“인공지능(AI)을 선제적으로 활용하는 조직과 그렇지 못한 조직의 보안 격차는 계속 커질 것입니다. 신기술을 적극 도입하고, 신예 화이트해커들에게 경험을 쌓을 기회를 주어야 합니다.”
올해 국내 주요 해킹 방어대회에서 잇달아 우승하며 화이트해커로 절정의 기량을 과시한 김태욱 토스증권 시큐리티 리서처는 “해킹 대회에서 실력이 뛰어나고 윤리적인 대학생이나 사회초년생들을 자주 만난다”면서 “금융권이 아직 보안분야에서 베테랑 경력직을 선호하는 경향이 짙은데 주니어들에게 기회를 많이 준다면 자연스럽게 뛰어난 화이트해커도 늘어날 것”이라고 강조했다.
그는 8년차 레드팀(공격자 관점 보안팀) 전문가로, 토스증권에서 침투 테스트와 최신 보안 위협 연구를 담당한다. 김 리서처가 주축으로 참여한 팀은 올해 과학기술정보통신부가 주최한 'AI해킹방어대회(ACDC)'에서 과기정통부장관상(대상)을, 금융보안원이 주최한 '금융보안 위협분석대회(FIESTA)'에서 금융위원장상(대상)을 수상했다.
그가 현장에서 체감하는 최근 보안 위협 트렌드는 '관리되지 않은 자산' 틈을 파고드는 것이다. 김 리서처는 “최근 통신사나 카드사 해킹 사례를 보면 기술적으로 막을 수 없는 공격이라기보다, 관리 사각지대 물리 자산이나 취약점이 존재하는 방치된 서버가 시발점이 되는 경우가 많다”고 지적했다.
특히 내부자 데이터 유출이 선행된 후 이를 활용해 공격하는 등 공격 패턴이 교묘해지고 있어, 외부 침입을 막는 것을 넘어 내부 이상 징후를 탐지하는 것이 중요해졌다는 설명이다.
이에 대응하기 위해 김 리서처는 금융권 보안이 '수성'을 넘어 '공세적 방어'로 전환해야 한다고 강조했다. 기업이 관리해야 하는 자산이 늘어날수록 외부로 노출되는 자산이나 API를 파악하고, 원데이(1-day) 취약점을 조치하거나, 주기적 침투테스트를 통해 위협을 사전에 제거하는 일이 필수라는 것이다.
그는 “소프트웨어 자재명세서(SBOM) 등을 활용해 자산을 빈틈없이 관리하는 것은 기본”이라며 “실제 공격과 유사한 침투 테스트를 지속 수행하고, 침입탐지시스템을 고도화해 공격 경로와 피해 범위를 즉각 파악할 수 있어야 한다”고 조언했다.
특히 AI 기술 도입을 강력히 주문했다. 그는 “AI를 활용한 공격과 방어기법이 꾸준히 나오는 시점에서 금융권에서는 여러 규제로 인해 이런 기술을 제대로 활용하지 못하는 조직이 많다”면서 “조직 차원에서 AI 등 신기술을 보안 관제와 위협 식별에 적극 활용할 수 있도록 지원해야 한다”고 말했다.
그는 “AI 시대에는 화이트해커들도 'Security for AI(AI의 안정성 확보)'와 'AI for Security(AI를 활용한 보안)'를 모두 잡아야 한다”면서 “현업과 연구를 병행하며 안전한 금융 생태계를 만드는 데 기여하고 싶다”고 포부를 밝혔다.
김시소 기자 siso@etnews.com
