‘제2회 IAS 리더십 포럼’ 개최…“AI 성과는 보안과 신뢰 뒷받침돼야”

[아이티데일리] 본지(컴퓨터월드/IT DAILY)가 25일 여의도 켄싱턴호텔에서 ‘제2회 IAS 리더십 포럼’을 개최했다. IAS 리더십 포럼은 30년 이상의 금융권 IT 업무 경력을 가진 CIO(최고정보책임자), CDO(최고데이터책임자), CISO(정보보호최고책임자)와 기업 및 학계 전문가가 모여 지난 6월 출범한 모임이다.

IAS는 디지털 금융 시대의 핵심 분야인 IT(정보기술), AI(인공지능), Security(보안)의 융합을 의미한다. 그리고 동시에 금융 산업의 미래 경쟁력을 주도할 3대 디지털 축(Three Digital Pillar)을 상징하기도 한다.

“AI 성과 지속되려면 보안과 신뢰 뒷받침돼야”

IAS 리더십 포럼 의장인 고정현 한국평가데이터 사외이사는 환영사를 통해 “각계의 경험과 경륜이 모여 지혜를 나누고 발전을 도모하는 것이 IAS 포럼의 가장 큰 의미”라며 “AI와 디지털, 그리고 보안이라는 시대적 화두를 함께 논의하며 미래를 준비하는 뜻깊은 자리”라고 강조했다.

그러면서 고 의장은 “지금 전 세계는 AI의 눈부신 발전을 중심으로 새로운 질서를 만들어가고 있다. 생성형 AI는 산업과 금융, 교육을 넘어 우리의 일상까지 바꾸고 있으며, 글로벌 기업과 국가들은 AI를 중심으로 경쟁력을 다시 세우고 있다”고 화두를 던지며 “그러나 AI의 성과가 지속되려면 반드시 보안과 신뢰가 뒷받침돼야 한다. 보안은 완성품이 아니라 끊임없이 관리되고 강화돼야 하는 과정이며, 그 과정이 곧 신뢰의 토대다”라고 강조했다.

고 의장은 또한 “디지털 금융 혁신 역시 거스를 수 없는 흐름이다. 스테이블코인과 RWA(실물자산 토큰화)는 글로벌 자본시장의 새로운 질서를 만들며, 우리 금융산업에도 도전이자 기회가 되고 있다”고 짚으면서 “변화의 바람은 언제나 새로운 기회를 동반한다. IAS 리더십 포럼이 그 기회를 함께 발견하고 만들어가는 출발점이 되기를 기대한다”고 덧붙이며 환영사를 마무리했다.

“사이버 보안 사고는 기술적 실패가 아닌 ‘거버넌스’의 실패”

이어 금융감독원 부원장보와 금융보안원장을 지낸 김영기 김앤장 고문이 ‘금융 패권 시대, 경영자의 리더십’ 이라는 주제로 특별강연을 진행했다. 

먼저 김 고문은 최근 글로벌 금융의 흐름을 짚으며 강연을 시작했다. 김 고문에 따르면 기존 달러 패권 시대가 중국, 러시아, 인도, 브라질 등을 중심으로 다극화되는 한편, CBDC(중앙은행디지털화폐) 및 스테이블 코인도 등장한 상황이다. 또한 핀테크 기업은 물론 글로벌 빅테크 기업까지 금융에 진출해 영향력을 확대하고 있다. 뿐만 아니라 블록체인 및 가상화폐 시장이 확대되면서 달러화를 대체 및 보완하기까지 하고 있는 상황이다. 이처럼 금융 분야는 새로운 패권 경쟁이 이미 시작됐다.

이런 가운데 금융권을 겨냥한 사이버 공격은 지속적으로 기승을 부린다. 국가 배후의 해커 조직이 결제망과 중앙은행 시스템 등을 공격할 가능성은 매우 높다. 이미 방글라데시 중앙은행은 지난 2016년에 SWIFT 망 공격을 통한 계좌 해킹 사건을 겪었다. 피해액은 8,100만 달러(한화 약 1,100억 원)에 달했다.

CBDC와 디지털 화폐 역시 해킹이나 데이터 유출, 프라이버시 이슈에서 자유롭지 못하다. 비트코인이나 스테이블 코인 역시 자금세탁, 테러자금 조달, 제재 회피 등과 같은 범죄에 악용될 가능성을 품고 있다. 실제 북한을 배후에 둔 것으로 추정되는 라자루스 등과 같은 해킹그룹은 암호화폐 탈취로 핵 개발 자금을 지원하고 있는 것으로 파악된다. UN 북한제재위 패널보고서에 따르면 북한의 암호화폐 탈취 규모는 2023년 약 1조 원 규모에 달했으며, 2024년에는 1.7조 원, 그리고 2025년에는 연초에만 약 2조 원 규모를 넘긴 것으로 조사됐다.

김영기 고문은 이 같은 위협들에 대해 소개한 뒤 최근 이어진 국내 금융권 사이버 공격 사례와 시사점에 대해 공유했다. 사례로는 SGI서울보증과 롯데카드, 지제이텍 사고 등이 언급됐다.

김영기 고문은 “최근 계속 이어지는 사이버 보안 사고는 기술적 실패가 아닌 ‘거버넌스’의 실패라 할 수 있다. 방어가 불가능한 최첨단 공격 기술 탓이 아니라, 가장 기본적인 보안 수칙을 간과한 내부통제 실패의 성격이 크다는 뜻”이라고 말했다.

그러면서 VPN 장비 보안 설정 미비, 다중인증(MFA) 부재, 백업 및 복구체계 미약, 초기 탐지 및 대응 지연, 취약점 패치 미흡, 계열사 서버 및 시스템 분리 필요, 문서 암호화 및 보관 상태 철저, 보안 통제 미비, 제3자 리스크 관리 등 다양한 문제를 돌아봐야 한다고 지적했다.

김영기 고문은 “사이버 보안 리스크와 관련한 최고경영진의 역할과 책임은 현실화됐다”면서 “이제 보안 리스크 관리는 결코 IT 부서만의 기술적 과제가 아니다. 바로 CEO가 최종 책임자다”라고 말했다. 사이버 보안 리스크는 본질적으로 ‘관리’의 영역이자 한정된 자원을 배분하는 ‘경영 판단’의 문제라는 게 김영기 고문의 설명이다. 특히 초기 대응 및 후속 조치(follow-up)가 중요하다고 김 고문은 강조했다.

김 고문은 기업들이 사고가 언제나 발생할 수 있다는 것을 기정 사실화하고 △선제적 예방(Prevention) △신속 정확한 대응(Response) △비즈니스 연속성 유지를 위한 복원력(Resilience) 등 3가지 축이 유기적으로 연동되는 사이버 보안 리스크 관리 체계를 구축할 필요가 있다고 조언했다. 또한 정보보안 예산과 인력 투자에 결코 소홀해서는 안 된다고 강조했다. 경비 절감에 집중하면 사고 발생 시 막대한 사후 복구비용이 소모되기 때문이다.

김 고문은 또 “CEO에게는 회사의 규모와 사업 특성을 고려해 높은 법적 위험이 예상되는 업무에 관해 내부 통제 시스템을 구축하고, 그것이 제대로 작동하도록 감시할 의무가 있다”고 설명하고 “이제 경영자는 IT를 잘 알아야 하고, 스스로 IT를 활용할 줄 알아야 한다. 그러기 위해서는 CIO에게 많이 질문해야 한다. 배우는 방법 중 가장 효율적인 것이 질문하는 것이다. 또 경영자는 컴퓨팅적 사고를 할 줄 알아야 한다. 그러기 위해서는 복잡한 일을 분석해 작은 단위로 만들고, 이들을 논리적으로 재조합하는 훈련을 해야 한다”고 조언하며 강연을 마무리했다.