이광원 iM금융지주 겸 iM뱅크 최고정보보호책임자(CISO)가 AI 시대 금융권 보안 전략의 핵심으로 최신화·내재화·복원력 세 가지를 제시했다. AI 기술이 빠르게 진화하는 환경에서 보안 체계도 지속적으로 갱신해야 하며, 내부 개발 인력을 보안 부서에 직접 배치해 외부 솔루션으로 해결되지 않는 요구사항을 자체 개발로 채우는 전략을 실행 중이라고 밝혔다. 임기 3년 차를 맞은 그는 사고 예방보다 빠른 복원 능력 확보가 현실적인 대응 방향이라는 입장을 강조했다.
AI 활용 확대와 보안 사이의 균형에 대해 그는 “비즈니스를 막는 것이 아니라 보안 수준을 높여 비즈니스를 가능하게 하는 것이 CISO의 역할”이라고 규정했다. 챗GPT 같은 생성형 AI(Generative AI)가 업무 생산성을 높이는 도구이지만 보안을 이유로 활용이 막히는 경우가 많다는 점을 지적하며, 제한보다 지원이 먼저라는 원칙을 내부적으로 교육하고 있다고 전했다. 현재 별도의 AI 보안 담당자를 지정해 운영 중이며, 보안 인력 뿐 아니라 AI·클라우드·블록체인 등 연관 IT 인력을 함께 육성해야 한다는 점도 강조했다.
망분리 완화 이슈에 대해서도 입장을 밝혔다. 망분리는 적은 투자로 높은 보안 효과를 낼 수 있는 정책이었지만, 개발 효율성과 서비스 확장 수요로 인해 점진적 완화가 불가피해지고 있다는 분석이다. 다만 보안 책임자 입장에서는 경계 개방에 따른 신규 위협 대응 체계를 먼저 갖춰야 한다는 신중론을 유지했다. 올해 중점 과제로는 2016년부터 운영해온 그룹 통합 보안관제 고도화와 함께, 제로트러스트(비신뢰 보안체계) 기반 시스템 환경 구축을 꼽았다.
금융당국의 보안 사고 책임 강화 방향에 대해서는 징벌적 과징금보다 예방 중심 정책이 바람직하다는 의견을 내놨다. 새로운 위협이 등장하는 속도에 비해 대응 기준과 제도가 갖춰지지 않은 상태에서 책임을 일방적으로 금융사에 전가하면 보안 책임자를 지망하는 인재가 줄어들 수 있다는 우려도 제기했다. 최근 금융당국이 사고 이후 제재보다 사전 예방 활동 강화 방향으로 정책 기조를 조정하고 있다는 점은 긍정적으로 평가했다.
