인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

SK텔레콤 손영규 CISO. [ⓒ SK텔레콤]

[디지털데일리 최민지기자] 국내 1위 통신사 SK텔레콤은 통신기업을 넘어 글로벌 인공지능(AI) 컴퍼니로의 전환을 선언했다. 통화녹음이 가능한 AI 비서 서비스 ‘에이닷’을 시작으로 AI 데이터센터 시장 진출까지 본격화했다. 과거와 달라진 인프라 운영 정책이 필요해진 만큼, 보안정책도 변화를 거듭하는 모습이다.

AI 중심으로 변화하는 SK텔레콤에 발맞춰 보안정책을 수립‧이행하는 손영규 SK텔레콤 최고정보보호책임자(CISO)는 <디지털데일리>와의 보안리더스 인터뷰를 통해 “AI와 관련해서는 시프트 레프트(Shift left) 전략을 채택하고 있다”며 “보안은 기획 단계부터 고려하지 않으면, 결국 출시일이 늦어지고 리스크는 커지게 된다”고 말했다.

원점회귀로도 불리는 ‘시프트 레프트’는 테스트‧품질‧성능 등 평가를 개발 초기 단계에서 수행할 수 있도록 하는 것으로, 정보보안 절차를 제품 개발 및 출시 절차에 통합하되 이를 최대한 이른 시점부터 관여해 진행하는 전략이다. SK텔레콤과 네이버를 비롯해 AI 및 기술 혁신을 높이는 국내외 주요 기업들이 시프트 리프트 전략을 주로 지향하고 있다.

◆엄격한 보안조치 속 신속한 AI 서비스를 향한 고민

사실, SK텔레콤은 국가 기간통신사업자인 만큼 이동전화 고객정보보호를 위해 법에서 요구하는 수준 이상의 매우 엄격한 보안조치를 적용하고 있다. 이동통신가입자를 수용하는 기간계 시스템 경우, 철저한 물리적 망분리 환경을 통해 통제된 상황에서 개발·운영해야 한다. 다만, 빠르게 선보여야 하는 신기술과 신사업에 대해선 유연한 보안체계 방식을 적용했다.

손영규 CISO는 “금융권처럼 물리적 망분리를 하고 있지만, 폐쇄적 환경에서 개발하다 보면 AI 서비스들을 빠르게 출시하기엔 무리가 있다는 단점이 있다”며 “AI‧구독 등 다양한 신기술‧신사업의 신속한 고객 경험 제공을 위해, 이에 적합하고 유연한 보안체계를 동시에 운영해야 하는 만큼 전사 관점의 종합적‧계층적 보안 전략을 구현하고 있다”고 설명했다.

SK텔레콤은 온프레미스와 퍼블릭클라우드를 활용하는 하이브리드 인프라 환경이다. 퍼블릭클라우드에선 서비스 기획단계부터 보안 요구사항을 도출해 고객정보처리 유무 등 다양한 팩터(Factor) 기반으로 계정관리‧보안형상관리(CSPM) 및 보안솔루션 탑재 등을 적용하며 주기적으로 점검하고 있다. 특히, 소스코드 취약점 점검을 위해 데브섹옵스(DevSecOps) 프로세스를 통해 형상관리 내에서 소스코드 취약점 조치 후 배포하는 절차를 수행한다. 데브섹옵스는 데브옵스(DevOps)에 보안(Security)가 결합된 개념으로, 소프트웨어 설계부터 개발, 테스트, 운영까지 모든 단계에 보안을 고려하자는 방법론이다. 이는 ‘시큐리티 바이 디자인’ 원칙 아래 수행 중이라는 설명이다.

손 CISO는 “최근에 중요하게 생각하는 건, 데브섹옵스로 시큐리티를 강조하고 있다”며 “소스코드가 안전하지 않으면 결국 서비스 품질과 보안도 안전할 수 없다. 시프트 레프트 전략의 일환”이라고 부연했다.

◆SKT가 내놓은 안전한 AI

이같은 과정을 거쳐 세상에 공개된 대표적인 SK텔레콤 AI 서비스가 ‘에이닷’이다. 에이닷은 최초 상품 기획 단계 때 프라이버시와 개인적 업무 침해가 일어나지 않도록 해야 한다는 내부 공감대가 있었다. 이에 SK텔레콤은 ‘세이프티 모듈’을 자체 개발해, 이용자 보호 조치를 구현했다.

현재 SK텔레콤은 윤리가치에 위배될 발화를 언어모델이 인지하고 대처할 수 있도록 모델에 적절한 조치를 취하고 있다. 위험한 데이터가 학습에 사용되지 않도록 하기 위해서다.

SK텔레콤 AI 비서 ‘에이닷’ [ⓒ SK텔레콤]

또한, SK텔레콤은 종합 전기통신금융사기 대응 시스템을 구축해 AI로 전자금융사기를 예방하고 있다. 경찰청과 협업해 신고 데이터 기반으로 학습한 후 스팸‧보이스피싱 등으로 의심되는 번호를 자동으로 차단한다. SK텔레콤은 오는 26일 스페인 바르셀로나에서 열리는 세계 최대 이동통신 전시회 ‘모바일월드콩그레스(MWC) 2024’에서 AI 스팸‧스미싱 필터링 기술을 전세계에 알릴 예정이다.

머신러닝 기반 보안위협탐지 및 관제는 상용화해 내부에서 사용 중이다. 거대언어모델(LLM) 등을 통해 내부 보안업무 효율화도 점진적으로 적용하고 있다. 또, SK텔레콤은 온프레미스와 퍼블릭클라우드 등에서 발생하는 이벤트 로그 등을 수집하고 통합보안관제센터에서는 이상징후를 모니터링한다. 관제 영역에서 AI 및 머신러닝 탐지기술을 도입해 진행하고 있다.

손 CISO는 “관제 영역은 특히나 AI 기술 혹은 솔루션을 통해 위협을 탐지하고 대응할 수 있다고 본다. 국내외 다양한 솔루션 등을 개념검증(POC) 및 파일럿(Pilot)을 해보는 등 지능화‧자동화 통합보안관제센터로 전환 등 AI를 활용한 보안 강화를 추진 중”이라며 “AI가 자동화된 의사결정을 하기에는 시간이 좀 더 소요되겠지만, 현시점에서 보안 침해사고대응팀(CERT) 요원들의 의사결정을 도와주는 역할을 할 것”이라고 전망했다.

이어 “본격 AI 시대의 데이터 보안을 위한 사내 정책, 프로세스 및 관련 시스템을 신규 구축 또는 고도화를 통해 이용자들이 지속적으로 안전한 AI 서비스를 이용할 수 있도록 할 예정”이라며 “기존 IT 환경에 맞춰진 정보보호‧개인정보보호 관련 규범들은 AI 환경과 꼭 맞지 않는 부분이 있는 것으로 판단하고 있고 이 점에 대한 대응방안을 마련하고 있다. 결국 기획단계부터 정보보호 관여도를 깊게 하는 시프트 레프트 보안 방향성을 가져야 문제를 최소화할 수 있다”고 전했다.

◆“AI 시대 효율적 보안 전략, 결국 기본에 있다”

손 CISO는 SK텔레콤의 안전한 AI 서비스 출시에 관여하면서, 동시에 AI 등으로 야기되는 고도화된 보안 위협에 대해서도 지속적으로 고민하고 있다.

최근 다크웹에서 해킹도구와 개인정보 판매뿐 아니라 생성형AI 기반 사이버범죄도구를 만들어주는 윔GPT, AI 기반 피싱도구 생성을 도와주는 사기GPT 등이 등장하고 있다. 생성형AI를 활용해 대량으로 악성코드를 제작, 사이버공격을 시도할 수 있게 된 것이다.

이와 관련 손 CISO는 “기존 공격 패러다임이 극적으로 변할 것이라 생각하지는 않는다. 물론 AI를 통해 더 세밀하고 지속적인 공격이 가능할 것”이라며 “공격자 입장에서는 AI를 통해 공격에 필요한 비용이 낮아질 수 있고, 이에 따라 그간 공격을 시도하지 않았던 지점이나 방법을 시도할 것”이라고 내다봤다.

이에 각 조직은 그간 상대적으로 소홀했던 지점에 대한 관심과 투자를 비롯해 기본적인 보안수칙을 빠짐없이 잘 이행할 수 있는 방법을 찾아야 한다는 설명이다. 이를 위해 손 CISO는 “기본으로 돌아가야 한다”고 말한다.

새로운 바이러스가 나타나도 그것을 이겨내는 것은 결국 튼튼한 기초 체력과 면역력이다. AI 시대 각종 사이버 위협에 대응하기 위한 가장 효과적이고 효율적인 전략은 결국 현장에서 기본적인 보안 원칙을 준수하고, 최신 보안패치를 적용하고, 24시간 365일 보안관제를 충실히 하고, 사용자 보안 인식과 실천력을 높이는 데 있다.

손 CISO는 “새로운 방어기법에 대한 고민보다는 기본을 잘 지킬 수 있는 방안을 봐야 한다”며 “진부한 이야기겠지만 보안에 있어 가장 중요한 것은 결국 기본과 원칙으로, 견고한 보안은 화려한 구호와 최신 트렌드, 멋진 전략 속에만 있다고 생각하지 않는다. 묵묵히 기본과 원칙을 지키며 적용하는 구성원과 이를 인정해주는 조직 문화 속에 있다”고 강조했다.

아울러, 손 CISO는 보안전문인력 확보 중요성도 피력했다. AI 발전에 따라 데이터 분석가들이 더 많이 필요하고, 이를 해석하고 분석해 대응하는 인력들의 확보가 중요해졌다. 동시에 고도화된 위협에 방어하기 위해선 내부 인프라 및 서비스단의 보안전략과 아키텍처 등을 발전시켜야 한다.

손 CISO는 “해킹 및 취약점 진단, 악성코드 분석 쪽으로 우수 보안인재들이 편중돼 있다”며 “그것도 중요하지만, 현장에서는 기업과 서비스를 이해하고 융합할 수 있는 보안전문가가 더 필요하다”고 전했다.

<다음 기사에서 계속>

◆SK텔레콤 CISO 손영규 부사장 주요 약력

▲2019년 6월~현재 : SK텔레콤 정보보호담당(CISO&CPO)

▲2017년 1월 SK텔레콤 IT서비스 개발팀장

▲2014년 12월 SK텔레콤 IT보안팀장

▲2001년 6월 SK텔레콤 정보기술원