기술 만능주의의 붕괴와 가장 강력한 방어선의 재발견

[연재목차 Part 3. 인간 중심 보안과 보안문화]
1. AI 시대, 왜 인간 중심 보안인가
2. AI 시대, 인간 중심 보안을 구현하려면
3. 인간의 창의성과 AI 보안
4. 보안 위반, 뇌 과학 해법
5. 넛지 보안의 힘
6. 감정과 비합리성, 보안의 숨은 힘
7. 디지털 야누스, 두얼굴의 사용자
8. 인간 중심 보안과 제로트러스트 아키텍처
9. ESG 너머, 인적 지속가능성과 보안
10. 예산·인력 없는 중소기업, ┖사람┖이 답이다
11. 보안문화, Nature vs. Nurture
12. 보안 성패를 가르는 7가지 문화 유형
13. 한국형 보안문화 진단 모델_K-SCT
14. 디지털 보안문화 전환 모델_CORE TRUST

[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] “우리 회사는 인간 중심 경영을 추구합니다.” 최근 비즈니스와 기술 분야를 막론하고 ‘인간 중심’이라는 말이 유행처럼 번지고 있습니다. 생성형 AI의 폭발적 발전과 고도화되는 보안 위협 속에서 이 용어는 마치 만능열쇠처럼 쓰입니다. 하지만 정작 ‘인간 중심 보안이 무엇이냐’고 묻는다면, 단순히 ‘사용자 친화적인 UI’나 ‘번거롭지 않은 인증’ 정도로 치부하기 쉽습니다.

단언컨대, AI 시대의 ‘인간 중심 보안’은 사람을 편하게 해주자는 감성적인 구호나 단순한 구현 방법론이 아닙니다. 이는 과거 수십 년간 우리가 맹신해 온 ‘기술 중심(Tech-centric) 보안’의 치명적 한계를 인정하고, 생존을 위해 방어의 패러다임을 근본적으로 뒤집는 가장 냉철하고 현실적인 전략입니다.


기술 중심 방어선의 철처한 붕괴: “해커는 시스템을 뚫지 않는다”
2024년초, 홍콩의 한 다국적 기업 지사에서 무려 2500만달러(약 340억원)가 탈취되는 초대형 보안 사고가 발생했습니다. 해커가 고도의 제로데이 취약점을 공격하거나 방화벽을 무력화했을까요? 아닙니다. 이 회사의 IT 시스템과 보안 장비는 완벽하게 정상 작동했습니다. 해커는 딥페이크 기술로 영국 본사 CFO와 임원들의 얼굴과 목소리를 실시간 화상회의 화면에 감쪽같이 복제했고, 이를 믿은 재무 담당 직원이 스스로 송금 버튼을 누르게 만들었습니다.

이 사건은 기존 ‘기술 중심 보안’의 무력함을 적나라하게 보여줍니다. 우리가 아무리 수십억 원을 들여 AI 기반의 탐지 솔루션(EDR, NDR)과 제로트러스트(Zero Trust) 아키텍처를 구축해도, 해커는 그 단단한 성벽을 오르지 않습니다. 그들은 LLM과 딥페이크로 무장하고 ‘인간의 인지(Cognition)와 신뢰’라는 가장 취약한 뒷문을 직접 열고 들어옵니다. 공격의 표적이 IT 시스템에서 ‘인간의 뇌’로 완전히 이동한 이상, 시스템 차단에만 몰두하는 기술적 접근은 실패할 수밖에 없습니다.

통제의 역설: 생산성을 이길 수 있는 보안은 없다
기존 기술 보안의 두 번째 한계는 사용자를 ‘잠재적 위협’으로 간주하고 하향식(Top-down) 통제로 일관한다는 점입니다. 하지만 AI 시대에 이러한 억압은 심각한 부작용을 낳습니다.

과거 삼성전자를 비롯한 수많은 글로벌 기업들이 사내 데이터 유출을 막기 위해 챗GPT 접속을 원천 차단했습니다. 결과는 어땠을까요? 직원들은 개인 스마트폰이나 우회망을 통해 이른바 ‘섀도우 AI’(Shadow AI)를 몰래 사용하기 시작했습니다. AI가 주는 압도적인 업무 효율성을 한 번 맛본 인간의 동기를 단순한 보안 규정이나 방화벽 차단 정책으로 억누를 수는 없습니다.

인간 중심 보안은 바로 이 지점에서 출발합니다. “직원들이 왜 규정을 어기면서까지 위험한 도구를 사용할까?”라는 공감에서 시작해, 이들의 생산성 향상 욕구를 충족시키면서도 안전을 보장하는 공식적 대안(사내 폐쇄형 LLM 구축 등)을 제공합니다. 인간의 심리와 비즈니스 동기를 이해하지 못하는 맹목적인 기술 통제는 결국 조직을 더 깊고 어두운 위험에 빠뜨릴 뿐입니다.

AI의 치명적 맹점과 ‘컨텍스트 센서’의 필요성
모든 것을 AI 보안 솔루션으로 자동화하려는 기술 만능주의 역시 위험합니다. AI는 방대한 데이터를 빛의 속도로 분석해 패턴을 찾는 데는 탁월하지만, 치명적인 약점이 있습니다. 바로 우리 조직만의 고유한 ‘비즈니스 맥락’(Context)을 이해하지 못한다는 것입니다.

심야 시간에 대량의 사내 문서를 다운로드하는 행위를 시스템(AI)은 ‘내부자 정보 유출’로 판단해 차단할 수 있습니다. 하지만 ‘해당 직원이 내일 아침 임원 보고를 위해 분기 마감 철야를 하고 있다’는 행위 이면의 진짜 비즈니스 정황을 꿰뚫어 보는 것은 오직 인간만이 가능합니다. 반대로, 완벽한 권한과 문법으로 작성된 악성 이메일을 시스템은 통과시키지만, 동료의 평소 어투와 미묘하게 다르다는 것을 직감하는 것은 인간입니다.

결국, 고도화되는 AI 해킹과 오류 속에서 조직의 비즈니스 맥락과 의도를 정확히 파악하는 궁극의 ‘보안 센서’는 값비싼 장비가 아니라 바로 우리 ‘구성원’입니다.

사람을 탓하는 보안에서, 사람을 무장시키는 보안으로
오랫동안 보안 업계에서 인간은 ‘가장 취약한 고리’로 치부되며, 사고 시 직원의 부주의를 탓하기 바빴습니다. 하지만 시스템 결함과 달리 딥페이크와 AI 피싱 앞의 인지적 결함을 메우는 것은 인간에 대한 이해와 교육, 신뢰뿐입니다.

AI 시대의 보안 리더는 조직 문화를 설계하는 전략가가 되어야 합니다. 조직을 지켜낼 최후의 방화벽은 솔루션이 아니라, 보안을 비즈니스 경쟁력으로 여기는 ‘깨어있는 임직원들의 마음’입니다. 이것이 우리가 당장 ‘인간 중심 보안’으로 패러다임을 전환해야 할 절박한 이유입니다.

[글_김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]

필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>