AI 시대에도 인간 중심의 보안 철학 필요
[보안뉴스 엄호식 기자] AI가 기업 운영 전반에 깊숙이 자리 잡으면서 보안 역시 단순히 시스템을 지키는 차원을 넘어, 데이터 활용과 보호의 균형을 맞추는 것이 핵심 과제로 떠오르고 있다. 김재영 롯데마트 슈퍼 CISO는 최근 열린 ‘CISO KOREA 2026’에서 이러한 변화에 대한 전략과 비전을 공유했다.

[출처: gettyimagesbank]
AI, 인간의 ‘머리’를 위임받은 최초의 도구
김 실장은 사람과 AI의 구조를 단순화 시켜보면 시스템 안에서 사람과 AI는 같지만, 기존 혁명과 AI 혁명을 비교를 통해 AI의 본질적 위험성을 짚으며 강연을 시작했다. 그는 “AI는 최초로 인간의 머리를 위임할 수 있는 도구”라고 정의했다. 과거의 혁명은 불, 도구, 인쇄, 산업 등 물리적 자산을 중심으로 이루어졌지만, AI 혁명은 사고와 판단을 기계에 맡긴다는 점에서 차원이 다르다. 이 때문에 편향, 환각, 과도한 데이터 유입 같은 문제는 단순한 기술적 오류가 아니라 사회적·윤리적 위험으로 이어질 수 있다. 이에 변화된 환경의 정보 보호는 더 이상 전체의 방어가 아닌 필요한 부분만을 방어하는 업에 맞는 선택과 집중이 필요하다.
데이터 레벨링과 권한 체계 재수립
롯데마트 슈퍼는 합병 과정에서 약 3만8000개의 데이터를 전수 분석해 기밀·중요·내부·공개 정보로 분류했다. 이를 기반으로 권한 체계를 재수립하고, 프로세스별 위험도를 평가해 보안 체계를 완성했다. 김 실장은 “정보 보호는 단순 식별이 아니라 이해와 위험 관리에서 출발한다”고 강조했다. 이는 단순히 데이터베이스를 관리 수준을 넘어, 기업의 운영 프로세스와 보안 전략을 긴밀히 연결한 시도였다.
AI 보안 체크리스트, 65개 항목으로 표준화
이를 통해 전사의 데이터를 식별하고 4단계 보안 등급화(Data Leveling)을 적용한 롯데그룹은 국정원과 KISA, 사이버 보안 평가 기준 등 국내외 사례를 종합해 ‘65개 항목의 AI 보안 체크리스트’를 개발했다. 이 중 19개 항목은 필수 보안 요건으로 지정됐다. 김 실장은 이를 통해 “AI 생명주기 전반에서 보안성을 확보하고, 현업에서도 쉽게 활용할 수 있는 체계를 마련했다”고 설명했다. 이는 단순한 내부 지침을 넘어 그룹 차원의 표준 프로토콜로 자리 잡으며, AI 도입 과정에서 보안이 후순위로 밀리지 않도록 하는 장치가 됐다.
늘어나는 AI 공격, ‘막는 것’보다 ‘지연’시켜 피해 최소화
늘어나는 AI 공격에 대한 대응 전략도 주목할 만하다. 김 실장은 “뚫림을 완전히 막을 수 없기에 중요한 것은 공격을 지연시키고 피해를 최소화하는 것”이라고 말했다. 이를 위해 제로트러스트 아키텍처와 마이크로 세그멘테이션을 도입해 침해 발생 시 즉각적인 차단과 킬스위치 적용을 가능하게 했다. 이는 공격을 완벽히 차단하기보다, 침투 시간을 늦추고 대응 시간을 확보하는 전략적 접근이다. 물리적·가상 방화벽 어플라이언스의 병목 한계를 극복하고, 프로세스와 사용자 등 세분화된 속성 기반의 소프트웨어 정책으로 워크로드를 완전히 분리하는 것이 중요하다. 또한 공격 표면(Attack Surface) 대폭 감소와 랜섬웨어 확산 원천 방지 및 규정 준수 가시성(Compliance)을 동시에 확보해야 한다.
인간 중심의 보안 철학 필요
김 실장은 “AI는 혁신의 도구이지만 이상향을 설정할 수는 없다. 결국 데이터 자산의 범위와 통제 기준은 사람이 만들어야 한다.”며 AI 시대에도 인간 중심의 보안 철학이 필요하다고 강조했다. AI가 업무 효율을 높이고 새로운 가능성을 열어주지만, 그 방향을 설정하고 위험을 관리하는 주체는 여전히 사람이라는 것이다.
마지막으로 그는 AI 기반 보안 패러다임 전환을 통해 사고 전 예측과 사이버 레질리언스를 확보하자며 ①AI 시대, CISO는 ‘머리 역할’을 통해 변화를 선도해야 한다. 유출위험 시대가 정보보호를 확립할 변화의 기회일 수 있다 ②‘업의 이해’ 기반 데이터 레벨링과 프로세스 분석이 AI 통제의 시작이다. 단순 거버넌스에 머물지 말고 분석에 따른 리스크 해징을 위해 기본 보안 솔루션을 철저히 도입하라 ③AI 거버넌스 확립은 법적 준수와 신뢰 확보를 위한 필수적인 발판이다. AI 도입 후 통제하는 것은 더 어렵기 때문에 도입 전 보안 필수체크 리스트가 필요하다 ④Zero trust & micro 및 통합 SOC AI는 AI 시대 선제적 방어 핵심기반이다 등 AI 혁명 속에서 보안의 본질을 묻고, 기업이 나아가야 할 방향을 제시했다.
[엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














