세 번째 보안 리더, KB국민은행 이재용 CISO…① 2024년 KB국민은행 주요 보안 사업

인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] 지난달 금융위원회는 ‘금융보안 선진화’ 단계별 추진방안을 발표하며, 전자금융감독규정 개정을 신속히 진행하겠다고 밝혔다. 빠르게 변화하는 디지털전환과 사이버위협에 대응하기 위해서다. 이에 발맞춰 KB국민은행은 ‘보안 리스크 기반의 위협관리 및 대응체계 강화’를 올해 전략과제로 선정했다.

KB국민은행 이재용 정보보호본부장(상무)은 <디지털데일리>와의 보안리더스 인터뷰를 통해 “금융당국이 금융보안규제 선진화를 위해 기존 규제를 원칙중심으로 개편을 추진하고 있어, KB국민은행도 기존 정보보호체계를 자율보안체계로 신속하게 전환하는 것이 중요해졌다”고 말했다.

이와 관련 이재용 본부장은 제로트러스트 로드맵을 수립해 지난해부터 내부 검증에 착수했으며, 인공지능(AI) 기술을 적극 활용해 보안 리스크에 선제적으로 대응하고 있다.

이 본부장은 “금융사 자체적으로 보안대책을 수립해야 하는 만큼, 올해는 실제 보안리스크를 빨리 식별하고 부족한 점을 신속히 판별하고 대처하는 역량을 키울 수 있도록 중점과제와 계획을 세웠다”고 강조했다.

◆제로트러스트 2단계, 올해 10월 착수…클라우드 환경에서 검증 중

KB국민은행은 제로트러스트를 검증하는 사업을 전개하고 있다. 제로트러스트는 ‘아무 것도 믿지 말라’는 인식을 전제로 하는 보안 방법론이다.

이 본부장은 “클라우드 기반 금융서비스 확대와 망분리 규제완화 등으로 인한 개방형 금융환경의 보안위협에 선제적으로 대응하고자 한다”며 “기존의 폐쇄적인 보안정책으로는 대처하기 어려운 체계로 전환되고 있는 만큼, 제로트러스트를 많이 검토하고 있다”고 설명했다.

KB국민은행 제로트러스트 성숙도 모델은 미국 국토안보부 소속 사이버안보‧인프라보호청(이하 CISA) 성숙도 모델을 기반으로 KB국민은행 보안 아키텍처에 맞게 영역 추가 및 단계별 항목을 조정해 수립했다. 각 단계별로 ▲사용자‧ID ▲디바이스 ▲네트워크 ▲애플리케이션 ▲데이터 ▲가시성‧애널리틱스 ▲자동화‧조정 영역을 고려한다.

KB국민은행 제로트러스트 추진 로드맵은 ▲1단계 기반 구축 및 가시성 확보(2023년 8월~) ▲2단계 정책 세분화 및 고도화(2024년 10월~) ▲3단계 계열사 확산 및 정책 최적화(2025년 8월~)로 계획돼 있다.

구체적으로 1단계에서는 권한식별‧관리체계, 자원 등급별 접근정책, 표준데이터 암호화체계 등을 수립한다. 2단계에서는 전체 내부 트래픽과 원격환경 데이터를 암호화하고, 영역별로 권한 정책을 세분화한다. 사용자 행위 형태를 분석·머신러닝하고, 자산표면공격관리(CAASM) 체계 등을 수립한다. 3단계에서는 패스워드리스 체계를 적용하고, 전체 트래픽과 데이터를 암호화한다. 컨텍스트 기반 롤 권한을 자동화하고 AI 기반 위협행위를 탐지한다.

현재 KB국민은행은 1단계 진행 중으로, 제로트러스트 기반 기능을 클라우드 환경에 적용해 검증하고 있다. 지난해부터 단계적으로 기존의 경계형 보안아키텍처 개념에서 벗어난 제로트러스트 아키텍처를 기반으로 하는 사람 중심(Human-Centric) 보안 대응체계로, 정보보호 패러다임을 전환하는 작업에 돌입했다는 설명이다.

이 본부장은 “제로트러스트는 하나의 솔루션이 아니라 각 영역별 기능을 구현해야 한다. 기존 솔루션을 고도화하기도 하고, 새 기술을 도입해 기존 아키텍처와 다른 개념의 접근 통제 방식을 만드는 등 복합적으로 이뤄지고 있다”며 “이를 통해 보안통제 유연성과 사용자 편의성이 높아질 것”이라고 기대했다.

이어 “올해는 외부에서 내부 시스템 접근 때 실제 인증을 받은 자만 볼 수 있도록 하는 소프트웨어정의경계(SDP)를 중점 사업으로 진행하고 있다”고 덧붙였다.

KB국민은행은 올해 일부 사업을 클라우드 환경으로 전환할 계획이다. 더군다나, 안전한 AI 사용 환경을 만들려면 이같은 제로트러스트 전략을 클라우드에서 실증하는 단계가 필요하다고 봤다.

이 본부장은 “AI를 안전하게 쓸 수 있는 방법을 고민하고 있다”며 “현재는 망분리 규제 때문에 외부 서비스형소프트웨어(SaaS) 사용에 고민이 있지만, 규제 개선 때까지 마냥 기다릴 수 없고 이후에 준비하는 건 늦다”고 했다. 또 “퍼블릭 클라우드 쪽부터 봐야 한다. 미리 준비하면서 외부 접점이 많은 적합한 영역부터 검증해보고, 이후 내부 시스템으로 확대하는 전략”이라며 “안전한 AI 사용 환경을 위한 방안을 찾으면서, 금융당국과 협의하며 진행하고 있다”고 전했다.

최근 금융권에서 생성형AI 도입이 가속화되는 가운데, KB국민은행도 챗GPT 기반 생성형AI를 활용한 서비스들을 내놓고 있으며 내부 임직원 활용 방안도 고안하고 있다. 다만, 정보유출 리스크가 커질 수 있는 만큼 AI 기반 개인정보 처리 업무 및 비정형 데이터 활용 범위에 대해 상시적으로 법규준수 여부 점검과 생성형AI 사용 때 프롬프트 분석을 통한 금융정보 및 내부 민감정보 유출 모니터링 체계를 만들었다.

이 본부장은 “생성형AI 사용 때 유의사항을 사례 중심으로 임직원 교육을 실시했으며, 현재는 프롬프트에 입력하지 말아야 할 데이터나 정보를 탐지하고 있다. 하반기 고도화되면 차단 기능도 도입될 것”이라며 “AI 활용에 확대되면서 관련 리스크를 효과적으로 통제하기 위한 제도가 필요하기에 전사 차원으로 거버넌스, 프로세스, 규제준수 관점에서 적합한 정보보호 체계 수립을 추진 중”이라고 언급했다.

◆정교해지는 공격, AI로 적극 방어…보안리스크에 선제적으로 대응

이와 함께 이 본부장은 “전 산업으로 AI 기술 활용이 확대되면서, 해커나 악의적인 공격자 또한 이를 활용할 수 있는 기회가 많아졌다. 해커가 AI를 활용해 교묘하게 공격한다면, 우리도 AI 기술을 적용해 방어해야 한다”며 “보안 영역에서도 AI를 통해 더 빠르고 정확한 분석이 가능해지고 이를 통해 더 정확한 예측과 빠른 대응이 가능하게 됐다”고 진단했다.

이 본부장은 보안업무에 AI 기술을 적극 도입해 활용하는 전략을 강구하고 있다. 현재 KB국민은행은 사이버공격 자동화 대응 플랫폼을 구축‧운영하고 있다. 보안 이벤트 로그 검증을 AI를 활용해 자동화하면, 이벤트 처리시간을 단축하고 보안업무 효율성을 높일 수 있다. 이에 KB국민은행은 빅데이터 및 AI 기술을 이용해 보안로그 통합분석체계를 고도화하고, 외부노출 자산에 대한 자동화된 정보수집 및 취약점 분석체계를 구축할 계획이다. 올해 상반기 도입을 목표로 한다.

또한, 공급망 보안을 강화하기 위한 방법으로 AI를 활용할 방침이다. 최근 보안수준이 낮은 소프트웨어(SW) 업체를 공격하고, 해당 SW를 공급받는 금융권 해킹을 시도하는 공급망 위협이 증가했다. KB국민은행은 외부 업체를 통해 유입될 수 있는 전자적 파일의 보안취약점을 대응하고자 취약성 판별 AI기술을 도입할 예정이다. 지난해 구축 준비를 완료했고, 올해는 고도화하는 단계다.

이 본부장은 “보안인력 규모가 작은 공급업체를 공격 후, 금융사에 배포된 솔루션 또는 모듈에 악성코드를 심어 금융사 시스템으로 들어올 수 있다. 외부 유입 파일 등에 악성코드가 포함됐는지, AI 기법으로 자동 판단하는 시스템을 도입하려고 한다”며 “외부 반입 파일을 점검하려면, 파일에 유입되는 경로를 일원화해야 업무에 불편함이 없다. 이를 통합해 누수 없이 점검할 수 있는 체계로 바꾼다고 보면 된다”고 부연했다.

아울러, KB국민은행은 AI·딥페이크 등 기술을 활용한 사기 수법이 지속적으로 정교해지고 있어 AI기반 신분증 위변조 판별 고객 신원확인 프로세스를 적용했다. 현재 주민등록증과 운전면허증에 해당되는데, 이를 외국인등록증과 여권으로 확대할 계획이다.

이 본부장은 “신분증을 탈취해 고객인 것처럼 가장하는 경우, 신분증 자체가 실물인지 탈취한 이미지를 판단해야 한다”며 “지난해 관련 솔루션을 적용했고, 외국인 전자금융거래 허용에 대비해 외국인등록증 등으로 확대하려고 준비 중”이라고 말했다.

한편, 올해 KB국민은행은 신종 문서형 악성코드 탐지 및 대응을 위한 검증체계도 강화한다. 실제, 북한발 공격 등을 보면 문서에 악성코드를 숨겨서 들어오는 경우가 많다는 것이다. 사이버공방 모의 훈련 ‘KB실드(Shield)’도 지속 가동 중이다. 이 외에도 이 본부장은 올해 전자금융사고 제로(Zero)화를 목표로 신기술을 개발하고 있다. 내부 화이트해커와 보안담당자가 협업해 유심 복제 및 스마트폰 터치 압력 감지 기술 등 특허출원을 포함한 자체탐지기술을 적용하고 있다.

<다음 기사에서 계속>

◆KB국민은행 이재용 정보보호본부장 주요 약력

▲2023년 4월~ 현재: 금융보안원 비상임이사, 정보보호 상시평가협의회 위원(금융보안원)

▲2023년 3월~ 현재: 금융보안포럼 부회장(금융보안원)

▲2022년 8월~ 현재: KB국민은행 정보보호본부장, 한국정보보호최고책임자협의회 부회장

▲2020년 1월~ 2022년 8월: KB국민은행 정보보안부장

▲2016년 4월~ 2022년 8월: 국가인적자원개발컨소시엄 운영위원(금융보안원)

▲2014년 1월~ 2020년 1월: KB국민은행 정보보호부 팀장

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지