인터넷 인프라가 민간영역뿐 아니라 공공‧기관 등 국민의 모든 삶 곳곳에 스며든 가운데, 사이버 경계를 지키는 ‘보안’ 중요성은 나날이 증가하고 있습니다. 최근에는 인공지능(AI)‧클라우드 등 차세대 기술 발전과 함께, 사이버 위협 또한 고도화되고 있습니다. 이에 따라 IT보안 정책과 보안 책임자 역할이 어느 때부터 중요해지고 있습니다. 이에 <디지털데일리>는 빠르게 변화하는 기술 트렌드 속에서 지능화된 공격자로부터 각 기관과 기업의 안전을 도모하는 최고보안책임자들을 조명하고자 합니다. IT 최전방에 선 보안 리더들의 현장 목소리, 지금부터 생생하게 전달하겠습니다. <편집자 주>

[디지털데일리 최민지기자] “지금은 인공지능(AI) 쪽에 몰두해 있습니다. AI를 활용해 모범적인 정보보호 사례를 만드는 것을 내년도 최우선 목표로 삼았습니다.”

현대디에프(구 현대백화점면세점, 이하 현대면세점) 반형철 최고정보보호책임자(CISO)는 최근 <디지털데일리>와의 보안리더스 인터뷰를 통해 내년도 사업 목표와 관련해 이같은 포부를 전했다.

현재 현대면세점은 이상징후 식별과 내부 직원 대상 개인정보보호법 문의 대응에 AI를 접목하는 방법을 기획하고 있다. AI가 전 산업을 관통하는 가운데, 현대면세점도 AI를 활용해 정보보호를 강화하고 사이버위협에 대응하는 방안을 적극적으로 고민하는 모습이다.

◆AI와 대화하며, 이상징후자 식별‧차단

반형철 CISO는 AI를 활용해 즉각 로그를 분석하는 기능을 구축 후 빠르고 다양한 시각으로 로그를 분석해 이상징후를 식별하는 프로젝트를 기획하고 있다고 밝혔다. 대량의 로그 데이터를 바탕으로 AI와의 대화를 통해 여러 관점으로 신속히 로그를 해석해 이상징후자를 식별하고 차단하겠다는 설명이다.

반 CISO는 “회사 내 IT인프라에서 발생하는 다양한 로그를 한곳으로 모으고, 로그분석솔루션을 사용하고 있으나 활용도가 크게 높지 않은 상황이었다”며 “분석에 대한 기준을 생성해 시스템에 적용하기 쉽지 않고 이에 따른 여러 부수적인 비용이 발생하기에, 다른 방안으로 보안성을 높이고자 시도했다”고 설명했다.

그러던 중 내부 대량의 데이터 분석을 위해 디지털웨어(DW)를 구축한 점을 확인했다. 유통 분야에서는 통상적으로 대용량 데이터를 분석하고 있기에, 업무 협조를 통해 해당시스템에 필요로 하는 로그를 적재한 것이다. 적재된 로그는 시간 외 업무 시스템 접속자, 3개월 평균 이상 개인정보 조회자 등 다양한 기준을 바탕으로 분석을 시작했다.

예를 들어, 3개월 평균치와 비교해 평소보다 개인정보 관련 자료를 다운로드하거나 조회를 많이 하는 등 이상징후 패턴을 확인할 수 있다. 업무와 상관 없는 비정상적 행동을 하고 있는지를 한 눈에 볼 수 있게 한 것이다. 이를 통해 매월 개인정보처리시스템 로그분석 업무 효율성을 높일 수 있었다.

해당 업무를 진행하기 위해서는 데이터베이스(DB) 담당자에게 데이터를 요청하고 수령하고 분석하는 등 많은 시간을 필요로 했다. 이에 생성AI를 활용한 오픈소스 기반 자체 시스템 구축을 시도했고, 최근 그룹사에서 해당 프로젝트 지원을 내부 검토 중이다.

반 CISO는 “자체 로그분석 시스템을 구축했지만, 이 또한 조건 변경 때 개발자가 직접 투입돼야 했다. 수기 업무보다는 효율성이 좋았음에도 만족하기에는 부족했다”며 “또, AI를 활용한 사이버공격자들의 위협도 커지고 있는 만큼, 이에 대한 대응도 해야 한다. 그래서 기존의 로그분석을 위해 AI를 활용하는 모델을 검토하게 됐다”고 부연했다.

◆개인정보보호법 가이드, AI로 학습…내부 직원 궁금증 손쉽게 해결

이와 함께 현대면세점은 임직원 대상 AI 기반 개인정보보호법 안내 가이드를 만들 예정이다.

개인정보보호법 관련 가이드‧해설서 등을 AI에 학습시켜 내부 직원들이 개인정보 관련 궁금증을 1차적으로 해소할 수 있도록 지원한다는 복안이다.

면세점 특성상 고객정보를 다룰 수밖에 없다. 이에 정보보호 관련 부서가 아니더라도 개발‧기획‧서비스단에서 개인정보호법을 위반하지 않도록, 직원 개개인이 손쉽게 자문을 구할 수 있도록 한 것이다.

물론, 아직 완벽한 정확도를 보이는 AI는 없기에 법무팀과 개인정보보호 관련 부서 검토는 필수적이다. 그러나 직원들이 1차적으로 도움을 얻는 도구 역할을 한다면, 개인정보 관련 기업 리스크를 줄일 수 있기에 긍정적이다. 내부에선 정확도를 80~90% 수준까지 올리고, 순차적으로 전 계열사로 확대할 것으로 기대하고 있다.

반 CISO는 “개인정보와 관련된 이슈는 사전 보안성 검토를 통해 정식적으로 요청할 수 있으나, 사소한 개인정보 이슈까지 모두 요청하기에 현실적 어려움이 있기에 AI 구축을 통해 이러한 점을 해소할 계획”이라며 “그룹사와 논의를 거쳐 내년 상반기 중 선보일 것으로 기대하고 있다”고 강조했다.

아울러, 현대면세점은 로봇프로세스 자동화(RPA)를 활용한 보안 예외정책 검토 업무 효율화도 추진한다. 담당자가 3~4일 이상 데이터를 만들어야 할 일을 자체 구축한 RPA를 활용하면 3~4시간만에 업무를 모두 처리할 수 있을 정도로 효율성이 높다는 설명이다.

반 CISO는 “개인적인 목표는 AI를 도입해 안정화시키고 고도화하는 것”이라며 “AI를 현대면세점 사업 분야에서도 도움이 될 수 있는 방향으로 발전시키고자 한다”고 말했다.

<다음 기사에서 계속>

◆반형철 현대디에프 CISO 주요 약력

▲2022년 ~ 현재 : 현대디에프 정보보호담당(CISO/CPO)

▲2019년 ~ 2022년 : 에프앤유신용정보 개인(신용)정보보호담당자

▲2017년 ~ 2019년 : 티알엔 (개인)정보보호담당자

▲2016년 ~ 2017년 : 한국우편사업진흥원 (개인)정보보호담당자

▲2015년 ~ 2016년 : 미디어윌네트웍스 (개인)정보보호담당자

▲2012년 ~ 2015년 : (재)녹색사업단 (개인)정보보호담당자