의하고 과감한 궤도 수정에 나서야 할 시점”이라고 강조했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
