[보안리더] 금보원 김현민 팀장 "보안강국?...정책·기술·사람 3박자 맞아야"
금융보안원(금보원, 원장 박상원)이 5월말 디지털자산 전담 조직을 신설했다. 팀장에는 유명 해커 출신 김현민 씨를 승진, 선임했다. 금보원의 이번 조치는 금융당국의 디지털자산(가상자산, 토큰증권 등) 관련 정책을 지원하고, 가상자산거래소의 보안 수준 향상을 위한 것이다. 김 팀장은 다수의 해킹 방어 대회 수상 경력과 전문서적 출간 이력을 갖춘 최정예 화이트해커 출신이다. 2019년 네이버 버그바운티 명예의 전당에 오르기도 했다. 2014년부터 현재까지 국내해커그룹 NULL@ROOT에서 활동하고 있다. 금융보안원은 2015년 설립한 비영리 사단법인이다. 금융결제원 정보보호 조직과 코스콤 정보보호 조직, 금융감독원 산하 금융보안연구원 등 3곳이 합쳐져 탄생했다. 회원사는 205곳으로 주로 금융기관들이다. 금보원 설립에 앞서 2013년 KB국민카드, NH농협카드, 롯데카드 등 카드사들의 개인 회원 정보가 외부로 대량 유출되는 사고가 있었고, 이런 일에 대응하기 위해 금보원이 만들어졌다. 최근 금보원 여의도 사무소에서 지디넷코리아와 인터뷰를 한 김 팀장은 "화이트해커라는 말이 멋있게 들릴 수 있지만, 그 본질은 끊임없는 도전, 실패, 그리고 학습의 반복이다. 꾸준함이 쌓이면 나중에 스스로 성장하고 있음을 느낀다. 저도 지금도 해킹 공부가 취미라고 말한다. 이 일을 즐길 수 있어야 오래간다"고 말했다. 아래는 김 팀장과 일문일답 -실력파 해커 출신이다. 자기 소개를 해달라. 어떻게 보안과 인연을 맺게됐나? "온라인에서 해커로 활동하는 내 닉네임이 시큐홀릭(secuholic, security holic)'이다. 이 단어가 나를 가장 잘 표현하는 것 같다. 시큐홀릭, 그야말로 보안에 푹 빠진, 보안에 미친 사람이다(웃음). 전공이 산업공학이다. 대학교 3학년때 우연히 외부 초청강연인 웹 해킹 교육을 듣고 해킹 매력에 빠졌다. 당시 강연이 너무 재미있었다. 들은 내용을 며칠 밤을 새며 따라했다. 외부 해커 강사가 강연중 "관리자 메뉴에 내 연락처를 숨겨놨다. 찾아보라"고 했다. 내가 교육생 중 유일하게 그 연락처를 찾아 강사에게 메시지를 보냈다. 이 일을 계기로 그 강사와 인연을 맺고 본격적으로 해킹 공부를 했다. 이후 해킹방어대회 출전, 서적 집필, 버그바운티 등 다양한 활동을 하며 꾸준히 실력을 쌓았다. 자연스럽게 실무도 공격자 관점의 보안 업무로 이어졌다. 지난 15년 가까운 시간 동안 시스템의 취약점을 찾고, 침해 가능성을 테스트하고, 개선 방안을 제시하는 일을 매일 해왔다. 특히 금융권을 겨냥한 실제 공격자들의 전술을 연구하고, 그들과 유사한 방식으로 점검을 수행해 선제적으로 침해사고를 막는 데 집중해 왔다. 현재는 금융보안원의 디지털자산보안팀장으로서, 우리나라 금융 인프라가 디지털자산이라는 새로운 패러다임 속에 보안 신뢰를 유지하는데 도움을 주기 위해 가상자산과 블록체인 보안 분야에 집중하고 있다." -금융보안원은 어떤 곳인가? 김 팀장이 속한 디지털자산보안팀도 궁금하다 "금융보안원은 2015년 설립됐다. 이후 금융권 전반의 사이버보안 대응과 디지털 금융환경을 위한 보안 기술 지원을 수행하고 있다. 사이버 위협 대응, 취약점 분석평가, 보안교육까지 종합적인 서비스를 제공하는 금융 특화 보안 전문 기관이다. 비영리 사단법인이다. 회원사는 205곳으로 주로 금융기관이다. 가상자산거래소 5곳도 최근 회원으로 가입했다. 내가 팀장을 맡고 있는 디지털자산보안팀은 최근 제도권에 본격 들어온 블록체인 기반 금융환경에 발맞춰 신설한 전담조직이다. 가상자산, 토큰증권, CBDC(Central Bank Digital Currency, 중앙은행 발행 디지털통화), 스테이블코인 등 블록체인 기술을 기반으로 하는 새로운 환경의 보안 이슈를 먼저 발견하고, 신속하게 대응하기 위한 팀이다. 현재 팀 구성은 나를 포함해 4명이다. 신기술을 기반으로 업권 전반적인 보안 업무를 수행하는 만큼 악성코드 분석, 포렌식, 모의해킹 등 각 분야 전문가들이 모여있다. 금융당국의 디지털자산 관련 정책을 지원하고, 가상자산거래소의 보안 수준 향상을 위해서 다방면으로 지원할 예정이다." -우리나라 가상자산거래소 보안 수준은 어떤가? "최근 바이비트(2조 원 규모), 인도 WazirX(3천억 원) 같은 대형 해킹사건들을 보면, 가상자산거래소는 한번 사고가 나면 피해 규모가 상상을 초월한다. 자산 특성상 공격자는 빠르게 자금을 세탁하고, 복구는 거의 불가능하다는 점에서 '보안은 곧 신뢰'라고 생각한다. 다행스럽게도 국내 거래소는 아직 이 정도 규모의 해킹을 당하지 않았고, 대부분 자체적으로 많은 노력을 기울이고 있다. 주요 거래소들이 보안 예산을 늘리고, 인력도 확충하는 등 꾸준히 체질 개선을 하고 있다. 다만, 업무에 사용하는 다양한 소프트웨어 또는 플랫폼을 통한 공급망 공격, 제로데이 취약점 공격, 국가배후 해커집단의 APT(Advanced Persistent Threat, 지능형 지속 공격)등 고도화한 위협은 단일 기관으로 대응하기 어렵다. 실제 많은 해외 해킹 사건들이 고도화한 위협에 의해 발생하곤 했다. 이 때문에 금융보안원은 전문적인 인텔리전스와 축적한 노하우를 지원해 안전한 디지털금융 시대를 열어가려고 한다." -거래소 외 국내 금융권의 보안 수준은 어떤가? 금융보안 강국이 되려면 어떻게 해야 하나 "우리 금융은 제도적 측면에서 매우 체계적으로 구성돼 있다. 세부적인 법령, 지침, 감독체계는 세계적으로도 손꼽힐 수준이다. 기술적인 기반도 다중 인증, 이상거래 탐지 시스템(FDS, Fraud Detection system) 등 충분히 강력하다고 생각한다. 하지만 진짜 보안 강국이 되기 위해서는 '사람'과 '기술', '정책'이 유기적으로 맞물려야 한다. 예를 들어, 비밀번호 정책을 아무리 강력하게 설정하더라도, 사용자가 'OOOOBANK1!' 같은 쉽게 유추 가능한 조합을 쓰면 아무 소용이 없다. 정책이 기술을 이끌고, 기술이 사람 실수를 보완하고, 사람은 그 모든 걸 실천하는 구조가 돼야 한다. 금융사용자 역시 보안의 최종 책임자라는 인식을 가질 수 있도록, 전 국민 보안의식 제고도 함께 가야 진정한 금융보안 강국이 될 수 있다." -가상자산이용자보호법 2단계 입법이 추진 중이다... "국회서 지난 6월10일 디지털자산기본법을 발의했다. 이 법안에는 디지털자산의 정의와 분류 스테이블코인, 디지털자산위원회 등 디지털자산과 관련한 포괄적 범위의 내용들이 포함돼 있다. 아직 추진중인 법안이기 때문에 세부적인 사항을 말하긴 힘들다. 금융보안원은 이러한 제도 변화에 맞춰 다양한 보안 이슈에 적절히 지원하기 위해 전담팀 신설과 디지털 자산 전문가 육성 등에 나서고 있다." -현재도 널루트(null@root) 소속 해커로 활동하고 있나 "그렇다. 현재도 소속돼 있고, 시간날때마다 새로운 기술 연구, 대회 참여 등 해킹과 보안에 대한 연구 활동을 하고 있다. 다양한 기술과 노하우를 서로 공유하고 열정에 자극받으며 함께 성장하려는 해커들의 커뮤니티다." -해커를 꿈꾸는 후배들과 동료들에게 한마디 한다면 "먼저 후배들에게는, 화이트해커라는 말이 멋있게 들릴 수 있지만, 그 본질은 끊임없는 도전, 실패, 그리고 학습의 반복이다. 꾸준함이 쌓이면 나중에 스스로 성장하고 있음을 느끼게 된다. 저는 지금도 해킹 공부가 취미라고 말한다. 이 일을 즐길 수 있어야 오래간다. 또 동료 해커들에게는, 지금 이 순간에도 금융앱과 전자결제, 보안 시스템 뒤에서 수많은 보안전문가들이 보이지 않는 전쟁을 치르고 있다. 저는 그런 분들께 항상 자부심을 가지시라고 말하곤 한다. 보안은 멋진 일이고, 빛나지 않아도, 누가 알아주지 않아도 그걸 묵묵히 해내는 여러분은 더 멋진 사람들이다." -대한민국이 사이버강국, 보안산업 강국이 되려면 어떻게 해야 하나? "한국 해커들은 이미 세계 무대에서 실력을 증명해왔다. 데프콘(DEFCON), CTF(Capture The Flag) 같은 국제대회에서 보여준 성과는 단순한 우연이 아니다. 꾸준한 실전과 집념의 결과다. 이제 필요한 건 그 실력을 펼칠 수 있는 토양, 즉 환경과 제도, 그리고 시장이다. AI 시대가 열리면서 보안에도 새로운 판이 열리고 있다. 공격자는 AI를 무기로 삼고 있고, 방어자는 AI로 전략을 재정의해야 하는 시대다. 보안은 변화를 뒤쫓는 게 아니라, 반박자 앞서 준비하는 영역이다. 우수한 인재가 보안을 업으로 선택할 수 있도록, 지속적인 투자와 관심, 그리고 보안을 '우선 가치'로 여기는 인식이 필요하다. 기술과 사람이 함께 자라는 생태계가 만들어질 때, 우리가 진정한 보안강국이 될 수 있다." -마지막으로 한마디 해달라 "15년간 시스템을 해킹하며 배운건, 결국 보안을 지키는 건 사람이고, 그 사람을 움직이는 건 문화라는 거다. 보안이 우선시 되는 문화를 만들어야 안전한 사회도 만들 수 있다." ◆ 김현민 팀장은 누구? -2021 고려대 금융보안학과 석사 -2011 코스콤 침해사고대응 부문 -2012~2015 금융결제원 취약점 분석평가 부문 -2015~2022 금융보안원 모의해킹 부문 -2023~2025 금융보안원 레드팀 RED IRIS 수석 -2025.06~현재 금융보안원 디지털자산보안팀장 ▲기타 이력 -2022 NATO LockedShields 한국대표팀 -2022 KISA AI빅데이터 챌린지 대상 -2021 KISA 해킹방어대회 대상 -2020 K-사이버시큐리티챌린지 AI악성코드분석트랙 최우수상 -2019 네이버 버그바운티 명예의전당 등재 -2016 보안전문서적 '윈도우시스템 해킹 가이드' 출간 -2014~ 국내해커그룹 NULL@ROOT 소속 활동 -2014 KISA SW 신규취약점 신고 2014 톱3 -2011 KISA/KISIA 악성코드분석대회 대상
