단절된 통제 탈피해 현업 부서와 소통해 인센티브 기반 자율보안 뼈대 수립
[보안뉴스 조재호 기자] “생산성 향상을 위한 임직원들의 미인가 AI 사용 이른바 ‘섀도우 AI’는 보안 가시성을 붕괴시키는 치명적 위협입니다. 강압적인 차단 정책은 한계에 직면했으며, 보이지 않는 위험을 자동화된 검증으로 통제하는 역발상이 필요합니다.”

[출처: gettyimagesbank]
강종수 쏘카 정보보안그룹장(CISO)은 ‘두려움에서 경쟁력으로: AI 활용 문화의 전환’을 주제로 한 발표에서 기업이 직면한 사이버 위협 현황과 이를 타개할 차세대 자율보안 전략을 공유했다.
강 CISO는 1년 주기로 급변하는 AI 트렌드 속에서 사이버 공격 패러다임이 해커 대 보안 시스템을 넘어 AI 대 AI 구도로 완전히 전환됐다고 짚었다. 이 과정에서 비전문가가 코드를 생성하는 ‘바이브 코딩’이 보편화되며 버퍼 오버플로 등 심각한 소스코드 취약점과 오픈소스 공급망 리스크가 폭증하고 있음을 경계했다.
가장 큰 맹점은 섀도우 AI 확산이다. 임직원들이 업무 편의를 위해 비인가 생성형 AI 서비스를 무분별하게 사용하면서 기업 통제망을 벗어난 데이터 유출이 일상화됐다.
강 CISO는 “법무 데이터 82.8%, 소스코드 50.8%가 개인 AI 계정으로 유출되는 것이 현재 기업 생태계 현실”이라며 “생산성 향상 욕구가 보안 가시성을 압도하고 있다”고 진단했다.
이에 쏘카 정보보안그룹은 섀도우 AI를 음지에서 양지로 끌어올리기 위해 무조건적인 차단 대신 사내 자율보안 문화 정착이라는 역발상을 택했다. 전 구성원이 AI를 활용해 실질적 비즈니스 임팩트를 창출하도록 유도하는 ‘쏘카 AI 메이커 프로그램’을 신설해 시간 및 비용 절감 수치를 점수화하는 인센티브 체계를 구축했다.
개인정보 취급에 대한 경각심을 높이고자 사내 ‘천하제일 프라이버시대회’도 개최했다. 직원들이 자발적으로 행태 정보 수집 도구의 잔존 데이터를 제보하도록 유도하며 자율보안 거버넌스 뼈대를 세웠다.
강 CISO는 “단순한 사용 통제가 아니라 임직원 스스로 안전하게 가치를 창출하도록 돕는 것이 섀도우 AI를 양지로 끌어내는 핵심”이라고 설명했다.
문화적 양성화와 함께 이를 실질적으로 뒷받침하는 기술적 검증 자동화도 병행됐다. 바이브 코딩으로 생성된 소스코드 취약점을 탐지하기 위해 시스템이 정적 분석(SAST), 소프트웨어 구성 요소(SCA) 점검, 하드코딩된 민감정보 식별 로직을 지속적 통합·배포(CI/CD) 환경에서 자동 수행한다. 발견된 위협은 실제 해커 관점에서 스코어링해 중요도에 따라 우선 조치하게 함으로써 개발 속도를 유지하면서 릴리스 안전성을 담보했다.
강 CISO는 “보안 조직은 인력과 예산의 제약 속에서도 비즈니스 성장을 위한 안전한 가드레일을 세워야 한다”며 “수동 확인에 의존하던 걱정을 자동화된 기술 검증으로 전환하는 것이 AI 시대 보안 거버넌스의 본질”이라고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














