박상원 금융보안원장 “금융보안·혁신 동시 추구하는 모델 갖춘 조력자 될 것”

[한국금융신문 김성훈 기자] "보안은 혁신을 위한 것입니다"

"보안이 기본이 되지 않은 혁신은 위험을 초래하고, 보안만을 강조해서 혁신의 발목을 잡아서도 안 됩니다"

올해로 설립 10주년이 된 금융보안원을 이끌고 있는 박상원 금융보안원장은, 한국금융신문과의 인터뷰를 통해 '기본으로서의 보안'을 강조했다.
신기술이 불러오는 금융서비스의 혁신을 뒷받침할 수 있도록 새로운 보안성 모델 구축에 집중하면서도, 이미 우수성을 인정받은 침해사고 대응·보안관제·모의해킹 등의 기존 보안 역량도 강화하겠다는 것이 박 원장의 계획이다.

박상원 원장은 지난 7개월 간 누구보다 바쁘게 움직였다.

디지털 전환(DX)을 넘어 인공지능 전환(AX)으로 발전하며 새로운 핀테크 기술이 탄생·적용되는 금융 환경에 빠르게 대응해야 했기 때문이다.

박 원장은 "취임 직후 금융 환경 변화에 따른 보안원의 역할에 대한 청사진을 그리기 위해 각 금융사의 보안 수요를 파악, 향후 추진할 10대 과제를 선정했다"고 말했다.

▲AX ▲디지털자산 ▲클라우드 ▲모바일 ▲자율보안 등 구체적인 키워드를 담은 과제를 수립해 보안원이 집중할 방향을 정한 박 원장은, 10주년 기념식을 통해 이를 내외부에 공유했다.
과제 선정과 공유에 그치지 않고 수행에도 적극적으로 나섰는데, AX 부문의 경우 ‘금융권 AI 모델 보안성 검증’을 올해부터 본격 시행하므로 AI 기술의 안전성을 점검하고 있다.

보안원의 ‘금융권 AI 모델 보안성 검증’은 정형화된 취약점 점검을 넘어 학습ㆍ추론ㆍ응답 전 과정에서 AI 모델이 정확하고 안전하게 작동하는지 종합적으로 평가한다.

"서버·네트워크·DB 등 IT 인프라 중심의 보안리스크 관리에 더해 AI 시스템의 신뢰성과 보안성을 확보할 수 있어야 한다"는 것이 박 원장의 설명이다.

보안원은 모의 해킹 방식의 AI 점검도 추진 중이다.
해커 입장에서 다양한 시나리오의 보안 위협을 시도, 검증하므로 해당 AI의 취약점을 효과적으로 찾아낼 수 있기 때문이다.

이에 더해 ▲금융 AI 챌린지 개최 ▲AI 모델 벤치마크 지표 개발 ▲금융보안 AI 워킹그룹 운영 ▲혁신금융서비스 보안대책 평가 등 안전한 AI 활용을 위해 다양한 노력을 기울이고 있다.

내년에는 AI 전문 인력 보강을 통해 조직의 역량도 더욱 강화할 방침이다.

최근 스테이블코인 등으로 화제가 되고 있는 디지털자산 관련 보안에 대해서도 선제적으로 대응책을 마련했다.

보안원 내 전담 조직을 신설해 전문 인력으로 화이트해커를 발탁하므로 조직 기반을 강화했으며, 지난 5월에는 두나무·빗썸·코인원·코빗·스트리미 등 주요 원화 가상자산사업자 5곳의 금융보안원 사원 가입을 추진했다.

디지털자산 분야에서도 기존 금융권 수준의 보안관제와 이상거래 정보공유, 침해사고 예방·대응 등 종합 보안 솔루션을 마련해 지원하기 위해서다.

박 원장은 "예를 들어 스테이블코인에서 시스템의 핵심이 되는 스마트컨트랙트나 운영 시스템 내 취약점이 발견된다면 발행된 코인이 해커에게 탈취될 위험이 있고, 이 경우 막대한 금전적 피해에 더해 가상자산 산업 전체가 침체될 수도 있다"며 해킹 예방과 선제적 대응의 중요성을 강조했다.

특히 디지털자산의 경우 기존 금융과는 다른 점들이 존재해 생각하지 못한 부분에서 보안문제가 발생할 수 있기에, 개별 사업자들도 보안을 최우선 가치로 생각하며 서비스를 구축할 필요가 있다는 것이 박 원장의 당부다.

박상원 원장은 취임 이후 하나은행·신한은행·카카오뱅크 등 금융사 5곳과 함께 '금융 AI 챌린지'를 열고, 우리은행과 모의해킹대회를 개최하는 등 민간 금융사와의 협력도 활발히 진행하고 있다.

이유를 묻는 질문에 박 원장은 "금융사의 회비로 운영되기 때문인 것도 있지만, 중요한 것은 스킨십을 통해 보안 현안을 공유하고 금융사의 ‘선진화된 자율보안체계’ 정착을 지원하기 위함"이라고 설명했다.

‘선진화된 자율보안체계’란 금융사가 자율적으로 보안 시스템을 설계하고 운영하는 것을 말한다.

보안원이 금융보안 최고위 과정·금융보안포럼 등 금융사 대상 보안 교육을 확대하고, 금융사 CISO와 긴밀한 소통을 이어가는 것도 이를 위해서다.

지난 4월 발생한 SKT 유심정보 유출 사고 때에도 보안원은 해킹에 악용된 악성코드를 빠르게 분석하므로 보안을 자가점검할 수 있는 도구를 제작, 금융사에 배포했다.

최근 있었던 SGI 서울보증보험 침해사고에서는 사고 원인을 신속히 분석해 전산시스템 복구를 지원하고, 유사 사고 확산 방지를 위해 전 금융권에 유의사항을 긴급 전파하기도 했다.

박 원장은 "기존의 침해사고 대응 중심의 관리 체제에서 예방적 보안 거버넌스로의 전환을 이끌고, 금융사가 자율보안 역량을 키울 수 있도록 지원에 최선을 다할 것"이라고 말했다.

보안원은 국내를 넘어 글로벌 사이버 보안 협력 관계 구축에도 힘을 쏟고 있다.

지난 5월 NATO 주관 ‘락드쉴즈 2025’ 훈련에 참가해 국제적으로 금융보안 역량을 인정받았고, 미국과 일본 금융 정보통신보호기관(ISAC)과 인적·기술적 교류를 지속하고 있다.

그러나 국제적으로 금융 보안의 중요성이 커지고, 보안원이 다양한 노력을 기울이고 있음에도 일부 기업에서는 경영상황이 어려워지면 보안시스템 관련 예산을 먼저 줄이는 경우들이 발생한다.

박상원 원장은 이에 대해 "금융권에 대한 공격은 갈수록 정교하고 교묘해지고 있다"며 "사업 자체가 어려워지면 보안에 대한 투자를 줄이게 되는 것은 사실이지만, 반대로 보안을 소홀히 해 사업이 어려워지는 경우도 많기에 보안 역량 강화에 더욱 힘써야 한다"고 당부했다.

금융사에서 보안 관련 문제가 발생할 경우 직접적인 피해에 더해 금융사의 핵심 가치인 '신뢰'도 추락할 수 있기에, 경영진·이사회 차원에서 보안 인력과 예산 투자에 관심을 가져야 한다는 설명이다.

최근 보안원이 금융위원회 후원, 금융감독원과 공동 주최로 진행 중인 금융권 버그바운티 집중신고 상황을 보면 금융사가 보안에 더욱 주의를 기울여야 할 이유를 찾을 수 있다.

지난 6월부터 32개 금융사의 114개 금융 서비스를 대상으로 진행 중인 이번 버그바운티 집중신고에서는 지난 7월 23일 기준 150여 건의 취약점 신고가 접수됐다.

160여명의 화이트해커가 참여해 취약점을 수색한 결과라는 점을 고려하면 보안 강화의 중요성을 체감할 수 있다.

박 원장은 "다양한 기술과 관점을 가진 화이트해커와 협력해 서비스 개발 시 놓친 취약점을 발견하고, 금융사가 해당 취약점을 선제적·능동적으로 조치할 수 있도록 보안원이 꾸준히 지원할 것"이라고 강조했다.

박상원 원장의 목표는 금융보안원의 지원과 민감 금융사의 협력을 통한 '안전한 디지털 금융 생태계 조성'이다.

보안원을 이를 위해 정부가 추진 중인 디지털금융보안법 제정 작업에도 적극 참여하며 제도적 기반 강화에 기여했다.

박 원장은 "보안과 금융 혁신을 함께 확보할 수 있는 지속가능한 모델이 자리잡을 수 있도록 최선을 다하겠다"고 밝혔다.

우리나라 금융산업이 DX·AX 혁신을 거듭하고, 금융 생태계 전반이 성장할 수 있도록 '기본'이 되는 보안 부문의 파수꾼이자 조력자가 되겠다는 것이 박 원장의 포부다.

김성훈 한국금융신문 기자 voicer@fntimes.com