AI 시대, 되짚어보는 보안의 본질

2026-07-11 16:08
  • 카카오톡
  • 네이버 블로그
  • url
롯데마트 슈퍼를 통한 김재영 롯데마트 슈퍼 CISO의 보안 방향과 식견
AI 시대에도 인간 중심의 보안 철학 필요


[보안뉴스 엄호식 기자] AI가 기업 운영 전반에 깊숙이 자리 잡으면서 보안 역시 단순히 시스템을 지키는 차원을 넘어, 데이터 활용과 보호의 균형을 맞추는 것이 핵심 과제로 떠오르고 있다. 김재영 롯데마트 슈퍼 CISO는 최근 열린 ‘CISO KOREA 2026’에서 이러한 변화에 대한 전략과 비전을 공유했다.


[출처: gettyimagesbank]

AI, 인간의 ‘머리’를 위임받은 최초의 도구
김 실장은 사람과 AI의 구조를 단순화 시켜보면 시스템 안에서 사람과 AI는 같지만, 기존 혁명과 AI 혁명을 비교를 통해 AI의 본질적 위험성을 짚으며 강연을 시작했다. 그는 “AI는 최초로 인간의 머리를 위임할 수 있는 도구”라고 정의했다. 과거의 혁명은 불, 도구, 인쇄, 산업 등 물리적 자산을 중심으로 이루어졌지만, AI 혁명은 사고와 판단을 기계에 맡긴다는 점에서 차원이 다르다. 이 때문에 편향, 환각, 과도한 데이터 유입 같은 문제는 단순한 기술적 오류가 아니라 사회적·윤리적 위험으로 이어질 수 있다. 이에 변화된 환경의 정보 보호는 더 이상 전체의 방어가 아닌 필요한 부분만을 방어하는 업에 맞는 선택과 집중이 필요하다.

데이터 레벨링과 권한 체계 재수립
롯데마트 슈퍼는 합병 과정에서 약 3만8000개의 데이터를 전수 분석해 기밀·중요·내부·공개 정보로 분류했다. 이를 기반으로 권한 체계를 재수립하고, 프로세스별 위험도를 평가해 보안 체계를 완성했다. 김 실장은 “정보 보호는 단순 식별이 아니라 이해와 위험 관리에서 출발한다”고 강조했다. 이는 단순히 데이터베이스를 관리 수준을 넘어, 기업의 운영 프로세스와 보안 전략을 긴밀히 연결한 시도였다.

AI 보안 체크리스트, 65개 항목으로 표준화
이를 통해 전사의 데이터를 식별하고 4단계 보안 등급화(Data Leveling)을 적용한 롯데그룹은 국정원과 KISA, 사이버 보안 평가 기준 등 국내외 사례를 종합해 ‘65개 항목의 AI 보안 체크리스트’를 개발했다. 이 중 19개 항목은 필수 보안 요건으로 지정됐다. 김 실장은 이를 통해 “AI 생명주기 전반에서 보안성을 확보하고, 현업에서도 쉽게 활용할 수 있는 체계를 마련했다”고 설명했다. 이는 단순한 내부 지침을 넘어 그룹 차원의 표준 프로토콜로 자리 잡으며, AI 도입 과정에서 보안이 후순위로 밀리지 않도록 하는 장치가 됐다.

늘어나는 AI 공격, ‘막는 것’보다 ‘지연’시켜 피해 최소화
늘어나는 AI 공격에 대한 대응 전략도 주목할 만하다. 김 실장은 “뚫림을 완전히 막을 수 없기에 중요한 것은 공격을 지연시키고 피해를 최소화하는 것”이라고 말했다. 이를 위해 제로트러스트 아키텍처와 마이크로 세그멘테이션을 도입해 침해 발생 시 즉각적인 차단과 킬스위치 적용을 가능하게 했다. 이는 공격을 완벽히 차단하기보다, 침투 시간을 늦추고 대응 시간을 확보하는 전략적 접근이다. 물리적·가상 방화벽 어플라이언스의 병목 한계를 극복하고, 프로세스와 사용자 등 세분화된 속성 기반의 소프트웨어 정책으로 워크로드를 완전히 분리하는 것이 중요하다. 또한 공격 표면(Attack Surface) 대폭 감소와 랜섬웨어 확산 원천 방지 및 규정 준수 가시성(Compliance)을 동시에 확보해야 한다.

인간 중심의 보안 철학 필요
김 실장은 “AI는 혁신의 도구이지만 이상향을 설정할 수는 없다. 결국 데이터 자산의 범위와 통제 기준은 사람이 만들어야 한다.”며 AI 시대에도 인간 중심의 보안 철학이 필요하다고 강조했다. AI가 업무 효율을 높이고 새로운 가능성을 열어주지만, 그 방향을 설정하고 위험을 관리하는 주체는 여전히 사람이라는 것이다.

마지막으로 그는 AI 기반 보안 패러다임 전환을 통해 사고 전 예측과 사이버 레질리언스를 확보하자며 ①AI 시대, CISO는 ‘머리 역할’을 통해 변화를 선도해야 한다. 유출위험 시대가 정보보호를 확립할 변화의 기회일 수 있다 ②‘업의 이해’ 기반 데이터 레벨링과 프로세스 분석이 AI 통제의 시작이다. 단순 거버넌스에 머물지 말고 분석에 따른 리스크 해징을 위해 기본 보안 솔루션을 철저히 도입하라 ③AI 거버넌스 확립은 법적 준수와 신뢰 확보를 위한 필수적인 발판이다. AI 도입 후 통제하는 것은 더 어렵기 때문에 도입 전 보안 필수체크 리스트가 필요하다 ④Zero trust & micro 및 통합 SOC AI는 AI 시대 선제적 방어 핵심기반이다 등 AI 혁명 속에서 보안의 본질을 묻고, 기업이 나아가야 할 방향을 제시했다.

[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기