AIㆍML / 데이터ㆍ분석 / 보안

필리핀의 한 디지털 은행이 사이버보안에 AI 기반 접근 방식을 택한 이유

Michael Hill 2022.08.05
“디지털 뱅킹의 데이터 의존성은 사이버보안 및 리스크 관리에 대한 AI 기반 접근 방식이 성공에 필수적이라는 것을 의미한다.” 유니온디지털 뱅크(UnionDigital Bank)의 CISO 도미니크 그룬덴이 CSO에 한 말이다. 

필리핀의 디지털 경제에 힘을 실어주기 위해 유니온디지털 뱅크가 만들어진 속도를 고려할 때, 그룬덴과 팀에게 AI 기반 접근 방식은 더 큰 의미를 지닌다. 유니온디지털 뱅크는 필리핀 국민과 지역사회, 사업, 문제 해결사 및 규제 당국이 디지털 뱅킹, 핀테크, 블록체인 및 오픈 파이낸스 기술을 활용할 수 있도록 해준다. 설립까지 5개월밖에 걸리지 않았는데, 그룬덴에 따르면 이는 업계에서 유래없이 짧은 기간이었다. 
 
ⓒ Getty Images Bank

그룬덴은 회사의 전례 없는 성장과 디지털 뱅킹 영역의 복잡성에 보조를 맞추기 위해 처음부터 AI 우선 보안 정책을 채택하는 것이 필요하다고 판단했다. 이를 달성하기 위한 핵심은 CDO(Chief Data Officer)인 데이비드 R. 하둔 박사와의 원활한 관계였다. 두 사람은 자율 기술을 사용해 “진정으로 전체론적이고” AI로 강화된 보안 및 리스크 관리 전략을 수립했다.


AI 기반 사이버보안의 이점

필리핀에서는 디지털 금융 기술이 빠르게 확산하고 있다. 암호화폐와 기타 결제수단에 대한 수요와 의존도가 증가하고 있기 때문이다. 그룬덴은 “디지털 뱅킹에 전례 없는 기회를 제공하는 환경이지만, 새로운 디지털 범죄 시대를 예고하는 것이기도 하다. 복잡한 상호 연결성과 정의되지 않은 지형이 특징이고 전통적인 오프라인 은행과는 다르다. 엄밀히 말해 경계가 없다”라고 말했다.

디지털 뱅킹 분야의 가장 큰 과제는 위협 환경이 빠르게 변화하고 있으며, 범죄자들은 끊임없이 진화하고 더 많은 전자 기기를 사용하고 점점 더 정교해지고 있다는 것이다. 그룬덴은 “범죄자들은 비인격적이고 복잡하고 상호 연관되어 있으며, 인간이 따라갈 수 없는 데이터와 발전된 기술을 활용한다”라고 지적했다. 

유니온디지털 뱅크가 AI 우선 보안에 집중하는 것도 바로 이런 이유에서다. 그룬덴은 “고객과 고객 데이터를 보호하기 위해서는 방어적이면서도 공격적으로 따라가야 한다. AI로 인해 우리는 산업의 속도를 따라가고 있다고 느끼는 메커니즘을 얻었다. 이 메커니즘을 통해 개인과 소비자의 행동과 동기를 이해하고, 범죄 활동을 더 빨리 탐지하고, 금융 범죄를 퇴치할 수 있는 집단적 능력을 발전시킬 수 있다. 궁극적으로 이런 부분들은 디지털 뱅킹 영역 안으로 귀결된다”라고 말했다. 

그룬덴은 디지털 뱅킹이 단순한 금융이 아니라 고객의 데이터를 관리하는 역할을 할 것이라고 굳게 믿는다. 그룬덴은 “실시간 결제 차단 및 부정 행위 감지처럼 위험과 관련해 더 빠른 결정이 필요하게 될 것이다. 디지털 뱅킹이 더욱 확산하면 소비자 경험에 대해 더 높아진 기대치를 충족시키는 동시에 위반 행위를 더 빨리 감지하고 더 빨리 대응해야 할 것이다”라고 덧붙였다.


보안과 위기 관리 품질을 결정하는 데이터 투명성

하둔에 따르면, 데이터 투명성은 보안과 위기 관리 품질을 높이는 핵심이다. 방대하면서도 정확한 데이터 패턴 분석을 제공하는 AI는 유니온디지털 뱅크의 주요 보안 이점이라고 한다. 하둔은 “AI는 기본적으로 패턴 및 패턴의 불규칙성을 식별하고 이를 통해 비정상을 인식할 수 있는, 극도로 개인화된 서비스를 제공하는 능력에 대한 것이다. 보안, 거버넌스, 컴플라이언스 및 범죄 예방을 전제로 하는 것은 고객 서비스 제공에 있어 중요한 부분이자 목표다. 고객 서비스를 방어적인 관점에서 제공하기 위해 데이터가 필요하다. 데이터를 통해 행동을 동적으로 이해함으로써 위험을 효과적으로 관리할 수 있다”라고 말했다. 

 
ⓒ UnionDigital Bank
그룬덴도 동의하며, 데이터 투명성으로 위협 패턴에 대한 다양한 관점을 도출할 수 있다고 덧붙였다. 이런 관점은 향후 발생할 수 있는 새로운 위험을 디지털 뱅킹 동향에 기반해 식별하고 이해하는 데 도움이 될 뿐 아니라 탐지 및 대응에 드는 비용과 시간도 절감할 수 있다. 

하둔은 AI로 구동되는 데이터 분석으로 정책불응을 예측하도록 도와 달라는 요청을 받았을 때를 예로 들었다. “패턴이 있는지 확인하고 그 패턴을 통해 배우는 시스템을 구축하는 것이었다. 때로는 ‘불가능하다’가 답이지만, 이 경우에는 규정을 준수하지 않게 될 가능성을 2~3개월 전에 예측하는 것이 가능했다.”

100% 예상되는 위험은 없으므로 ‘가능성’이라는 용어가 중요하다. 가능성이 85%라는 것을 예상할 수 있다면, 발생한 후에만 대응하던 태세에서 미리 예방하는 태세로 전환할 수 있다. 하둔은 “어떤 측면에서는 틀렸다는 것을 증명하고 싶은 마음에 모든 통제와 조치를 취해 위험 발생 가능성을 낮추게 된다. 이 지점에서 위험 운영이 전환된다. 데이터를 사용하고 AI를 활용해 발생할 수 있는 문제를 찾아냄으로써 방지하기 위한 예방 조치를 취할 수 있다”라고 덧붙였다. 

이를 통해 유니온디지털 뱅크는 공격자를 단순 함정에 빠뜨리는 ‘바보 붙잡기(catching the idiots)’ 같은 방법에서 자체적인 자율 기술로 악성 캠페인을 진행하는 공격자를 저지하는 보다 정교한 방법을 실행해 공격 및 위협 방지 기능을 강화했다. 하둔은 “공격자들은 생각보다 훨씬 더 교묘해지고 있으며, 유니온디지털 뱅크의 시스템은 범죄자의 교묘함을 넘어선다. 우리는 고객을 위해 더 나은 서비스를 제공하고 더 적절하고 강화된 방어책 마련을 고민하고 있다. 궁극적으로 이런 접근 방식이 업계 전반에 확산해야 한다”라고 말했다. 그룬덴은 “유니온디지털 뱅크는 신생 은행이지만, 보안 기능은 많은 부분에서 성숙한 상태”라고 강조했다. 


AI 기반 보안 전략을 성공으로 이끈 요소

그룬덴의 팀은 사이버보안 전략을 강화할 수 있는 AI의 잠재력에 대한 기대감에서 동기 부여를 받았다고 한다. 그룬덴은 “우리 팀은 하둔의 팀이 현재 어떤 AI 솔루션을 가동 중인지, 개선을 위해 구축할 수 있는 것은 무엇인지 살펴본다. ‘기발한 제품’이기는 하지만 유니온디지털 뱅크에 적합하지 않은 제품 구입을 방지하기 위해서다. 우리가 원하는 것은 그 이상이므로 기능을 강화하고 구입 제품/서비스/플랫폼에 대한 한계를 넘어서기 위해 AI를 활용하는 것”라고 말했다.

그룬덴의 팀이 하둔의 팀과 특히 긴밀하게 협력하는 영역은 AI가 활약할 수 있는 분야다. 그룬덴은 “과거 일했던 기업에서는 이런 수준의 기대감과 참여를 경험한 적이 없다. 이런 기대감과 참여는 AI 우선 정책에 대한 기대감도 높인다. 그 결과 유니온디지털 뱅크만의 보안이 탄생했고, 직원들도 이를 완전히 받아들이고 있다”라고 설명했다. 

그룬덴과 하둔은 진정한 AI 기반 사이버보안은 전체론적이어야 한다고 강조했다. 유니온디지털 뱅크는 전체론적인 보안을 구현하기 위해 열정을 쏟고 있으며, 이는 곧 사이버보안 및 위험 관리와 관련해 AI의 엔드 투 엔드 애플리케이션을 운영할 수 있다는 의미다. 


AI 기반 사이버보안 전략의 당면 과제

하지만 AI 기반 사이버보안 전략을 추구하면서 반드시 생각해야 할 요소가 있다. 그룬덴은 “우선 AI 및 사이버보안과 관련한 인재가 더 많이 필요하다. AI 기술은 아직 초기 단계이므로 AI와 사이버보안 모든 측면에서 우수한 인재 풀을 만드는 데 비용이 많이 든다”라고 지적했다. 

또한 AI가 잘 이해되고 구현되고 사용되지 않으면 특정 방식으로 공격자에게 이점이 될 수 있는 것도 문제다. 그룬덴은 “더 많은 데이터가 더 많은 문제를 일으킨다는 상투적인 옛말이 있다. 유니온디지털 뱅크에서는 데이터를 구조화 방식 덕분에 이런 문제에 시달리지 않지만, 일반적으로 데이터를 서드파티 업체에 맡겨야 한다는 것이 문제다. 가령 유니온디지털 뱅크가 유럽에 기반을 두어 GDPR을 준수해야 한다면 더 어려운 과제가 될 것이다. 마지막으로, AI가 배치되는 방식에 인적 오류가 발생할 여지가 있다. 사람은 여전히 실수에 취약할 수 있다”라고 덧붙였다. 

AI를 보안 및 위험 관리에 적용할 때는 ‘좋은 위험’이 무엇인지 정의하는 것도 중요하다. 하둔은 “위험은 항상 존재하지만, AI는 훨씬 예리한 질문을 던진다. ‘어느 정도의 위험이 괜찮을까?’라는 질문이다. 이런 질문을 통해 기업의 위험 수준을 미리 파악할 수 있는데, 운영상의 관점과 매우 다르다는 것을 알아야 한다. 운영상 관점에서는 x, y 또는 z가 연이어 발생한 것을 보고 무언가를 빠뜨렸다는 것을 알게 된다. 제시된 위험 수준을 수용하지 않기로 결정하면 운영상 비즈니스 발전에 영향을 미칠 수 있으므로 산출량을 최대한 활용하는 방법에 대해 신중하게 고민해야 한다”라고 조언했다. 

하지만 그룬덴은 궁극적으로 사이버보안에서 AI의 이점이 이런 부정적인 측면이나 문제점을 훨씬 능가할 것이라고 전망했다. 


“AI, 사이버보안에서 점점 중요해질 것”

구체적으로 그룬덴은 사이버보안에 대한 AI 중심의 접근 방식이 디지털 뱅킹 부문을 넘어서 다른 분야에서도 필요하게 될 것이라고 봤다. 그룬덴은 “AI 중심 접근 방식은 많은 전문가의 생각보다 더 중요해질 것이다. AI는 향후 5년에서 10년 안에 ISO 표준이든 다른 형태로든 보안 표준으로 도입될 것이다. 특히 디지털 뱅킹의 경우, 조직이 사이버보안에 AI를 사용하지 않을 경우 불법이 되거나 일종의 규제 불이행이 될 가능성이 매우 높다고도 생각한다. AI는 디지털 뱅킹 업계가 위협 행위자 커뮤니티를 따라갈 수 있는지 판단하는 촉매가 될 것으로 생각하며, 위협 상황에 따라 그때그때 바뀌는 ‘나쁜 봇’이 ‘좋은 AI 위협 사냥 봇’의 역할을 할 때가 올 것이다”라고 말했다.

하둔은 “간단히 말해서 AI는 사이버보안 방어의 주요 구성 요소가 되어야 한다. 그렇지 않다면, 지금은 아니지만 언젠가는 크게 피해를 보게 될 것이다”라며 동의했다.
editor@itworld.co.kr
 Tags

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.