‘통제’를 넘어 ‘지원’으로 가는 4단계 실천 프레임워크

[연재목차 Part 3. 인간중심보안과 보안문화]
1. AI 시대, 왜 인간 중심 보안인가
2. AI 시대, 인간 중심 보안을 구현하려면
3. 인간의 창의성과 AI 보안
4. 보안 위반, 뇌 과학 해법
5. 넛지 보안의 힘
6. 감정과 비합리성, 보안의 숨은 힘
7. 디지털 야누스, 두얼굴의 사용자
8. 인간 중심 보안과 제로트러스트 아키텍처
9. ESG 너머, 인적 지속가능성과 보안
10. 예산·인력 없는 중소기업, ┖사람┖이 답이다
11. 보안문화, Nature vs. Nurture
12. 보안 성패를 가르는 7가지 문화 유형
13. 한국형 보안문화 진단 모델_K-SCT
14. 디지털 보안문화 전환 모델_CORE TRUST

[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 생성형 AI와 에이전트 AI가 일상과 업무에 스며들면서, 보안의 무게중심도 기술에서 사람으로 급격히 이동하고 있습니다. 과거에는 방화벽과 접근통제만으로 일정 수준의 안전을 담보할 수 있었지만, 이제는 사람의 심리를 겨냥한 딥페이크 피싱, AI 계정 탈취, 그리고 섀도우 AI로 인한 내부자 위협이 핵심 공격 벡터가 되었습니다.

이러한 위협 앞에서 “사람이 가장 약한 고리”라며 통제와 감시를 강화하는 기존의 기술통제 위주 패러다임은 더 이상 유효하지 않습니다. AI 시대의 ‘인간중심보안’(People-Centric Security)은 사용자를 통제의 대상이 아니라, 조직을 지키는 가장 강력한 파트너(방어선)로 키워내겠다는 선언입니다. 이를 현장에 안착시키기 위해 보안 조직은 기술뿐만 아니라 심리, 조직문화, 리더십을 아우르는 다음의 ‘4단계 실천 프레임워크’를 도입해야 합니다.


[출처: AI Generated by Kim, Jungduk]

1. [마찰 없는 보안] 사용자 중심의 보안 설계
보안 절차가 복잡하고 업무를 방해하면, 직원들은 반드시 그림자 IT나 섀도우 AI 같은 우회로를 찾게 됩니다. 따라서 “보안을 지키려면 어쩔 수 없이 불편해야 한다”는 구시대적 태도에서 벗어나야 합니다. 훌륭한 보안 정책은 종이 위가 아니라 직원의 ‘일상 업무 흐름’(Workflow) 속에서 검증돼야 합니다. 이를 위해 최소 권한 원칙(SSO, ZTNA 등)을 적용해 기본 보안 체계를 탄탄히 다지되, 가능한 한 보안 솔루션을 배경으로 숨겨 업무의 필수적인 ‘마찰’을 최소화해야 합니다. 보안은 업무를 가로막는 장벽이 아니라, 더 빠르고 안전하게 달리게 해주는 든든한 안전벨트가 되어야 합니다.

2. [신뢰 기반 위임] 데이터 기반 인적 리스크 관리
인간중심보안은 직원에게 자율성을 부여하되 그에 상응하는 책임을 명확히 하는 ‘신뢰’(Trust)를 전제로 합니다. 하지만 무조건적인 믿음은 자칫 방임으로 이어질 수 있으므로, 이를 보완하기 위해 AI 기반의 행동 모니터링이 뒷받침되어야 합니다. 이때 모니터링은 직원을 감시하고 처벌하기 위한 도구가 되어서는 안 됩니다. 로그인 패턴, 데이터 접근 이력, 피싱 훈련 결과 등을 AI로 분석해 위험한 패턴을 조기에 포착하는 ‘안전장치’로 활용하는 것이 핵심입니다. 나아가 고위험 사용자에게는 추가 인증이나 맞춤형 코칭을 제공하고, 보안 모범 사례를 보인 그룹에는 긍정적 보상을 부여하는 ‘데이터 기반 피드백 루프’를 완성해야 합니다.

3. [공감과 이해] 비난하지 않는 학습 문화
사고가 발생했을 때 사람의 실수를 ‘부주의나 무책임’으로 단순화하면, 결국 남는 대책은 벌칙 강화뿐입니다. 하지만 실제 사고의 이면에는 인지 편향, 업무 과부하, 모호한 역할 등 매우 복합적인 ‘인적 취약점’(Human Vulnerability)이 작동합니다. 이러한 문제를 해결하려면 연 1회의 지루한 컴플라이언스 교육을 넘어, 실제와 유사한 AI 피싱 시뮬레이션과 짧은 마이크로 러닝(Micro-learning)을 상시화해야 합니다. 그 중에서도 가장 중요한 것은 바로 ‘비난하지 않는 학습 문화’를 조성하는 일입니다. 작은 실수나 섀도우 AI 사용 징후가 징계에 대한 두려움 없이 자유롭게 보고될 때 조직의 학습 속도와 면역력은 극대화되며, 교육의 성과 역시 단순한 ‘수료율’이 아닌 ‘위반율 감소’라는 실질적인 행동 지표로 측정될 수 있습니다.

4. [공동의 목표] 리더와 현업 관리자의 역할 정렬
최고경영진이 입으로는 “사람이 중심”이라고 선언해 놓고 정작 사고가 발생했을 때 최일선의 직원부터 징계한다면, 인간중심보안은 그 즉시 실패로 돌아갑니다. 진정한 인간중심보안을 위해서는 보안이 CISO 한 사람만의 과제가 아니라 모든 현업 부서장의 핵심 리더십 과제로 인식되어야 합니다. 이를 실천하기 위해 현업 부서별 보안 성숙도나 훈련 참여율 같은 지표를 해당 부서 리더의 성과 평가(KPI)와 직접 연계하는 것이 효과적입니다. 리더 스스로가 앞장서 규정을 준수하고, 위기 발생 시 남을 탓하고 방어적인 태도를 취하기보다 문제 해결에 집중하는 모범을 보일 때, 구성원들은 비로소 보안을 ‘귀찮은 추가 업무’가 아닌 ‘우리의 비즈니스를 지키는 공동의 목표’로 긍정적으로 받아들이게 될 것입니다.

사람을 다시 중심에 세울 때 비로소 완성되는 보안

▲김정덕 중앙대 명예교수 [출처: 김정덕 교수]
AI 기반의 탐지·분석 도구는 사람을 대체하는 무기가 아닌, 인지 부하를 덜어주는 ‘조력자’(Co-pilot)입니다. 위협 탐지는 AI가 잘하지만, 비즈니스 맥락(Context)과 연결해 최종 결정을 내리는 것은 오직 인간의 몫입니다.

AI 시대의 인간중심보안은 “기술이 사람을 통제하는 보안”에서 “사람이 기술을 활용해 서로를 지키는 보안”으로의 진화를 의미합니다. 사람을 통제의 대상으로 억압하면 조직은 불신에 빠지지만, 사람을 가장 강한 방어선으로 믿고 무장시킬 때 비로소 진정한 회복탄력성(Resilience)이 싹틉니다. 인간중심보안은 더 안전한 조직을 만드는 치열한 생존 전략이자, 더 신뢰받는 기업을 만드는 위대한 여정입니다.

[글_김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]

필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>