AI 시대, 속도와 안전을 동시에 설계하는 CISO

AI 활용이 일상이 된 지금, 보안이 다루는 문제도 빠르게 바뀌고 있어요. ‘회사 밖을 막는 것’만으로는 충분하지 않고, 어디서 어떤 도구를 쓰든 데이터가 안전하게 흐르도록 기본 설계를 다시 세워야 하는 시기입니다.

김태훈 리더가 여러 산업에서 쌓아 온 실무 중심의 보안 경험과 문제를 시스템으로 풀어내는 방식은, 핀다가 지향하는 “속도를 유지하면서 더 안전해지는 조직”과 자연스럽게 맞닿아 있습니다.

이번 인터뷰에서는 김태훈 리더가 핀다를 선택한 이유, AI 시대에 보안을 설계하는 관점, Security Information Division이 일하는 방식, 그리고 앞으로 함께하고 싶은 동료상까지 차근차근 들어봤습니다.

1. 소개 & 핀다를 선택한 이유

Q. 먼저 간단히 자기소개 부탁드립니다.

안녕하세요. 핀다에서 CISO를 맡고 있는 김태훈입니다. 저는 통신·게임·커머스·금융 등 다양한 산업을 거치며 보안 컨설팅과 솔루션 개발부터 취약점 진단/모의해킹, 침해사고 대응·모니터링, 악성코드 분석, ISMS 구축까지 폭넓게 경험했습니다.

제 경력의 중심에는 늘 “현장에서 작동하는 보안”이 있었어요. 기업 보안을 하면서 CERT, 레드팀/블루팀, 보안 엔지니어링 조직을 직접 빌딩하고 운영해 왔고, 두 명뿐이던 블루팀을 여러 동료들과 함께 40명 규모로 성장시키는 과정도 리드했습니다. 단순히 정책을 만드는 것에 그치지 않고, 실제 공격을 해보고(레드팀), 실제 공격을 막아보고(블루팀), 그걸 가능하게 하는 시스템을 구축하는 보안 엔지니어링까지 한 흐름으로 경험해 온 셈입니다.

저는 보안을 문서로만 남기기보다 시스템과 코드로 구현하는 쪽에 가깝습니다. MITRE ATT&CK 기반 탐지, TI 기반 사전 예방, 머신러닝 기반 이상징후 탐지까지 실무에 연결해 본 것도 같은 맥락이고요. 그런 경험을 할수록, “보고를 위한 보안”이 아니라 비즈니스 속도 안에서 실제로 문제를 풀어내는 보안을 끝까지 밀어붙여보고 싶다는 갈증이 더 커졌던 것 같아요.

Q. 여러 선택지 중에서 ‘지금 이 시점에 핀다’를 선택하신 이유가 궁금합니다.

제 커리어를 한 줄로 정의하면 “안주보다는 도전”에 가깝습니다. 전통적인 대기업 금융사에서도 일해봤지만, 보고서와 컴플라이언스를 위한 보안이 중심인 환경에서 아쉬움을 많이 느꼈어요. 진짜 문제 해결은 보고서 안에서가 아니라 현장과 시스템 안에서 일어나야 하는데, 그게 구조적으로 쉽지 않더라고요.

핀다를 보면서 느낀 건, “여기는 형식적인 보안이 아니라, 실제 문제를 풀어야만 살아남는 곳이겠구나.”였습니다. AI 기반 금융 혁신을 강하게 밀어붙이는 만큼, 보안도 실무형·엔지니어링 중심으로 갈 수밖에 없고요. 제가 중요하게 생각하는 ‘핸즈온 리더십’과 핀다가 가는 방향이 잘 맞는다고 느꼈습니다.

무엇보다 이 환경이라면 제가 오래 갖고 있던 갈증을 제대로 풀 수 있겠다는 확신이 들었어요.

Q. 핀다에 오면서 “이 문제만큼은 꼭 내가 풀고 싶다”고 생각한 과제가 있었나요?

“AI 시대에 맞는, 작지만 가장 효율적이고 단단한 보안 조직과 정보보안 체계를 만드는 것입니다.”

예전처럼 “사람 많이 뽑고, 솔루션 많이 사서” 버티는 방식은 더 이상 통하지 않는다고 생각합니다. 이제는 보안에서도 1인당 생산성, 그러니까 “소수의 전문가가 기술을 통해 얼마나 큰 보안 가치를 내는가”가 중요해졌어요.

그래서 첫째로, 데이터 기반 정보보안 거버넌스를 만들고 싶었습니다. “우리 회사의 리스크 수준이 어느 정도인가요?”라는 질문에 감(感)이나 경험이 아니라, 실제 수치와 지표로 답할 수 있는 조직이 되고 싶어요.

둘째로, AI를 보안팀의 힘을 키우는 기술로 쓰는 것입니다. 단순 반복 업무를 자동화하는 수준을 넘어서,아래와 같은 영역까지 AI를 실무에 녹여서, 팀의 판단 속도와 품질을 끌어올리고 싶었습니다.

• 위협 분석

• 보안 코드 리뷰

• 정책 준수 여부 검증

결국 이 두 가지를 통해 작지만 빠르고 단단한 보안 조직, 그리고 핀다만의 신뢰할 수 있는 보안 체계를 만드는 것이 제가 핀다에서 꼭 해보고 싶었던 과제입니다.

2. 전략 – 안전과 속도를 함께 잡는 보안

Q. 전통 금융의 안정성과 테크 기업의 혁신 속도를 모두 경험하셨는데요. 핀다처럼 ‘안전’과 ‘속도’를 함께 가져가야 하는 상황에서, 태훈님만의 보안 철학은 무엇인가요?

저는 규제나 규정을 “활자 그대로” 보기보다, 그 문장이 만들어진 본질적인 취지를 먼저 해석하려고 합니다. 그리고 그 취지를 훼손하지 않는 선에서 비즈니스와 함께 갈 수 있는 현실적인 해법을 찾는 편이에요.

“안 된다”라고 말하는 건 사실 제일 쉬운 선택이에요. 하지만 스타트업, 특히 핀테크 스타트업에서는 “안전하게, 되게 만드는 방식”을 찾는 게 보안팀의 역할이라고 생각합니다.

이걸 실제로 되게 만들려면 결국 현장에 들어가야 합니다. 문서로 승인만 하는 방식으로는 속도를 지킬 수 없어서, 저는 제품/개발/인프라와 같은 테이블에서 함께 설계하고 필요한 부분은 직접 코드를 보거나 시스템을 만지며 풀어가는 핸즈온 리더십을 지향해요.

그리고 이런 방식이 가능하려면 AI와 자동화가 전제가 됩니다. 사람이 밤새 로그를 훑는 대신, 반복적이고 기계적인 부분은 자동화로 넘기고 보안팀은 위협 판단이나 설계처럼 “생각해야 하는 일”에 집중할 수 있어야 하니까요.

Q. 최근 여러 기업에서 보안 사고가 이어지고 있습니다. 이 흐름을 보시면서 “우리는 어떻게 달라야 한다”고 보시나요?

요즘 보안 사고들을 보면, 규정을 잘 지키고 인증을 받았다고 해서 안전하다고 말할 수 없는 시대가 왔다고 느낍니다. 그래서 우리는 “감독기관이 시키는 것만 하는 수동적인 보안”에서 벗어나 “우리 스스로 리스크를 찾아 없애는 능동적인 보안”으로 전환해야 합니다.

물론 ISMS, 감독 규정 준수는 기본입니다. 하지만 그건 말 그대로 “기본 체력”이고, 진짜 차이는 그 이후 허용된 범위 안에서 비정상 징후를 얼마나 빨리 발견하고 대응할 수 있느냐에서 생깁니다.

저는 그 방향성을 Zero Trust(제로 트러스트) 라는 키워드로 설명하고 싶어요. 외부 공격자뿐 아니라 내부 행위까지도 기본적으로 “신뢰하지 않는다”를 전제로 두고, 구조를 만드는 거죠.

• 우리 회사의 공격 표면(Attack Surface)을 계속 줄여 나가고

• 안팎의 모든 행위에 대해 이상 징후를 모니터링하고

• 문제가 되기 전에 먼저 발견해서 고치는 구조

핀다도 지금까지는 “누가 어디까지 접근할 수 있는가” 같은 경계 위주의 통제에 많은 에너지를 쏟았다면, 이제는 여기에서 한 발 더 나아가 모니터링/탐지 중심의 구조로 점점 무게중심을 옮기고 있습니다.

3. AI – AI를 쓰는 조직의 보안 설계

Q. 핀다에서도 AI 활용이 빠르게 늘어나고 있습니다. AI를 더 쓰면서도 안전하게 하기 위해 핀다는 어떤 준비를 하고 있나요?

핵심은 하나입니다.

“모든 AI 사용이 반드시 한 관문(AI 게이트웨이)를 통과하도록 만들자.”

저는 이걸 AI 게이트웨이(AI Gateway)라고 부르고 있어요. 모든 서비스나 시스템에서 생성형 AI를 호출할 때, 직접 외부 API를 두드리는 대신 반드시 게이트웨이를 경유하게 만드는 구조인데, 실수해도 사고로 이어지지 않게 만드는 구조를 먼저 만들어 두는 것이죠.

이렇게 되면 게이트웨이에서 어떤 모델을 쓰는지 / 어느 리전에 데이터가 전달되는지 / 입력 값에 민감정보가 섞여 있는지 / 출력 값에 위험한 정보가 포함되는지를 중앙에서 통제할 수 있습니다. 민감정보는 자동으로 마스킹하거나 차단하고, 개인(신용)정보가 포함된 요청은 국내 리전 모델만 쓰게 강제할 수 있죠. 그리고 모든 요청/응답을 로깅해서 사후 분석과 모니터링이 가능하도록 만드는 것이 중요합니다.

마지막으로, 아무리 좋은 게이트웨이를 만들어도 “우회해서 직접 호출하려는 시도”는 생길 수 있습니다. 그래서 게이트웨이를 통하지 않은 AI 호출을 탐지하고 알람을 보내는 체계까지 포함된 게 제가 생각하는 AI 가드레일의 기본 골격입니다.

Q. 생성형 AI를 쓰면서 가장 현실적으로 조심해야 한다고 보시는 리스크 시나리오는 무엇인가요?

기술적 가드레일이 있어도, 제가 가장 현실적으로 무섭다고 보는 건 “선의의 직원이 만든 정보 유출”입니다. 해킹 영화 같은 극단적인 시나리오보다, “업무를 빨리 잘해보려는 마음”에서 나온 행동이 돌이킬 수 없는 사고로 이어질 수 있거든요.

예를 들어 이런 상황이죠.

• 개발자가 버그를 빨리 해결하고 싶어서 에러 로그나 코드 조각을 통째로 복사해 외부 AI 챗봇에 붙여넣는데, 그 안에 고객 식별 정보나 인증 토큰 등이 섞여 있다.

• 기획/마케팅 담당자가 회의록을 요약하려고 회사 전략 문서나 제휴 계약 내용이 포함된 파일을 그대로 업로드한다.

여기서 핵심은 의도가 악의적이지 않다는 점입니다. AI가 일상이 되면서 AI를 “조금 더 똑똑한 검색창” 정도로 인식하기도 쉽고, 데이터가 어디에 저장되고 모델이 그걸 학습하는지에 대한 감각이 흐려질 수밖에 없어요.

그래서 저는 이 두 가지가 함께 가야 한다고 보고 있습니다.

• 기술적으로는 AI 게이트웨이에서 민감정보를 자동 필터링·익명화하고

• 조직 차원에서는 “어떤 데이터는 절대 외부 AI에 넣으면 안 된다”는 인식을 꾸준히 캠페인과 교육으로 심어주는 것

결국 회사가 안전한 기본값(구조)을 만들고, 구성원 모두가 그 기준을 공유할 때 AI 활용도 더 빠르고 안전해질 수 있어요.

4. 팀 – Security Information Division과 팀 컬처

Q. 태훈님께서 맡고 계신 Security Information Division 소개 부탁드립니다. 어떤 미션을 중심으로 일하고 계신가요?

Security Information Division은 크게 정보보안팀과 인프라팀 두팀으로 구성되어 있습니다.

정보보안팀은 핀다의 정보보안 정책을 설계하고, 실제 서비스를 안전하게 만들기 위한 기술적 통제까지 책임지는 팀으로 정책/거버넌스 파트와 기술 파트로 나뉘어요.

• 정책/거버넌스 파트 : 규제·정책·가이드·ISMS·감독기관 대응 등을 담당

• 기술 파트 : 접근제어, DB/서버 보안, 방화벽, VPN, DLP/DRM 등 각종 솔루션을 운영

인프라팀은  IDC와 AWS 클라우드를 중심으로 핀다 서비스가 안정적으로 동작할 수 있는 기반을 만들고 운영하는 팀입니다. 핀테크 서비스 특성상 장애나 지연이 곧 고객 신뢰와 직결되기 때문에 속도와 안정성 사이에서 최적의 균형을 찾는 역할을 하고 있습니다.

두 팀이 함께 모여 Division을 이루는 이유는 명확해요. 핀다의 폭발적인 성장을 안전하게 뒷받침하고, 고객에게 “믿고 맡길 수 있는 서비스”라는 신뢰를 제공하는 것이 우리 디비전의 최종 미션이기 때문입니다.

Q. Security Information Division만의 컬처/일하는 방식은 어떤 모습인가요? 한 줄로 표현한다면요?

한 줄로 표현하면 “성장하는 엔지니어(Growing Engineers) 그룹” 이라고 말하고 싶습니다.

여기서 ‘엔지니어’는 주어진 보안 체크리스트를 그냥 수행하는 사람이 아니라,“이건 왜 이렇게 되어 있을까? 더 나은 구조는 없을까?”를 고민하고 직접 손을 움직여 구현하는 핸즈온 전문가를 의미합니다.

그리고 ‘성장하는’은 지금 알고 있는 기술에 머무르지 않고 AI, 클라우드, 보안 아키텍처 같은 새로운 기술을 계속 탐구하면서 비즈니스 관점까지 함께 넓혀가는 사람이죠.

핀다는 “보안 따로, 인프라 따로”가 아니라 Secure Infrastructure라는 하나의 목표를 공유하고 있습니다. 그래서 직급이나 역할과 상관없이 아래와 같은 컬쳐를 지향해요.

• 문제가 생기면 같이 들여다보고

• 더 나은 방법이 보이면 자유롭게 제안하고

• “안 된다”보다 “이렇게 하면 될 것 같다”를 먼저 말하기

“어떻게 하면 더 편하고, 더 안전하고, 더 효율적으로 일할 수 있을까?”를 고민하고 그 답을 코드와 시스템으로 풀어내는 방식이 재미있는 분이라면, 이 팀과 잘 맞을 거에요!

Q. 지원자 입장에서, 핀다 Security Information Division에 오면 어떤 문제를 풀고, 어떻게 성장을 할 수 있을까요?

핀다는 단순히 “서버를 안정적으로 운영한다”, “보안 규정을 지킨다” 수준을 넘어, “빠르게 성장하는 AI 기반 핀테크의 신뢰와 속도를 기술로 직접 만들어내는 경험”을 하게 됩니다.

예를 들어, 아래와 같은 질문들에 대해 직접 자동화 도구를 만들고, IaC로 인프라를 개선하고, 데이터로 효과를 증명하는 과정이 자연스럽게 따라오게 될 거에요.

• “AI를 더 많이 쓰고 싶은데, 어떻게 하면 안전하게 자동화할 수 있을까?”

• “클라우드 비용을 줄이면서도 보안 수준은 더 올릴 수 있을까?”

이 과정에서 자연스럽게 보안을 이해하는 인프라 엔지니어, 코딩하는 정보보안 전문가로 성장하게 되고요. 두 영역을 연결할 수 있는 사람은 시장에서 굉장히 희소한 인재이기 때문에, 커리어적으로도 큰 자산이 될 거라고 생각합니다.

Q. 마지막으로 함께하고 싶은 분께 한마디와, 면접에서 꼭 보고 싶은 태도가 있다면요?

핀다는 치열한 스타트업 생태계에 있습니다. 그래서 우리는 단순히 “생존”이 아니라 “성장”을 갈망하고, 그 과정에서 나 자신의 가치를 증명하는 것에 즐거움을 느끼는 동료를 찾고 있습니다.

그러기 위해 인터뷰 과정에서 아래 두가지를 꼭 여쭙고 있어요.

1. 실패 경험이 있는가, 그리고 그걸 어떻게 소화했는가 실패가 없다는 건, 도전도 없었다는 의미일 가능성이 큽니다. “왜 실패했는지, 무엇을 배웠는지, 다음에는 어떻게 다르게 할 건지” 솔직하고 논리적으로 공유해주시는 분들과 함께 미래를 도모하고자 해요.

2. 스스로 학습하고 성장해 본 경험이 있는가 최근에 혼자 공부해본 기술이 있는지, 왜 공부했고 어디에 적용해보았는지 여쭤보는 과정에서 성장에 대한 태도를 확인할 수 있어요. 누가 시키지 않아도 자기 연료로 움직일 수 있는 사람인지가 빠르게 변하는 기술 환경 속에서는 가장 중요하니까요.

결국, 우리는 현재의 완벽한 기술력보다는 겸손하게 배우는 태도, 실패를 성장의 자산으로 바꾸는 회복탄력성, 스스로를 발전시키려는 의지를 가진 분과 함께하고 싶습니다.

그런 분이라면, 핀다에서 속도와 안전, 그리고 성장을 동시에 경험하실 수 있을 거라 확신합니다.

*핀다 정보보안팀에 합류하고 싶다면? 👉클라우드 정보보안 엔지니어 공고 확인하기

*핀다의 핵심가치가 궁금하다면? 👉핀다답게 일하는 방법, <핵심가치 2.0> 콘텐츠 보기

핀다 팀에 대해 더 알고 싶다면, 핀다포스트 ‘사람이 핀다’ 시리즈를 꼭 읽어주세요. :)