“해커도 AI 에이전트 쓴다” CISO가 말하는 2026 산업별 보안 진단

한국정보보호학회 단기강좌 ‘CISO와 함께하는 산업별 보안 위협 분석’
코리안리 문광석 파트장, 자율형 AI 해커 미토스 위협 및 사이버 보험 강조
투이컨설팅·토스증권·골프존·롯데렌탈 등 각계 CISO 출동해 실무 노하우 공유

[보안뉴스 조재호 기자] 금융과 핀테크, 레포츠, 모빌리티 등 대한민국의 디지털 혁신을 이끄는 각 산업군 CISO들이 한자리에 모였다. 한국과학기술회관에서 열린 한국정보보호학회 단기강좌는 ‘CISO와 함께하는 산업별 보안 위협 분석’을 주제로 열띤 논의를 진행했다.

▲문광석 코리안리 IT보안파트장이 발표를 진행하고 있다. [출처: 보안뉴스]

한국정보보호학회는 20일 서울 한국과학기술회관에서 2026년도 제1차 단기강좌를 진행했다. ‘CISO와 함께하는 산업별 보안 위협 분석’을 주제로 열린 이번 강좌는 금융·컨설팅·핀테크·레포츠·모빌리티 등 다양한 산업 현장을 지휘하는 보안 담당자들이 연사로 나서 실무 중심의 인사이트를 공유했다.

오전 세션은 문광석 코리안리 IT보안파트장이 열었다. 그는 ‘생성형 AI 시대, 금융회사가 직면한 보안 위협과 대응 전략’ 발표를 통해 방어자의 통제를 아득히 벗어난 AI 해커의 맹위를 강하게 경고했다. 스스로 해킹 목표를 설정하고 자율적으로 취약점을 파고드는 AI 에이전트 클로드 미토스에 대해 “이제 우리는 인간 해커가 아닌 24시간 지치지 않는 국가 전력급 AI 해커와 싸워야 하는 치열한 전장에 놓였다”고 진단했다.

문 파트장은 AI 공격이 초단위로 이루어지는 만큼 이미 침해가 발생한 뒤 움직이는 사후 대응(Reactive Defense)은 의미가 없으며, 공격 시도 자체를 무력화하는 선제적 방어(Proactive Defense)로 패러다임을 전환해야 한다는 의견이다. 매출액의 최대 10%까지 과징금이 부과될 수 있는 이른바 과징금 1000억원 시대에, 단일 보안 사고는 곧 기업의 도산으로 직결될 수 있다는 것이다. 이 때문에 사이버보험 등을 활용한 위험 전이(Risk Transfer)가 필수적인 재무적 완충 장치임을 강조했다.

이어서 김도형 투이컨설팅 CISO는 ‘컨설팅 회사가 실제로 수행하는 정보보호 전략과 실무 사례’를 공유했다. 보안 컨설팅 회사가 ISO/IEC를 획득한 사례를 소개하며 실제 현장에서 필요한 조치와 보안 전략, 그리고 인증 전략의 중요성을 짚어냈다.

오후 세션에서는 각 산업 생태계가 직면한 뾰족한 맞춤형 보안 과제들이 심도 있게 다뤄졌다. 장세인 토스증권 CISO는 모든 통제 시스템을 자체 개발한 토스의 인하우스(In-House) 방어 생태계를 소개해 이목을 끌었다.

▲장세인 토스증권 CISO가 토스 보안 체계에 대해 설명하고 있다. [출처: 한국정보보호학회]

장 CISO는 AI 위험 관리를 필두로 토스 자산관리시스템과 공격 표면 관리(ASM)을 연계한 지속적인 검증 체계를 소개했다. 특히 계정 접근 관리(IAM)에 대한 철저한 사용자 접근권한 검토(User Access Review) 수행은 물론, 토스만의 독자적인 이상탐지 매트릭스(Detection Engineering)를 적용해 평소와 다른 비정상적인 개인정보 처리 시스템 질의를 실시간으로 통합 모니터링하는 시스템을 소개해 토스증권의 보안 역량을 뽐냈다. 최근 공급망 위협의 최대 화두인 비인간 신원(NHI) 검증과 오픈소스 기반 악성코드 탐지까지 100% 자체 구축했다는 설명과 함께 속도가 생명인 핀테크 환경에서의 보안 체계를 소개했다.

이어 골프존 신동훈 CISO는 온오프라인(O2O)이 긴밀하게 결합된 레포츠 산업 특유의 디지털 전환 과정에서 발생하는 복합적인 데이터 보호 이슈를 조명했다. 마지막으로 롯데렌탈 전인복 CISO는 차량 운행 기록 및 실시간 위치 정보 등 생명과 직결되는 커넥티드카 환경의 민감한 모빌리티 개인정보 보호 방안을 촘촘하게 제시하며 강좌의 마무리했다.

이번 한국정보보호학회 단기강좌는 일방적인 이론 전달을 넘어, 최전선에서 뛰고 있는 CISO들이 현장에서 직면한 딜레마와 타개책을 허심탄회하게 교류하며 산업 간 보안 얼라이언스를 한 차원 끌어올린 뜻깊은 장이 되었다는 평가다.

[조재호 기자(zephyr@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다