시스템 방어 넘어 의사결정 환경 보호해야
[보안뉴스 조재호 기자] “통제되지 않는 외부 범용 인공지능 도구의 무분별한 사용, 이른바 ‘섀도우 AI’는 현재 금융권의 가장 치명적 정보 유출구입니다. 보이지 않는 위험은 결코 방어할 수 없고, 측정되지 않는 자산은 관리할 수 없다는 보안의 대원칙을 직시해야 합니다.”

▲이광원 iM뱅크 CISO가 발표를 진행하고 있다. [출처: 보안뉴스]
7일 이광원 iM뱅크 CISO는 ‘CISO 코리아 2026’에서 ‘AI 시대, 보안 패러다임 전환: 조직 차원의 AI보안 리스크 관리와 감사 전략’을 주제로 발표하며 금융권이 직면한 사이버 위협 현황과 이를 타개할 차세대 자율보안 전략을 공유했다.
이날 강연은 디지털 가속화와 함께 급변하고 있는 은행권 보안 패러다임 진단에 집중됐다. 이 CISO는 금융 사고에 대한 제재 수준이 지속적으로 강화되는 가운데 망분리 규제 준수에만 의존하던 수동적 보안 체계는 한계에 직면했다고 진단했다.
그는 “고성능 AI를 악용한 진화된 보안 위협이 현실화되는 상황에서 가장 강력한 방어는 또 다른 AI”라며 “실질적인 24시간 방어 체계 구축이 필요하다”고 설명했다. 금융사가 스스로 보안을 강화하는 자율보안 역량 확보가 인공지능 시대 은행권 경쟁력의 핵심이라는 의미다.
이러한 패러다임 전환기 속에서 가장 치명적인 위협 요소로 임직원들의 무분별한 외부 AI 서비스 사용, 즉 ‘섀도우 AI(Shadow AI)’가 꼽힌다.
이 CISO는 외부 범용 플랫폼 및 챗봇 기반의 탈중앙화된 정보 유출을 경고했다. 상용 LLM과 API를 아우른 사내 모든 AI 자산의 전수조사와 접근 권한 통제가 은행권 보안의 최우선 선결 과제라는 지적이다.
그는 “이러한 관점에서 금융보안은 단순한 IT 시스템 방어를 넘어 인공지능의 의사결정 환경 전체를 보호하는 거시적 관점에서 접근해야 한다”고 말했다. 이를 뒷받침하기 위해 △학습 데이터의 적법성을 검증하는 ‘데이터 거버넌스’ △‘프롬프트 인젝션’(Prompt Injection) 등 악성 입력을 차단하는 ‘입출력 통제’ △모델 변조를 막는 ‘모델 무결성 점검’ △판단 경로를 추적하는 ‘설명 가능성 확보’ 등 4대 인공지능 보안 감사(Audit) 지표를 제시했다.
이 CISO는 “보안은 혁신의 브레이크가 아니라 가장 빠르고 안전하게 달릴 수 있게 하는 스마트한 내비게이션”이라며 “인공지능 기술의 혁신과 보안의 통제가 완벽한 동적 균형을 이룰 때 진정한 금융의 미래가 열릴 것”이라고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














