신간 <디지털 보안 전략과 인간중심보안> 출간... 김정덕 중앙대 명예교수 인터뷰 ②
생성형 AI 활용 따른 ‘그림자 AI’ 위협과 인간 중심 대응 전략
MZ세대 사로잡는 보안 경험(UX) 설계, CORE-TRUST 모델 기반 문화 진단
[보안뉴스 조재호 기자] “보안이 디지털 세상을 지탱하는 신뢰의 기반임을 인식할 때 학계와 현장을 잇는 진정한 생태계가 만들어질 것입니다.”
김정덕 중앙대 산업보안학과 명예교수는 보안을 단순한 감시의 영역이 아닌 ‘경험’의 관점에서 재설계하고 임직원들 스스로 보안의 주체가 되도록 유도하는 것이 2026년 기업 생존의 핵심 전략임을 거듭 강조했다. 보안은 더 이상 IT 부서의 지엽적 이슈가 아니라 이사회가 직접 챙겨야 할 전략적 거버넌스 영역이라는 것이다.
▲ 김정덕 중앙대 산업보안학과 명예교수 [출처: 보안뉴스]
AI가 코드를 작성하고 취약점을 찾아내며 사람 개입 없이도 지능화된 사이버 공격을 감행하는 초연결 시대, 기업마다 더 강력한 AI 기술을 찾고 있다. 하지만 이 거대한 기술적 파고 속에서 보안의 성패를 가르는 요소는 다시 ‘사람’과 ‘신뢰’로 회귀한다.
특히 규제와 통제에 대해 거부감이 큰 ‘디지털 네이티브’ 세대가 기업 주축으로 떠오르면서, 과거의 고압적 보안 방식은 현장에서 한계를 드러내고 있다. 임직원들이 업무 효율을 위해 몰래 AI 도구를 활용하는 ‘그림자 AI’가 보안팀이 통제할 수 없는 거대한 안보 공백을 만들고 있다.
Q. 최근 코드를 만들고 취약점을 찾는 AI가 등장하고 고도화되고 있다. 그럼에도 ‘인간중심보안’이 더 중요해졌다고 강조하는 이유는
기술이 고도화될수록 인간의 ‘판단’과 ‘책임’의 가치는 더 높아지기 때문이다. AI는 훌륭한 도구지만, 어떤 의도로 사용할지 결정하고 결과에 책임지는 것은 결국 인간이다. 또 AI가 만들어낸 가짜 정보나 피싱을 걸러내는 마지막 필터 역시 기술이 아닌 인간의 비판적 사고와 보안 의식에 달렸다.
Q. 최근 회사에서 몰래 AI 도구를 활용하는 ‘그림자 AI’ 문제가 심각하다. 무조건 차단이 정답인가
차단은 또 다른 우회로를 만들 뿐이다. 공격자들에게 새로운 기회를, 직원들에게 불편과 불만을 줄 뿐이다. 무조건 금지하는 것보다 올바르고 쉬운 대안을 제공할 수 있어야 한다. 기업 내부에 안전한 AI 샌드박스를 구축하거나 어떤 데이터를 입력해도 되는지 명확한 가이드를 제공하는 ‘경험적 보안’이 필요하다. 통제할 수 없는 영역을 인정하고, 그 안에서 사용자가 안전하게 도구를 활용하도록 돕는 것이 진정한 보안의 실력이다.
Q. 세대 차이, 이른바 ‘디지털 네이티브’ 임직원들과 소통하는 것이 보안팀의 숙제가 됐다. 이들을 위한 보안 경험은 어떻게 설계해야 하는지
일방적 교육보다는 보안이 본인의 업무 효율을 어떻게 높여주는지 시각적으로 보여줄 수 있어야 한다. ‘왜 해야 하는가’에 대한 설득과 납득이 없으면 움직이지 않기 때문이다. 강압적인 보안 앱 설치보다는 수칙 준수가 본인의 성과나 평가에 어떤 긍정적 영향을 미치는지 명확히 인지시켜야 한다. 여기서 핵심은 감시받는 느낌이 아니라, 스스로 프로페셔널한 보안 주체라는 자부심을 느낄 수 있는 설계에 있다.
Q. 막연하게만 느껴지는 ‘보안 문화’를 관리하기 위해 ‘CORE-TRUST 모델’을 제시했다.
CORE-TRUST는 문화 기반의 역량 강화와 신뢰에 의한 회복력(Culture-Oriented Resilience through Empowerment and Transparency, Reponsibility, Unity, Shared-goal and Together)을 말한다.
측정할 수 없으면 관리할 수 없다. ‘CORE-TRUST 모델’은 조직의 보안 수준을 인식, 행위, 의사결정 등 다각도에서 진단하는 도구다. 이 모델의 핵심은 사람을 통제의 대상인 ‘가장 약한 고리’가 아닌, 위협을 가장 먼저 감지하는 ‘핵심 센서’로 재정의하는 데 있다.
진단 지표는 △자율적 역량 강화(Empowerment) △실수 원인을 공유하는 투명성(Transparency) △역할 기반의 책임감(Responsibility) △일상 업무와의 통합성(Unity) △비즈니스 성공을 위한 공동 목표(Shared-Goal) △부서 간 협업(Together) 등 6가지 요소로 구성된다. 단순 설문조사가 아니라 보안 사고 시 임직원의 반응과 경영진의 예산 집행 의지 등을 수치화해 조직의 보안 성숙도를 파악한다.
감시와 통제라는 기존의 틀을 벗어나 구성원 간의 신뢰를 바탕으로 자발적인 보안 참여를 끌어내어 사이버 복원력을 완성하는 것이 이 모델의 지향점이다.
Q. 인간중심보안이 작동하려면 실무진의 노력만으로는 부족해 보인다. 이사회와 경영진에게 요구되는 리더십은
보안을 IT 팀의 ‘비용’이 아니라 경영 전반의 ‘핵심 리스크’로 격상시켜야 한다. 이사회가 직접 보안 전략을 보고받고, 보안 문화 조성을 위한 예산을 배정해야 한다. 기술적 방어는 솔루션을 구매해 채울 수 있지만, 사람의 마음을 움직이는 기업의 거버넌스는 오직 최고경영진의 강력한 의지로만 형성된다.
Q. 정년퇴임 후에도 ‘인간중심보안포럼’ 의장으로서 시니어 보안 전문가들과 함께 활동하고 있다. 향후 계획은
30년 이상 현장을 누빈 시니어들의 노하우는 국가적 자산이다. 저희는 퇴직 후에도 이 재능을 썩히지 않고, 예산이 부족한 중소기업이나 공공기관을 위해 ‘4단계 보안 문화 컨설팅’을 제공할 계획이다. 시니어들이 멘토가 되어 후배 보안 담당자들을 이끌고, 현장의 꼬인 실타래를 풀어주는 ‘지식의 선순환’을 만들고 싶다. 이것이 제가 꿈꾸는 보안 생태계의 완성형이다.
Q. AI 시대에 진정한 보안 전문가를 꿈꾸는 후배 실무자들에게 꼭 전하고 싶은 말이 있다면
코딩 실력보다 중요한 것은 사람에 대한 이해와 공감 능력이다. 보안은 결국 사람을 위한 기술이며, 기계가 대신할 수 없는 영역이 ‘가치 판단’과 ‘소통’이다. 기술의 끝에는 언제나 사람이 있다는 사실을 명심하고, 법과 기술, 인간 심리를 아우르는 ‘융합형 리더’로 성장하시길 바란다. 보안이 우리 사회의 신뢰를 지탱하는 가장 숭고한 전문직임을 자부했으면 한다.
김정덕 교수는 중앙대학교 산업보안학과 명예교수이자 인간중심보안포럼 의장이다. 텍사스A&M대학교에서 박사 학위를 받았다. 한국전산원(현 NIA)을 거쳐 중앙대에서 30여년 간 보안관리와 거버넌스를 연구했다. ISO/IEC 27014(정보보호 거버넌스) 국제표준 에디터 및 사이버보안(SC 27), 블록체인(TC 307) 국제표준 전문가로 활동했다.
[조재호 기자(zephyr@boannews.com)]
생성형 AI 활용 따른 ‘그림자 AI’ 위협과 인간 중심 대응 전략
MZ세대 사로잡는 보안 경험(UX) 설계, CORE-TRUST 모델 기반 문화 진단
[보안뉴스 조재호 기자] “보안이 디지털 세상을 지탱하는 신뢰의 기반임을 인식할 때 학계와 현장을 잇는 진정한 생태계가 만들어질 것입니다.”
김정덕 중앙대 산업보안학과 명예교수는 보안을 단순한 감시의 영역이 아닌 ‘경험’의 관점에서 재설계하고 임직원들 스스로 보안의 주체가 되도록 유도하는 것이 2026년 기업 생존의 핵심 전략임을 거듭 강조했다. 보안은 더 이상 IT 부서의 지엽적 이슈가 아니라 이사회가 직접 챙겨야 할 전략적 거버넌스 영역이라는 것이다.
▲ 김정덕 중앙대 산업보안학과 명예교수 [출처: 보안뉴스]
AI가 코드를 작성하고 취약점을 찾아내며 사람 개입 없이도 지능화된 사이버 공격을 감행하는 초연결 시대, 기업마다 더 강력한 AI 기술을 찾고 있다. 하지만 이 거대한 기술적 파고 속에서 보안의 성패를 가르는 요소는 다시 ‘사람’과 ‘신뢰’로 회귀한다.
특히 규제와 통제에 대해 거부감이 큰 ‘디지털 네이티브’ 세대가 기업 주축으로 떠오르면서, 과거의 고압적 보안 방식은 현장에서 한계를 드러내고 있다. 임직원들이 업무 효율을 위해 몰래 AI 도구를 활용하는 ‘그림자 AI’가 보안팀이 통제할 수 없는 거대한 안보 공백을 만들고 있다.
Q. 최근 코드를 만들고 취약점을 찾는 AI가 등장하고 고도화되고 있다. 그럼에도 ‘인간중심보안’이 더 중요해졌다고 강조하는 이유는
기술이 고도화될수록 인간의 ‘판단’과 ‘책임’의 가치는 더 높아지기 때문이다. AI는 훌륭한 도구지만, 어떤 의도로 사용할지 결정하고 결과에 책임지는 것은 결국 인간이다. 또 AI가 만들어낸 가짜 정보나 피싱을 걸러내는 마지막 필터 역시 기술이 아닌 인간의 비판적 사고와 보안 의식에 달렸다.
Q. 최근 회사에서 몰래 AI 도구를 활용하는 ‘그림자 AI’ 문제가 심각하다. 무조건 차단이 정답인가
차단은 또 다른 우회로를 만들 뿐이다. 공격자들에게 새로운 기회를, 직원들에게 불편과 불만을 줄 뿐이다. 무조건 금지하는 것보다 올바르고 쉬운 대안을 제공할 수 있어야 한다. 기업 내부에 안전한 AI 샌드박스를 구축하거나 어떤 데이터를 입력해도 되는지 명확한 가이드를 제공하는 ‘경험적 보안’이 필요하다. 통제할 수 없는 영역을 인정하고, 그 안에서 사용자가 안전하게 도구를 활용하도록 돕는 것이 진정한 보안의 실력이다.
Q. 세대 차이, 이른바 ‘디지털 네이티브’ 임직원들과 소통하는 것이 보안팀의 숙제가 됐다. 이들을 위한 보안 경험은 어떻게 설계해야 하는지
일방적 교육보다는 보안이 본인의 업무 효율을 어떻게 높여주는지 시각적으로 보여줄 수 있어야 한다. ‘왜 해야 하는가’에 대한 설득과 납득이 없으면 움직이지 않기 때문이다. 강압적인 보안 앱 설치보다는 수칙 준수가 본인의 성과나 평가에 어떤 긍정적 영향을 미치는지 명확히 인지시켜야 한다. 여기서 핵심은 감시받는 느낌이 아니라, 스스로 프로페셔널한 보안 주체라는 자부심을 느낄 수 있는 설계에 있다.
Q. 막연하게만 느껴지는 ‘보안 문화’를 관리하기 위해 ‘CORE-TRUST 모델’을 제시했다.
CORE-TRUST는 문화 기반의 역량 강화와 신뢰에 의한 회복력(Culture-Oriented Resilience through Empowerment and Transparency, Reponsibility, Unity, Shared-goal and Together)을 말한다.
측정할 수 없으면 관리할 수 없다. ‘CORE-TRUST 모델’은 조직의 보안 수준을 인식, 행위, 의사결정 등 다각도에서 진단하는 도구다. 이 모델의 핵심은 사람을 통제의 대상인 ‘가장 약한 고리’가 아닌, 위협을 가장 먼저 감지하는 ‘핵심 센서’로 재정의하는 데 있다.
진단 지표는 △자율적 역량 강화(Empowerment) △실수 원인을 공유하는 투명성(Transparency) △역할 기반의 책임감(Responsibility) △일상 업무와의 통합성(Unity) △비즈니스 성공을 위한 공동 목표(Shared-Goal) △부서 간 협업(Together) 등 6가지 요소로 구성된다. 단순 설문조사가 아니라 보안 사고 시 임직원의 반응과 경영진의 예산 집행 의지 등을 수치화해 조직의 보안 성숙도를 파악한다.
감시와 통제라는 기존의 틀을 벗어나 구성원 간의 신뢰를 바탕으로 자발적인 보안 참여를 끌어내어 사이버 복원력을 완성하는 것이 이 모델의 지향점이다.
Q. 인간중심보안이 작동하려면 실무진의 노력만으로는 부족해 보인다. 이사회와 경영진에게 요구되는 리더십은
보안을 IT 팀의 ‘비용’이 아니라 경영 전반의 ‘핵심 리스크’로 격상시켜야 한다. 이사회가 직접 보안 전략을 보고받고, 보안 문화 조성을 위한 예산을 배정해야 한다. 기술적 방어는 솔루션을 구매해 채울 수 있지만, 사람의 마음을 움직이는 기업의 거버넌스는 오직 최고경영진의 강력한 의지로만 형성된다.
Q. 정년퇴임 후에도 ‘인간중심보안포럼’ 의장으로서 시니어 보안 전문가들과 함께 활동하고 있다. 향후 계획은
30년 이상 현장을 누빈 시니어들의 노하우는 국가적 자산이다. 저희는 퇴직 후에도 이 재능을 썩히지 않고, 예산이 부족한 중소기업이나 공공기관을 위해 ‘4단계 보안 문화 컨설팅’을 제공할 계획이다. 시니어들이 멘토가 되어 후배 보안 담당자들을 이끌고, 현장의 꼬인 실타래를 풀어주는 ‘지식의 선순환’을 만들고 싶다. 이것이 제가 꿈꾸는 보안 생태계의 완성형이다.
Q. AI 시대에 진정한 보안 전문가를 꿈꾸는 후배 실무자들에게 꼭 전하고 싶은 말이 있다면
코딩 실력보다 중요한 것은 사람에 대한 이해와 공감 능력이다. 보안은 결국 사람을 위한 기술이며, 기계가 대신할 수 없는 영역이 ‘가치 판단’과 ‘소통’이다. 기술의 끝에는 언제나 사람이 있다는 사실을 명심하고, 법과 기술, 인간 심리를 아우르는 ‘융합형 리더’로 성장하시길 바란다. 보안이 우리 사회의 신뢰를 지탱하는 가장 숭고한 전문직임을 자부했으면 한다.
김정덕 교수는 중앙대학교 산업보안학과 명예교수이자 인간중심보안포럼 의장이다. 텍사스A&M대학교에서 박사 학위를 받았다. 한국전산원(현 NIA)을 거쳐 중앙대에서 30여년 간 보안관리와 거버넌스를 연구했다. ISO/IEC 27014(정보보호 거버넌스) 국제표준 에디터 및 사이버보안(SC 27), 블록체인(TC 307) 국제표준 전문가로 활동했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
