since 1992

대한민국 최고 금융경제지

닫기
한국금융신문 facebook 한국금융신문 naverblog 한국금융신문 instagram 한국금융신문 youtube 한국금융신문 newsletter 한국금융신문 threads

[인터뷰] 이재용 KB국민은행 CISO "AI 혁신의 전제는 신뢰 인프라" [2026 은행권 보안 전략 ②]

기사입력 : 2026-07-06 14:00

(최종수정 2026-07-07 18:05)

  • kakao share
  • facebook share
  • telegram share
  • twitter share
  • clipboard copy

생성형 AI·공급망 침투 대응 통합 보안 루프 고도화
제로트러스트·RMF·RED·BLUE팀 훈련으로 경영 리스크 관리

이재용 KB국민은행 정보보호최고책임자(CISO) / 사진=국민은행이미지 확대보기
이재용 KB국민은행 정보보호최고책임자(CISO) / 사진=국민은행
[한국금융신문 지다혜 기자] 생성형 인공지능(AI) 확산과 망분리 규제 완화 논의가 맞물리면서 금융권 정보보호 전략이 전환점을 맞고 있다. AI 기반 공격이 고도화되는 데다 클라우드·서비스형 소프트웨어(SaaS)·외부 AI 모델 활용까지 확대되면서, 보안의 역할도 침해사고 예방과 규제 대응을 넘어 AI 전환·내부통제·경영 리스크 관리 영역으로 넓어졌다.

이재용닫기이재용기사 모아보기 KB국민은행 정보보호최고책임자(CISO)는 한국금융신문과의 서면 인터뷰에서 "AI 시대 금융보안에서 가장 강조하고 싶은 메시지는 보안은 AI 시대의 신뢰 인프라라는 점"이라며 "AI가 금융 서비스의 핵심 엔진이 되는 시대에 그 AI가 안전하게 작동하고 있다는 신뢰를 고객과 시장에 제공하는 것이 CISO의 가장 중요한 역할"이라고 밝혔다.

이 상무는 국민은행 정보보호부 부장을 거쳐 현재 국민은행 정보보호본부 상무를 맡고 있다. 금융보안원 비상임이사, 한국정보보호최고책임자(CISO)협의회 부회장, 한국개인정보보호책임자(KCPO)협의회 부회장으로도 활동 중이다.

AI 공격, 통합 보안 루프로 대응

KB국민은행은 2025년 이후 금융권 위협 환경이 질적으로 달라졌다고 보고 있다. 생성형 AI가 단순 업무 보조 수단을 넘어 공격 시나리오와 도구까지 자동 생성하는 단계로 발전하면서 기존 대응 방식만으로는 공격 속도와 범위를 따라가기 어려워졌다는 판단이다. 이 상무는 국민은행이 집중 모니터링하는 위협으로 생성형 AI 기반 공격, 공급망 침투를 통한 내부망 접근 시도, AI 기반 스피어피싱과 딥페이크 사기를 꼽았다.

특히 미토스(Mythos) 등 생성형 AI를 활용한 고도화된 공격은 단순 취약점 탐지를 넘어 공격 도구(Exploit)까지 자동 생성할 수 있다는 점에서 기존 대응 체계의 한계를 키우고 있다. 이에 국민은행은 취약점 탐지, 공격 시뮬레이션, 탐지·대응, 정책 개선으로 이어지는 '통합 보안 루프'를 고도화하고 있다.

구체적으로 외부에 노출된 시스템과 취약점을 점검하는 공격표면관리(ASM)와 공개출처정보(OSINT), 침해·공격 시뮬레이션(BAS), 단말 탐지·대응(EDR), 네트워크 탐지·대응(NDR)을 연결하는 구조다.

AI 위협에는 AI로 맞선다는 방향도 세웠다. 국민은행은 AI 기반 웹 취약점 자동점검 솔루션 등 다양한 AI 활용 보안 솔루션 도입을 추진 중이다. 이 상무는 "공격의 속도와 범위가 기존 대응 방식으로는 한계에 봉착하고 있다"며 "AI 보안 위협에 AI로 대응하기 위한 다양한 AI 활용 보안 솔루션 도입을 진행하고 있다"고 설명했다.

대응 체계의 중심에는 올해 1월 신설된 KB금융그룹 사이버 보안센터와 내부 화이트해커 조직인 KB사이버쉴드가 있다. 국민은행은 RED팀과 BLUE팀을 기반으로 실제 공격 관점의 점검과 방어 역량 검증을 병행한다. 여기에 확장 탐지·대응(XDR)과 보안 오케스트레이션·자동화(SOAR) 기반 통합 대응 체계를 더하고, 금융보안원 FS-ISAC와 연계한 위협 인텔리전스를 실시간으로 공유·적용하고 있다.

[인터뷰] 이재용 KB국민은행 CISO "AI 혁신의 전제는 신뢰 인프라" [2026 은행권 보안 전략 ②]이미지 확대보기


제로트러스트·RMF로 리스크 관리

국민은행은 제로트러스트와 위험관리체계(RMF)를 보안 아키텍처의 두 축으로 삼고 있다. 망분리 완화 흐름 속에서 외부망에서 내부 자원에 접근하는 경우가 늘고, 외부 AI·클라우드 서비스 연동이 확대되는 만큼 기존의 경계형 보안만으로는 충분하지 않다는 판단에서다. 이에 따라 접속 위치가 아니라 신원, 기기, 행위 기반으로 신뢰를 동적으로 검증하는 제로트러스트 네트워크 접근(ZTNA) 체계를 적용했다.

현재 제로트러스트가 중점 적용되는 영역은 AI·클라우드 서비스 접근 통제다. 외부 AI SaaS와 연동할 때는 클라우드 접근 보안 중개(CASB)를 통해 데이터 흐름을 가시화하고, 최소 권한 원칙에 기반한 마이크로세그멘테이션을 적용한다.

이를 통해 허가되지 않은 접근에 대한 통제를 강화하는 동시에 내부 침입이 발생하더라도 피해가 핵심망 전체로 확산하지 않도록 제한하는 기반을 마련했다. 국민은행은 이를 레거시 환경과 그룹 계열사에도 확대 적용하기 위한 로드맵을 수립해 실행하고 있다.

RMF는 기술적 보안 활동을 경영 리스크 관리 체계로 연결하는 장치다. 국민은행은 위협 시나리오 기반으로 각종 보안 데이터를 자동·실시간 연동하고, 이를 대규모언어모델(LLM) 기반으로 분석해 전략적 대응이 가능한 위험관리 체계를 구축한다는 목표다. 전사 보안 현황을 통합 관리하는 KB 위험관리 플랫폼 구축도 추진하고 있다.

이 상무는 이를 두고 "기존의 방어적인 보안에서 능동적이고 지능적으로 위협에 선제적으로 대응하는 위험관리 체계를 목표로 하고 있다"고 말했다.

조직 체계 개편도 같은 맥락이다. 이 상무는 정보보호를 단순 통제 기능에서 경영전략 기능으로 격상시킨 구조적 전환이라고 설명했다. 국민은행은 사이버 리스크를 경영 리스크로 정량화해 이사회와 경영진에 보고한다. 주요 관리 항목은 사이버 리스크 노출 금액, 중요 취약점 잔존 현황과 해소율, 보안 사고 동향, 탐지·대응 평균 소요 시간, 규제 컴플라이언스 이행 현황, AI·신기술 보안 심의 결과 등이다.

[인터뷰] 이재용 KB국민은행 CISO "AI 혁신의 전제는 신뢰 인프라" [2026 은행권 보안 전략 ②]이미지 확대보기


공급망, AI 시대 새 경계선

AI 활용 확대는 공급망 보안의 중요성도 키우고 있다. 외부 AI 도구와 SaaS, 오픈소스 라이브러리 활용이 늘면서 협력업체나 외부 소프트웨어를 경유한 침투 가능성이 커졌기 때문이다. 실제 금융보안원 공동 모니터링에서도 공급망 취약점을 악용한 침투 시도가 다수 탐지된 것으로 파악됐다.

이 상무는 "공급망 보안은 AI 시대의 새로운 경계선"이라며 국민은행이 이를 소프트웨어 공급망과 AI 모델 공급망으로 나눠 관리하고 있다고 설명했다. 소프트웨어 공급망 측면에서는 소프트웨어 구성요소 명세서(SBoM) 체계를 도입했다. 내부 시스템에 포함된 오픈소스 컴포넌트를 목록화하고, 이를 공개 취약점 식별정보(CVE)와 자동 매핑하는 파이프라인을 구축한 것이다.

개발·보안·운영을 결합한 데브섹옵스(DevSecOps) 체계 안에서는 코드 빌드 단계부터 취약 라이브러리를 자동 차단할 수 있도록 정적 애플리케이션 보안 테스트(SAST)와 소프트웨어 구성 분석(SCA) 도구를 지속적 통합·배포(CI/CD) 파이프라인에 통합해 운영하고 있다.

AI 모델 공급망 관리도 강화하고 있다. 외부 AI 모델이나 API를 도입할 때는 AI 보안 심의 프로세스를 거치도록 했다. 심의 항목에는 모델 출처의 신뢰성, 학습 데이터 오염 가능성, AI에 악성 명령을 주입하는 프롬프트 인젝션 취약성, 개인정보 처리 방식 등이 포함된다. 외부 AI 서비스로 전송되는 데이터에는 데이터 유출 방지(DLP) 정책을 적용해 고객 개인정보나 내부 민감 정보가 외부 AI 모델 학습에 활용되는 것을 차단한다.

하드웨어 공급망 위협에도 대응 범위를 넓혔다. 국민은행은 IT 장비 도입 시 납품업체로부터 스파이칩 등에 대한 자체 점검과 검수 절차를 추가하고, 전산센터 전체 영역에 무선 백도어 해킹 탐지 솔루션을 설치해 운영하고 있다. 공급망 공격이 소프트웨어뿐 아니라 장비, 계정, 외부 연결망 등으로 확장될 수 있다는 점을 감안한 조치다.

RED·BLUE팀 훈련으로 실전 검증

국민은행의 RED·BLUE팀 훈련은 단순한 침투 테스트가 아니라 실제 위협 시나리오 기반의 전략적 사이버 훈련으로 운영된다. RED팀은 공격자 관점에서 취약 경로를 찾고, BLUE팀은 탐지와 대응 체계가 실제로 작동하는지 검증한다. 국민은행은 이 과정에서 AI 활용 공격, 망분리 완화 환경의 측면 이동, 공급망 침투, 금융 핵심 인프라 가용성 공격을 중점적으로 점검한다.

AI 활용 공격 훈련에서는 RED팀이 생성형 AI로 정교한 스피어피싱 메일을 제작하거나 딥페이크 음성으로 내부 직원을 유도하는 시나리오를 실행한다. BLUE팀은 이를 얼마나 빠르게 탐지하고 대응하는지 평균 탐지 시간(MTTD)과 평균 대응 시간(MTTR) 기준으로 측정한다. 클라우드·SaaS 연계 구간이 늘어난 환경에서는 외부망에서 내부 핵심망으로 이동할 수 있는 경로를 점검하고, 협력업체 계정 탈취에서 내부 시스템 접근, 핵심 자산 접근으로 이어지는 지능형 지속 위협(APT) 방식의 공급망 침투 시나리오도 검증한다.

랜섬웨어와 분산서비스거부(DDoS) 공격을 통한 코어뱅킹 시스템 가용성 침해 시나리오도 훈련 대상이다. 국민은행은 업무연속성계획(BCP)과 연동한 복구 훈련을 병행해 금융 서비스 중단 가능성에 대비한다. 훈련 결과는 단순 보고서로 끝나지 않고 RMF 사이클에 반영된다. 발견된 취약점은 통제 보완으로 이어지고 다시 통합 보안 루프 안에서 점검된다.

이 상무는 AI 시대 보안의 역할을 혁신의 제동 장치가 아니라 지속 가능한 성장의 기반으로 규정했다. 그는 "보안은 AI 혁신의 브레이크가 아니라 가속 페달"이라며 "보안이 취약하면 AI 서비스는 규제 리스크와 고객 불신으로 인해 지속 불가능하지만, 강건한 보안 체계는 AI 서비스를 더 빠르고 안심하고 출시할 수 있는 기반이 된다"고 강조했다.

이어 "AI가 가져오는 기회와 위협은 동전의 양면"이라며 "위협을 통제하면서 기회를 극대화하는 것이 국민은행 정보보호의 전략 방향"이라고 말했다.

지다혜 한국금융신문 기자 dahyeji@fntimes.com

데일리 금융경제뉴스 Copyright ⓒ 한국금융신문 & FNTIMES.com

저작권법에 의거 상업적 목적의 무단 전재, 복사, 배포 금지

가장 핫한 경제 소식! 한국금융신문의 ‘추천뉴스’를 받아보세요~

issue
issue

금융 BEST CLICK