최대현 하나은행 정보보호최고책임자(CISO)는 한국금융신문과의 서면 인터뷰에서 "AX시대와 생성형 AI를 활용한 보안 위협이 확산하면서 공격기법은 더 고도화되고, 위협의 발생 속도 또한 과거와 비교할 수 없을 정도로 빠르게 변화하고 있다"고 말했다. 그는 "하나은행은 'AI 공격은 AI로 막는다'는 대응전략을 수립하고 사이버 보안체계를 재설계하고 있다"고 강조했다.
최 상무는 1996년 서울은행 사무정보부 입행 이후 IT운영, 전산운영, 시스템운영, IT보안, 정보보호 업무를 두루 거친 내부 정보보호 전문가다. 2019년 정보보호부 팀장(관리자 승진), 2022년 IT시스템부 부장, 2024년 정보보호부 부장 등을 거쳐 올해 1월 정보보호본부 상무에 선임됐다.
AI 악용 침투·공급망 우회 공격 대응
하나은행이 최근 주시하는 위협은 AI를 활용한 침투 시도와 공급망 경유 공격이다. 최 상무는 지난해 이후 주요 위협 유형으로 ▲생성형 AI로 정교화된 공격 시나리오를 통한 지능형 침투 ▲중소 관계사와 공급망을 경유한 우회 공격 ▲웹서버·애플리케이션 취약점 악용 ▲자동화 도구를 활용한 부정거래와 계좌 탈취 시도 등을 꼽았다.공격 양상도 단순 침입보다 복합적으로 바뀌고 있다. 외부 경계 방어체계를 우회한 뒤 내부에서 수평 이동을 시도하거나 권한 상승을 통해 핵심 자산에 접근하려는 방식이 대표적이다. 관계사와 협력사 등 상대적으로 보안 대응 여력이 부족한 접점을 경유해 본체계로 침투하거나 악성코드를 전파하려는 시도도 주요 위험 요인으로 분류된다.
하나은행은 이에 그룹 통합보안관제센터와 공격표면관리체계(ASM)를 통해 24시간 상시 모니터링을 수행하고 있다. 화이트해커 기반 정기 침투테스트로 잠재 취약점을 선제적으로 찾아 조치하고, 이상금융거래탐지시스템(FDS)을 통해 부정거래 시도도 탐지·차단하고 있다.
보이스피싱 대응도 AI 기반 협업 체계로 넓히고 있다. 하나은행은 정부 주관 AI 기반 보이스피싱 정보공유분석시스템(ASAP)에 공동 참여해 금융·통신·수사기관의 범죄정보를 AI로 분석하는 대응 체계를 갖췄다. AI 기반 그룹 공동 보이스피싱 FDS 구축도 추진해 고객 보호와 기술 내재화를 함께 강화한다는 구상이다.
그룹 관제·ASM으로 노출 자산 식별
하나금융그룹은 정보보호를 그룹 차원의 핵심 경영 리스크로 보고 전 관계사를 대상으로 통합보안관제센터와 ASM을 운영하고 있다. 그룹 관계사에 대한 실시간 모니터링뿐 아니라 중소 관계사에서 발생할 수 있는 침해 시도, 미처 인지하지 못한 비금융·비중요 노출 자산까지 관리 범위를 넓히는 방식이다.최 상무는 "고성능 AI 공개로 취약점은 더 많이, 더 짧은 시간 내 출현할 것"이라며 "'기본에 기본을 더하는' 자세로 외부 접점을 포함한 모니터링과 자산 식별에 집중하고 있다"고 설명했다. 하나은행은 해킹재연시스템(Breach & Attack Simulation)과 다양한 침투테스트를 활용해 취약 영역을 지속적으로 찾고 개선하고 있다.
망분리 규제 완화 흐름에 맞춘 보안 목적의 AI 활용도 추진 중이다. 하나은행은 금융감독당국이 추진 중인 '보안목적의 AI·SaaS 활용을 위한 테스트'에 서버해킹탐지, PC해킹탐지, AI 기반 IT보안점검체계 수립 등 3개 보안영역을 신청해 1차 테스트사로 선정됐다. 규제 변화에 맞춰 외부 기술 활용 가능성을 점검하되 보안 통제 체계를 함께 고도화하려는 취지다.
CEO 직보 아래 '선 대응, 후 보고' 체계
하나은행 보안 전략의 또 다른 핵심은 의사결정 구조다. 하나은행은 CISO의 최고경영자(CEO) 직보 체계를 운영하고 있다. 침해사고가 빠르게 확산하고 AI 기반 보안 위협이 현실화하는 상황에서 보안 부서 단독 판단보다 경영진과 즉시 연결되는 체계가 필요하다는 판단이다.최 상무는 CISO의 CEO 직보 체계에 대해 "정보보호 분야의 빠른 의사결정이 더 중요해지고 있어 꼭 필요하다"고 말했다. 하나은행은 정기·수시 보고는 물론 경영협의회와 이사회 보고를 통해 정보보호 동향과 현안을 공유하고 있다. 이를 통해 정보보호를 기술 부서의 개별 과제가 아니라 핵심 경영 과제로 인식하도록 하는 데 무게를 두고 있다.
긴급 상황 대응 방식도 달라졌다. 하나은행은 SNS를 통한 수시 소통과 실무진 역할·권한 강화를 바탕으로 긴급상황 발생 시 '선 대응, 후 보고'하는 전시상황에 준하는 대비태세로 전환했다. 빠른 판단과 실행이 필요한 보안 사고 특성을 반영해 실무 대응 속도를 높이는 구조다.
경영진과 이사회 보고 체계에서 중점적으로 점검하는 항목은 보안취약점 관리, AI 기반 보안체계 전환, 생성형 AI 활용에 따른 거버넌스 리스크, 망분리 완화 등 규제 변화 대응, 정보보호 예산과 전담 인력 확보다. 최 상무는 이를 통해 경영진과 이사회가 보안 리스크를 경영 의사결정에 충분히 반영할 수 있도록 지원하고 있다고 설명했다.
HASF로 탐지·방어·대응 AI 전환
하나은행은 AI 기반 보안 전환을 HASF(Hana AI Security Framework)를 중심으로 단계적으로 추진하고 있다. 기존 보안 체계가 발견된 취약점에 대응하는 방식이었다면, 앞으로는 '탐지-방어-대응' 전 과정에 AI 기술을 적용해 자동화와 실시간 대응 역량을 높이는 방향이다.화이트해커 점검도 실전형으로 운영하고 있다. 하나은행은 실제 침투와 동일한 시나리오를 바탕으로 점검을 수행하고, 새롭게 발견된 취약점은 즉시 조치하는 방식으로 사고를 예방하고 있다. 특히 내부 권한이나 주요 데이터가 집중되는 영역, 취약할 수 있는 단위업무, 관계사와 협력사를 대상으로 점검을 강화하고 있다.
침해대응 훈련도 실제 사고 발생을 가정한 방식으로 고도화하고 있다. 하나은행은 기본적인 대응훈련에 더해 '인지-대응-신고-조치' 전반을 전문가 집단과 함께 점검하는 체계를 검토하고 있다. 그 결과를 반영해 차세대 디도스 방어체계 고도화 등 시스템 개선도 추진 중이다.
최 상무는 AI 시대 금융보안에 대해 속도와 기본을 함께 강조했다. 그는 "AI 시대의 금융보안은 변화에 빠르게 대응하는 것도 중요하지만 기본을 충실히 하는 것이 더 중요하다"며 "AI가 모든 침해대응을 담당한다 하더라도 이를 책임지고 관리 및 개선해 나가는 것은 결국 보안담당자라는 것을 잊지 말아야 한다"고 말했다.
지다혜 한국금융신문 기자 dahyeji@fntimes.com











![[인터뷰] 최대현 하나은행 CISO "AI 공격은 AI로 막는다"…방어체계 고도화 [2026 은행권 보안 전략 ④]](https://cfnimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=3&simg=202607081450100617301b5a2213792112162112.jpg&nmt=18)
![[인터뷰] 최대현 하나은행 CISO "AI 공격은 AI로 막는다"…방어체계 고도화 [2026 은행권 보안 전략 ④]](https://cfnimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=595&simg=202607081450100617301b5a2213792112162112.jpg&nmt=18)
![[인터뷰] 최대현 하나은행 CISO "AI 공격은 AI로 막는다"…방어체계 고도화 [2026 은행권 보안 전략 ④]](https://cfnimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=3&simg=202607081450360110401b5a2213792112162112.jpg&nmt=18)
![[인터뷰] 최대현 하나은행 CISO "AI 공격은 AI로 막는다"…방어체계 고도화 [2026 은행권 보안 전략 ④]](https://cfnimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=595&simg=202607081450360110401b5a2213792112162112.jpg&nmt=18)







![[단독] 무신사 스탠다드 ‘산역사’ 이건오 퇴사…‘브랜드 정체성’ 전환점 맞나](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=69&h=45&m=5&simg=20260709134450047000b5b890e35c21123419294.jpg&nmt=18)





![[그래픽 뉴스] 은퇴후 30년 부모님 세대의 생존전략](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=298&h=298&m=1&simg=202606301704439153de68fcbb3512411124362_0.jpg&nmt=18)
![[그래픽 뉴스] 퇴근 후 주차했는데 수익 발생? V2G의 정체](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=298&h=298&m=1&simg=202605131656357745de68fcbb3512411124362_0.jpg&nmt=18)
![[그래픽 뉴스] “전쟁 신호를 읽는 가장 이상한 방법, 피자 주문량”](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=298&h=298&m=1&simg=202604151704028482de68fcbb3512411124362_0.jpg&nmt=18)
![[그래픽 뉴스] 트럼프의 ‘타코 한 입’에 흔들린 시장의 비밀](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=298&h=298&m=1&simg=202604031646576130de68fcbb3512411124362_0.jpg&nmt=18)
![[AD] 제네시스, 럭셔리 경험 더한 ‘2027 GV70’‧‘GV70 그래파이트’ 출시](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=89&h=45&m=1&simg=20260702143546085600749258773622211122717.jpg&nmt=18)
![[AD] 개소세 혜택 종료…현대차, ‘썸머 페스타’로 고객 부담 완화](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=89&h=45&m=1&simg=20260702142355004830749258773622211122717.jpg&nmt=18)
![[AD] 기아 ‘디 올 뉴 셀토스’, 인도 타임스 드라이브 어워즈서 ‘올해의 SUV’ 선정](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=89&h=45&m=1&simg=202605071156400590007492587736124111243152.jpg&nmt=18)
![[AD]‘그랜저 잡자’ 기아, 상품성 더한 ‘The 2027 K8’ 출시](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=89&h=45&m=1&simg=2026042110193702730074925877361211627527.jpg&nmt=18)
![[카드뉴스] KT&G, ‘CDP’ 기후변화·수자원 관리 부문 우수기업 선정](https://cfnimage.commutil.kr/phpwas/restmb_setimgmake.php?pp=006&w=89&h=45&m=1&simg=202603241415423015de68fcbb3512411124362_0.png&nmt=18)



