[스타트업·혁신기업] "보안·AI, 자칫 하면 큰 리스크… 혁신의 최적길 안내하겠다"

SK shieldus
고객 환경·수준·핵심 요소에 맞는 맞춤형 설계
변화하는 시장서 진출·대응 하도록 서비스 제공
수탁업체·협력사의 보안을 관리·점검 과정 지원
비즈니스 혁신 위해 신기술·신규 법령 컨설팅도

성경원 SK쉴더스 컨설팅사업그룹장. SK쉴더스 제공

셩겅원 SK쉴더스 컨설팅사업그룹장이 디지털타임스와의 인터뷰에서 컨설팅은 기업의 리스크를 줄이는 방안을 제시하는 것이 중요하다고 강조하고 있다. SK쉴더스 제공

SK쉴더스의 사이버보안관제센터 '시큐디움센터' 전경. SK쉴더스 제공

SK쉴더스의 사이버보안관제센터 '시큐디움센터' 전경. SK쉴더스 제공

"철저하게 대비해도 보안 사고는 일어날 수밖에 없습니다. 다만 보안 리스크를 줄이는 본질적인 접근이 필요하죠. 인공지능(AI)을 활용하는 과정에서도 기업에는 개인정보나 내부 정보 유출 등 리스크가 있는데, 이를 줄이기 위한 컨설팅 수요가 점점 늘어나고 있습니다. 잠재해 있는 보안 리스크를 찾아내고 효과적인 대응을 돕는 것이 숙명이라고 생각합니다."

성경원 SK쉴더스 컨설팅사업그룹장은 최근 SK쉴더스 경기 판교 사옥에서 가진 인터뷰에서 이같이 밝혔다. 성 그룹장은 20년 넘게 컨설팅 현장에서 활동해온 전문가다.

◇복잡해지는 IT 환경에 커지는 보안 리스크… "기업 맞춤형 컨설팅 제공"

SK쉴더스는 24년간 축적된 노하우와 자체 기술력을 바탕으로 200여 명의 전문 컨설턴트를 보유하고 전사 보안관리, 개인정보보호, 개발보안, 보안인증 등 다양한 분야의 정보보안 컨설팅 방법론을 구축했다. 이를 바탕으로 국내 대표 공공·금융·대기업의 보안체계를 설계해왔다.

성 그룹장은 "국내 정보보안 컨설팅 시장은 2000년대 초반부터 꾸준히 성숙해 가고 있다. 기업들은 법과 제도를 충족시키고 자칫 불거질 수 있는 리스크를 예방하기 위해 컨설팅을 요청한다"며 "최근 개인정보보호위원회로부터 부과되는 과징금 액수가 갈수록 커지고 있다. 개인정보 법규를 이행하지 않으면 회사의 존속에 위험이 있을 수 있다는 분위기가 형성되면서 관련 컨설팅 수요도 증가하고 있다"고 설명했다.

보안의 수준과 환경은 기업마다 제각각이다. 이에 맞춰 SK쉴더스는 고객 환경과 수준에 맞는 맞춤형 설계를 제공한다. 체계적인 보안체계를 갖추되 기업의 사업활동과 조화시키는 게 중요하다. 보안은 일정 수준의 통제로 연결되는 만큼 임직원들 입장에서는 불편함이 있을 수 있는 만큼 지나치게 과도한 보안체계를 만드는 것은 무리가 따른다.

◇"기업 자산 위협과 취약점 위험 관리가 핵심"

성 그룹장은 "기업의 핵심 요소를 지킬 수 있도록 보안체계를 설계하고 수립해 나가는 접근이 필요하다. 컨설팅 과정에서 제3자의 관점에서 위험에 대응하지 않을 경우 발생할 수 있는 결과를 알려준다"면서 "IT 환경이 급변하면서 10년, 20년 전과 많이 달라졌지만 기업의 자산 위협, 취약점 위험 등을 어떻게 관리하느냐가 가장 핵심이라는 점은 변하지 않는다"고 말했다.

이어 "어떤 자산을 보호해야 하는지에서 출발해서 어떤 위협이 있는지, 얼마나 영향을 미치는지, 취약점이 어느 정도 되고 이를 어떻게 줄일지, 어떤 솔루션을 도입하고 투자 규모를 어떻게 하는 것이 좋을지 등을 조언해준다"면서 "AI와 클라우드의 등장으로 기술이 복잡해지면서 고려할 리스크가 다양해지고 있다. 그만큼 기업들이 보안을 위해 고려해야 하는 사항이 많아졌다"고 덧붙였다.

특히 기업들이 신기술 도입에 속도를 내면서 관련 컨설팅 수요가 늘어나는 추세다. SK쉴더스는 최근 AI 신사업 보안성 검토, ISMS-P 인증, 공급망 보안 등에 주목하고, 디지털 환경 변화에 발맞춰 새로운 정보보안 컨설팅 분야를 개척하고 있다. 신기술이나 달라지는 법제 동향을 면밀하게 분석해 기업들이 변화하는 시장에 진출하고 대응할 수 있도록 서비스를 제공한다.

성 그룹장은 "최근 AI, 클라우드를 빼놓고는 IT를 얘기하기 힘들 정도가 됐다. 다만 이런 기술을 활용하다 보면 기존에 인지하지 못했던 리스크에 노출될 수 있다"며 "리스크를 어떻게 인지하고 대응하느냐가 중요한 과제인 만큼 컨설팅 수요로 연결되고 있다"고 업계 분위기를 전달했다.

◇산업계 화두는 생성형 AI 도입… "안전한 AI 활용 돕겠다"

최근 보안업계에서 AI와 연관된 중요한 화두는 보안 솔루션과 AI의 결합과, 민간의 안전한 AI 활용이다. 지난달 미국 샌프란시스코에서 열린 'RSA 콘퍼런스 2024'에서 참가한 기업과 전문가들은 AI를 활용해 보안 솔루션을 어떻게 진화시킬 지와, 기업들이 생성형 AI를 도입할 때 리스크를 어떻게 해결할 수 있을 지에 대해 머리를 맞댔다.

SK쉴더스가 제공하는 AI 컨설팅은 생성형 AI 도입 과정에서 일어날 수 있는 리스크를 해소할 수 있도록 지원하는 것이 골자다. AI 모델과 서비스를 기획하는 단계에서부터 보안을 고려해야 하고, 방대한 데이터를 수집할 때 개인정보 처리 기준이 법령에 부합하는지에 대해 분석해야 한다. 또 데이터 학습과 서비스 제공 단계에서 개인정보, 민감정보, 생체정보 등이 유출되지 않도록 보안 체계를 점검하고 수립해야 한다.

성 그룹장은 "기업과 기관들이 챗GPT와 같은 생성형 AI를 도입하는 과정에서 개인정보 이슈, 기업의 내부 정보 유출 등 복잡한 상황을 해결하는 것이 우선"이라며 "기업들은 이에 대한 고민을 시작했다. 이에 대한 해답을 제공하기 위해 컨설팅 기업 내부에서도 고려해야 할 부분이 매우 많다"고 말했다.

SK쉴더스는 이와 관련한 체계적인 컨설팅을 제공하기 위해 청사진 작업을 하고 있다.

◇리스크 높아지는 공급망 보안… "보안체계 점검으로 지원"

공급망 보안도 중요한 화두다. 기업이 내부적으로 보안체계를 잘 운영해도 협력사 등 공급망이 뚫리면 쓸 방법이 없다. 대기업과 거래하는 협력사가 랜섬웨어 공격을 당해서 공장이 멈추다 보니 납품 시기를 못 맞추는 일이 실제로 발생하면서 관련 심각성이 커진 상황이다. SK쉴더스는 수탁업체 보안, 협력사 보안 점검과 오픈소스 보안 강화 체계를 만드는 것에 집중한다.

성 그룹장은 "기업들이 개인정보를 위탁하는 수탁업체에 대한 보안과 협력사 보안을 체계적으로 관리하고 점검하는 과정을 지원한다"면서 "또 IT 개발 과정에서 오픈소스 활용 의존도가 높아지고 있는데 리스크가 분명히 존재한다. 이 부분에 대한 보안을 강화하는 차원의 체계와 솔루션을 구축하도록 돕는다"고 말했다.

그는 "은행권이 가장 빠르게 오픈소스 보안관리 체계를 수립하고 솔루션을 도입하고 있다"며 최근 화두인 소프트웨어자재명세서(SBOM)는 사업화를 위한 준비 단계라고 덧붙였다.

SK쉴더스는 금융·공공부문 보안 컨설팅을 국내에서 가장 많이 수행한 노하우와 경험을 바탕으로 기업의 비즈니스 혁신을 위해 신기술과 신규 법령을 지속적으로 반영한 보안 컨설팅 서비스를 제공한다는 구상이다.

그는 "국내에 보안 컨설팅 기업이 30곳 정도 있는데, SK쉴더스가 그중 가장 잘 하는 것은 오랜 기간 공공·금융·제조 등의 분야에서 축적한 역량을 바탕으로 고객들이 감내할 수 있는 현실적인 방안을 맞춤형으로 제공하는 것"이라며 "연간 150건 이상 컨설팅을 하고 있고 컨설팅조직 외에도 클라우드 등 각 그룹별로 컨설팅 전담 조직을 두고 있다. 이들을 모두 합하면 300명 정도 되는데, 인원이 많은 만큼 쌓인 노하우도 많다"고 밝혔다.

김영욱기자 wook95@dt.co.kr