[보안리더] 김창오 PM "AI보안, 한국이 세계 리더십 가질 수 있어"
"AI보안은 세계적으로 아직 성숙하지 않았습니다. 우리나라가 충분히 세계 리더십을 가지고 갈 수 있습니다. 지금이 딱 골든타임입니다." 김창오 정보보안 프로그램매니저(PM)는 20일 지디넷코리아와 인터뷰에서 "보안 패러다임을 AI 베이스로 완전히 바꿔야 한다"며 이 같이 밝혔다. 정보보안PM은 과기정통부와 국내 ICT 연구개발 총괄 공공기관인 정보통신기획평가원(IITP, 원장 홍진배)이 위촉한 보안 전문가다. 임기는 3년이다. 김 PM은 앞서 야놀자 CISO(Chief Information Security Officer)와 CPO(Chief Privacy Officer)로 4년 넘게 일하다 정보보안PM에 낙점, 지난달 19일부터 근무하고 있다. 그는 민간 기업에서 25년 넘게 보안 전문가로 일해왔다. 국내 대표적 보안 분야 글로벌 표준 활동 전문가이기도 하다. "공공영역은 중장기적 전략과 가치, 지속가능성이 중시돼 이 점이 인상적" PM으로서 지난 한달간 소회에 대해 "주변에서 꼭 맞는 옷을 입었다고 한다"면서 "한층 더 넓은 시야에서 국가 관점에서 보안 기술 방향성과 산업 생태계를 고민할 수 있는 기회를 얻게돼 매우 뜻깊게 생각한다. 민간에서는 실용성과 시장성을 중심으로 한 빠른 실행력이 중요했다면, 공공 영역에서는 보다 중장기적인 전략과 공공의 가치, 지속가능성이 중시된다는 점이 인상적"이라고 들려줬다. 이어 ICT 분야 국가 연구개발(R&D) 총괄 기관인 IITP와 일하면서 국가R&D 기획과 성과 창출이 단순한 기술 개발을 넘어 산업육성, 인재양성, 그리고 국제경쟁력 확보와도 직결된다는 것을 실감하고 있면서 "그동안의 민간 경험을 바탕으로, 실질적인 성과로 이어질 수 있는 현장 친화적이고 산업 연계적인 R&D 전략을 수립하는 데 기여하고 싶다. 공공과 민간의 간극을 메우는 가교 역할을 하겠다는 사명감을 갖고 임하고 있다"고 밝혔다. 그에 따르면, 정보보안 PM은 단순한 과제 관리자가 아닌, 국가 정보보호 연구개발(R&D)의 전략을 설계하고 방향을 제시하는 총괄 기획자 역할을 한다. 정보보호 기술 중장기 전략 수립과 국가 연구개발 투자 방향 기획, 민간 수요 조사 및 산업 연계, 기술 확산 전략 마련 등 정보보호 R&D의 전반을 책임진다. "기술, 산업, 정책이 만나는 교차점서 정보보안 R&D 생태계 설계하고 연결하는 전략가이자 조정자" 김 PM은 "물리보안부터 AI 보안, 양자내성암호 등 첨단 기술 전반에 대한 개발 방향을 제시하고, 산업과의 연계를 고려해 실효성 있는 전략을 수립하는 역할을 맡고 있다"면서 "디지털 전환과 초연결 사회에 대응하기 위한 보안 기술 고도화, 그리고 국가 사이버보안 역량 확보를 위한 전략 수립이 핵심 과제다. 기술개발에 그치지 않고, 국가 안보 강화와 정보보안 산업 경쟁력 제고로 이어지도록 해야 한다"고 강조했다. 이어 "정보보안 PM은 R&D사업 기획–공모–선정–관리–성과 확산까지 전 주기에 직접 관여해 기술성과 정책성, 산업성과 공공성을 균형 있게 고려해 총괄 조정자로서의 역할을 한다. 기술·산업·정책이 만나는 교차점에서 정보보안 R&D 생태계를 설계하고 연결하는 전략가이자 조정자"라고 설명했다. 김 PM은 보안 분야에서 여러 '최초' 타이틀도 갖고 있다. 2009년 12월 게임회사 재직시 개인정보경영시스템(BS10012) 인증을 세계 최초로 획득한 게 대표적이다. 2014년 9월에는 전자정보경영시스템(BS10008) 인증도 아시아 최초로 획득했다. 특히 그는 보안 관련 여러 글로벌 표준 제정에 큰 역할을 했다. 약 10년간 글로벌 표준 활동을 하며 7개 부문에서 에디터 역할을 끝마쳤고 3개 부문은 현재도 에디터로 활동하고 있다. 김 PM은 "그동안 빠르게 변하는 IT 플랫폼기업에서 보안과 프라이버시 전략을 수립하고 총괄하는 역할을 했다. 보안을 단순한 관리 영역이 아니라 비즈니스 성장의 핵심 동력으로 만들기 위해 늘 노력했다. 또 국제 표준 활동을 통해 그 해답을 찾고자 했다"면서 "현재 국제전기통신연합(ITU-T) SG17의 워킹파티3(Working Party3) 의장으로 보안 관리와 사이버보안, 스팸 대응 등 글로벌 정보보호 표준화 의제를 이끌고 있다"고 밝혔다. 그는 특히 중소기업의 정보보호 활동을 지원하는 데 관심이 많다. 개인정보를 안전하게 활용하면서도 혁신을 이룰 수 있게 돕는 X.1058 '개인정보 활용 가이드라인'과 자원이 제한된 중소기업의 효과적인 정보보호 활동을 지원하는 X.1053 '중소기업 정보보호관리체계 가이드라인'의 국제표준 개발 에디터로 활동하고 있다. 이외에도 자동차 보안, 애플리케이션 보안, 블록체인(ISO TC307) 분야 등 다양한 영역에서 국제 표준 개발과 협력 네트워크를 선도하고 있다. 김 PM은 "전 세계 전문가들이 노하우를 공유하고 치열하게 논의한 결과를 일관성 있게 정리한 문서가 국제표준"이라면서 "실무 환경에서 적극 활용하면 실패를 최소화하고 최적의 보안 활동을 할 수 있는 중요한 가이드라인이 된다. 과학기술정보통신부와 IITP의 정보보안PM으로서 국가 사이버보안 R&D 전략을 기획하며, 국제 표준 기구에서 쌓은 실무 경험과 글로벌 활동을 바탕으로 국가 정보보호 역량을 국제적으로 강화하는데 기여하겠다"고 강조했다. AI가 사회경제를 크게 변화시키고 있다. 보안도 예외가 아니다. 김 PM은 "AI기술이 사이버 공격을 더욱 정교하고 자동화한 방식으로 진화시키고 있다. 동시에 방어 측면에서도 위협을 더 빠르고 정확하게 탐지하고 대응할 수 있게 도와주고 있다"면서 "하지만 AI 편리함과 혁신 이면에는 새로운 보안 위협과 프라이버시 문제가 있다. 이제 AI 보안은 선택이 아닌 필수 과제가 됐다. 앞으로 AI를 활용한 자동화된 보안 체계 개발과 AI 자체가 만들어내는 지능형 위협에 대응할 수 있는 기술 확보에 집중하는 것이 중요하다"고 역설했다. 이어 AI가 적용되지 않은 보안을 상상할 수 없듯, 보안이 고려되지 않은 AI도 상상할 수 없는 시대가 됐다면서 "신뢰할 수 있는 디지털 세상을 만들기 위해서는 AI와 보안이 함께 진화해야 한다"고 짚었다. 최근 몇 년새 정부의 디지털 안보 강화 기조에 따라 보안 R&D 예산과 관심은 꾸준히 늘었다. 올해 IITP는 총 1조 5443억 원의 연구개발 예산을 투입한다. 이중 사이버보안 분야 예산은 약 1070억 원이다. 김 PM은 "미국, 유럽, 이스라엘 등 보안 선도국들과 비교하면 우리나라 기술 수준이나 민관 협력 구조, 국제표준 연계는 아직 차이가 있는 게 사실"이라며 "우리나라의 차세대 보안 기술 수준은 미국 대비 약 89.1%, 기술 격차는 0.9년 정도로 분석되고 있다. 앞으로는 원천기술 확보, 글로벌 시장을 겨냥한 상용화 전략, 전문 인력 양성 같은 부분에 더욱 집중해야 한다"고 해석했다. 최근 민간 참여가 확대되고, 중소기업과의 실용 기술 연계, 국제표준 기반 R&D 전략 수립을 본격화하면서 국내 정보보안 기술도 이제는 도약할 수 있는 중요한 전환점을 맞이하고 있다면서 "정책과 산업, 기술이 따로 움직이지 않고 유기적으로 연결될 수 있게 전략적으로 접근하고 있다. 또 민간, 학계, 산업계가 함께 협력할 수 있는 실질적이고 실행력 있는 기반을 만들어가는 데 힘을 쏟겠다"고 말했다. 올해 주목하는 R&D 분야는 AI기반 보안과 양자 대응 기술 그가 특히 올해 주목하고 있는 R&D 분야는 AI기반 보안 기술과 양자 대응 기술이다. 사이버 공격이 점점 더 지능적이고 자동화하고 있기 때문에, 공격을 사전에 탐지하고 자율적으로 대응할 수 있는 AI 기반의 능동형 보안 시스템이 이제는 필수라는 거싱다. "사람이 일일이 대응하기엔 한계가 있다. AI가 보안의 첫 방어선 역할을 해야 할 때가 왔다"고 짚었다. 양자 내성 암호(Post-Quantum Cryptography, PQC) 연구개발도 강조했다. 양자컴퓨팅을 현실화하면 기존 암호체계를 무력화할 수 있기 때문에, 이에 대비한 차세대 암호 기술 개발이 매우 중요하다는 것이다. 글로벌 경쟁력을 갖춘 보안 원천기술 확보 역시 우리가 놓치지 말아야 할 핵심 과제다. 김 PM은 "이제 보안은 단순히 막는 개념을 넘어, 기술 혁신과 산업 경쟁력의 기반이 되고 있다. 그만큼 정보보안 R&D는 우리 사회와 산업의 지속 가능성을 좌우하는 전략 분야"라고 밝혔다. 내년 정보보안 R&D의 핵심 이슈와 어젠다는 실용 중심의 보안을 들었다. 특히 AI 보안, 공급망 보안, 제로트러스트 보안이 주요 축이 될 것으로 예상했다. AI보안과 관련해 "앞으로도 계속 중요해질 것이다. AI 기술이 빠르게 발전하면서, 동시에 이를 악용한 사이버 공격도 훨씬 정교해지고 있다. 그래서 AI 모델 자체의 안정성과 신뢰성 확보, 프라이버시 보호, 그리고 데이터 조작이나 오용을 방지하는 기술을 본격적으로 연구해야 한다"고 말했다. 공급망 보안도 강조했다. 이젠 대기업 뿐 아니라 중소기업과 공공기관도 공격 대상이 되고 있기 때문이다. 소프트웨어와 하드웨어 전 주기를 보호할 수 있는 경량화한 보안 프레임워크가 더 중요해졌다면서 "이건 단순한 기술 문제가 아니다. 국가 전체의 디지털 신뢰 기반을 지키는 핵심 영역"이라고 밝혔다. 내부자 보안을 강조하는 '제로트러스트(Zero Trust)'에 대해서는 "내부라고 무조건 믿는 시대가 아니다. '항상 검증하고, 자동으로 신뢰하지 않는다'는 제로트러스트 원칙을 기반으로, 실제 조직 환경, 특히 클라우드 기반 환경에 적용 가능한 아키텍처와 보안 기술 개발이 핵심 과제가 될 것"이라면서 "내년이야말로 기술 혁신과 실용성, 그리고 국제 경쟁력을 함께 잡아야 할 아주 중요한 시점이 될 것"이라고 힘줘 말했다. 이어 AI와 보안에 대해서는 "AI가 세상을 빠르게 바꾸고 있다. 보안 분야도 예외가 아니다. AI는 우리 생활에 편리함과 혁신을 가져다주지만, 동시에 새로운 사이버 위협과 프라이버시 문제도 함께 커지고 있다. 특히 생성형 AI를 악용한 공격, AI 모델 도용, 데이터 조작 같은 위협들이 현실화되고 있다. 이제 AI가 공격 수단이 되는 시대인 만큼, AI를 활용한 방어 체계도 반드시 갖춰야 한다"고 밝혔다. AI 기반 침해 탐지, 자율 대응 시스템, 위협 예측 기술은 기존보다 훨씬 빠르고 정확한 대응이 가능하다면서 "중요한 건 '보안을 적용한 AI'가 아니다. '보안을 전제로 설계한 AI', 즉 'Secure by Design' 관점에서 AI 기술을 개발하고 활용해야 한다. 앞으로의 AI 시대에는 우리 삶의 안전을 위해 보안 의존도가 더 커질 수밖에 없다. AI 기술 발전 속도를 따라잡으려면 자동화·자율화된 보안 기술과 AI 신뢰성 검증 및 관리 체계도 함께 발전해야 한다. 지금이 AI 보안 연구개발을 전략적으로 추진할 골든타임"이라고 진단했다. 그는 어떤 PM으로 기억되고 싶을까. "현장과 정책, 기술을 효과적으로 연결해 실질적인 변화를 이끌어낸 PM으로 기억되고 싶다. 정보보안이 규제나 부담이 아닌, 산업과 사회의 지속 가능한 성장 기반이 되게 기여하는 것이 내 목표"라며 "특히 정보보호 R&D 기획과 전략을 통해 유니콘 기업을 발굴하고, 중소기업과 스타트업의 정보보안 역량 강화를 지원해 글로벌 경쟁력을 확보하도록 돕고 싶다"고 말했다. 이어 "국제표준 활동을 통해 우리나라 정보보호 기술과 정책이 세계 무대에서 인정받도록 힘쓰겠다"면서 "이런 성과를 통해 정보보안산업 생태계 도약과 국가 경쟁력 강화에 의미 있는 기여를 한 PM으로 기억됐으면 좋겠다"는 바람을 보였다. ◆김창오 정보보안PM 프로필 -73년생. 고려대 정보보호대학원 정보보호전공 박사 -2025년 ITU-T SG17 Working Party3 의장 -2025년 국내 및 해외 주요 8개 멤버사(그룹) ISO/IEC 27001/27701 인증 동시 획득 -2024년 올해의 CISO상 수상(한국CIO포럼) -2024년 디지털 정부 발전 유공(정보보호) 정부포상 장관표창 수상 -2022년 올해의 CPO상 수상(한국 CPO 포럼) -2021년 ITU-T SG 17 Q4(사이버 보안 & 스팸 대응 기술 연구반) 부반장, X.1233 개발 및 공개 -2021년 ITU-T X.1405 / X.1406 (분산원장기술) 국제표준 개발 및 공개 -2020년 ITU-T X.1371 / X.1372 / X.1375 (자동차 보안) 국제표준 개발 및 공개 -2017년 ITU-T X.1053 (중소기업 정보보호관리체계) 국제표준 개발 및 승인 및 공개 -2014년 PIPL (개인정보보호인증) 민간기업 최초 획득 -2011년 BS10008 (전자정보경영시스템) 아시아 최초 획득 -2009년 BS10012 (개인정보경영시스템) 세계 최초 인증획득 -2009년 ARS 전화인증 (이용자 계정보호) 서비스 업계 최초 적용 -2003년 IPS (Intrusion Prevention system) 국내 최초 론칭 -2000년 벤처 창업 아이디어 공모대회 우수상 및 벤처 기업 창업
