[보안리더] 이상운 KT CISO "방대한 데이터와 인프라 바탕 세계 수준 정보보호 달성"

금융권서 30년 있다 통신 온 지 3개월..."안심하고 사용할 수 있는 KT 만드는데 기여"

인터뷰입력 :2026/07/01 14:03    수정: 2026/07/01 14:04

"지난 3개월이 3년처럼 느껴졌습니다."

이상운 KT 정보보안실장(전무) 겸 CISO는 KT판교빌딩에서 최근 이뤄진 지디넷코리아와 인터뷰에서 "하루 하루를 치열히 보내고 있다"며 이 같이 밝혔다.

1967년생인 그는 작년 보안사고로 홍역을 치른 KT가 금융권에서 스카우트한 보안전문가다. 

첫 직장인 금융결제원(금결원)에서만 30년(1995~2025년)을 일했다. 금결원의 웬만한 대형 IT프로젝트는 다 그의 손을 거쳤다. 제로트러스트 기반 정보보호체계 구축 총괄(2024~2025년)을 비롯해 ▲클라우드 네이티브 기반 차세대 시스템 전환 총괄 ▲차세대 IT 인프라 구축 총괄(2022~2024년) ▲ 비상운영센터(제3센터) 구축 총괄 ▲금융권 오픈API 포털 구축 총괄(2020 ~ 2021년)을 지냈다. 

또 ▲제로페이와 서울페이 플랫폼 구축 PM ▲전국 가맹점 관리 및 정산시스템 구축 PM(2018~2019년) ▲금융권 OTP공동센터 구축 PM(2015 ~ 2016년) ▲DA(Data Architecture) 구축 PM(2012년) ▲채널통합 시스템 구축 PM(2009년)으로도 활동했다. CISO, CPO, CIO도 역임했다.

학부(서강대) 전공은 물리다. 컴퓨터에 관심이 많아 첫 직장 생활은 프로그래머로 시작했다. 개발을 10년 이상 했다. 금융에 날아다녔던 그가 물설고 낯설은 '통신'으로 왔다. 금융권의 주위 반응은 어땠을까. 말리지 않았을까. "왜 더 힘든 곳으로 가냐는 분들이 많았다. 하지만 나름 잘 할 자신이 있었다"면서 "금융이 단단한 성벽을 쌓는 보안이라면, 통신은 끊임없이 흐르는 거대한 강물을 지키는 보안이다. 금융권에서 30년간 근무하며 체득한 보안은 규제 중심의 철저한 통제와 망분리의 폐쇄성이 기본이었다. 성벽 안으로 위험이 들어오지 못하도록 완벽하게 문을 걸어 잠그는 방식이다. 반면, 통신사는 상상할 수 없을 정도로 방대한 규모의 트래픽과 서비스가 실시간으로 연결되는 개방형 인프라다. 문을 닫아 걸 수 없고, 끊임없이 흐르는 거대한 강물 속에서 위협을 실시간으로 탐지하고 걸러내야 한다. 양자간 이런 본질적인 차이가 있다"고 진단했다. 통신 업무를 시작한 지 이제 3개월인데 벌써 '업'의 본질을 파악한 듯했다.

이상운 KT 정보보안실장(CISO)이 자사의 보안정책과 전략을 설명하고 있다.

이 실장은 지난 4월1일자로 KT에 부임했다. 이로부터 한달 후(5월 7일)에 KT는 고강도 보안 체계 혁신안을 발표했다. 혁신안에는 ▲정보보안실 중심 ‘전사 통합 보안 거버넌스’ 구축 ▲제로트러스트 기반 ‘상시 예방·선제 대응’ 체계 전환 ▲개인정보 안전관리 체계 강화 등을 담았다.  혁신안 발표 당시 이 실장은 “보안의 기본부터 다시 세우겠다. 제로트러스트 기반의 상시 예방·선제 대응 체계를 통해 근본적인 체질 개선을 추진하겠다"고 말했다.

아래는 이 실장과 인터뷰 일문일답. 이 실장은 "그동안 짧은 시간이었지만 현장을 바쁘게 누비며 느낀 것은, KT가 가진 방대한 데이터와 인프라의 무게만큼 정보보호의 수준 역시 글로벌 최고 단계로 도약해야 한다는 것"이라고 강조했다.

-보안의 기본부터 다시 세우겠다고 했다. CEO가 전폭적으로 힘을 실어줘야 가능한데....

"대표가 첫 상견례자리에서 그랬다. 정보보호의 중요성을 깊이 공감하고 있고, 관련한 일에 전력을 쏟겠다고. 정보보호를 회사의 핵심 자산으로 여기겠다고 했다. CISO로서 충분히 역할을 당부하며 언제든 직접 보고해달라고 했다."

-벌써 취임한지 3개월이 지났다. 그동안 어떻게 지냈나

"지난 3개월이 3년처럼 느껴질 정도로 하루 하루를 치열히 보냈다. 지난 4월 1일 부임한 이후, 전체적인 업무 파악과 동시에 과거의 해킹 사고 사례들을 면밀히 복기하며 KT의 보안 수준과 체질을 확인하는 데 집중했다. 와중에 미토스(Mythos) 등장 등 대내외적인 이슈들이 이어졌다. 긴박한 현안에 유연하면서도 단호히 대응했다. 짧은 시간이었지만 현장을 바쁘게 누비며 느낀 것은, KT가 가진 방대한 데이터와 인프라의 무게만큼 정보보호의 수준 역시 글로벌 최고 단계로 도약해야 한다는 것이다. 이를 위해 지난 과오를 교훈 삼아 일회성 방어가 아닌, 근본적인 보안 체계를 재정립하는 보안 마스터플랜을 수립했다. 지난 3개월이 KT 보안의 현주소를 확인하는 시간이었다면, 앞으로는 이 마스터플랜을 바탕으로 고객이 가장 안심하고 이용할 수 있는, 신뢰할 수 있는 KT를 만드는 데 모든 역량을 쏟아부을 생각이다."

-금융권에서 30년 근무하다 통신사로 왔다. 양자가 차이가 있을 것 같다

"그렇다. 많은 차이가 있다. 금융이 단단한 성벽을 쌓는 보안이라면, 통신은 끊임없이 흐르는 거대한 강물을 지키는 보안이다. 금융권에서 30년간 근무하며 체득한 보안은 규제 중심의 철저한 통제와 망분리의 폐쇄성이 기본이었다. 성벽 안으로 위험이 들어오지 못하도록 완벽하게 문을 걸어 잠그는 방식이다. 반면, 통신사는 상상할 수 없을 정도로 방대한 규모의 트래픽과 서비스가 실시간으로 연결되는 개방형 인프라다. 문을 닫아걸 수 없고, 끊임없이 흐르는 거대한 강물 속에서 위협을 실시간으로 탐지하고 걸러내야 한다. 본질적인 차이가 있다. 이 거대한 인프라를 들여다보면서, 금융권의 엄격한 거버넌스와 촘촘한 통제 DNA를 통신의 유연하고 방대한 시스템에 어떻게 접목할지 깊이 고민하고 있다."

-학부 전공이 물리다. 보안과 어떻게 인연을 맺었나

"일단 수학은 잘했다(웃음). 대학에서 물리학을 전공했지만, 컴퓨터와 개발의 매력에 빠져 첫 커리어는 프로그래머로 시작했다. 코드를 짜다 보니 이 프로그램들이 구동되는 인프라의 세계가 궁금해 시스템 엔지니어로 영역을 넓혔다. 이후 전체적인 IT 인프라 판을 짜고 구조를 설계하는 IT 아키텍트로 성장했다. 인증과 암호 관련 업무도 맡았는데 이때 자연스레 보안과 인연을 맺었다. 프로그램이 어떻게 돌고 시스템이 어떻게 맞물리는지 그 본질을 알고 있다.  보안을 이해하고 접근하는데 많은 도움이 된다."

이상운 KT 정보보안실장(전무) 겸 CISO. 금융결제원에서 30년 근무하다 올 4월 1일 부임했다.

-KT 정보보안실은 기존 보안조직을 통합해 새로 만들어졌다. 하는 일과 예산 및 인원은?

"IT, 네트워크, 미디어 등 부문별로 분산돼 있던 기존 보안 기능을 하나로 통합, 전사적인 보안 거버넌스를 총괄하는 조직으로 KT 정보보안실이 탄생했다. 현재는 CISO를 중심으로 권한, 책임, 실행 체계를 일원화, 보다 체계적인 보안 환경을 구축했다.

한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면, 지난해 KT의 정보보호 전담인력은 290.2명(내부 172.3명, 외주 인력 117.9명)이고 예산은 1250억 원이다. 예산은 통신 3사 중 KT가 제일 많다. 보안에 대한 과감한 투자와 전문 인력 역량 강화는 KT가 가장 역점을 두고 추진하는 핵심 전략이다."

-CPO도 최근 새로 채용했다. CPO 조직과는 어떤 차이가?

"CISO가 사이버 위협 대응, 정보 자산 보호, 보안 아키텍처 구축 등 전반적인 보안 운영을 총괄한다면, CPO는 개인정보 적법 처리와 고객 정보 전주기 관리라는 개인정보보호 중심 역할에 집중한다. 각자 영역은 다르지만, 고객정보 보호와 서비스 신뢰

확보라는 궁극적인 목표는 동일하다. 두 조직이 독립적인 책임과 권한을 갖되, 긴밀히 협력하는 체계를 유지하고 있다. 외형상 CPO도 내 밑에 있다."

-보안체질을 개선하고 제로트러스트 기반 상시 예방과 선제 대응으로 근본적인 체질 개선을 추진하겠다고 했다. 잘 되고 있나

"보안 체질 개선이라는 방향성은 명확하다. 현재 계획에 따라 차질없이 진행중이다. 핵심은 사후 대응 위주였던 기존 방식을 선제적 예방 체계로 근본부터 전환하는 것이다. 이를 위해 KT의 보안 프레임워크를 더욱 실효성 있게 고도화하고 있다. 투자와 기획단계부터 보안 기준을 엄격히 적용하고, 개발 및 구축 이후 점검하는 방식에서 탈피, 설계와 도입 단계부터 취약점을 원천 차단하는 구조로 패러다임을 바꾸고 있다. 또 AI를 기반으로 진화하는 보안 위협에 효과적으로 대응할 수 있게 제로트러스트 아키텍처 목표 모델을 현행화하는 작업에도 속도를 내고 있다."

-AI발 사이버 위협에 사전대비, 통신사 특성에 맞춘 자체 AI보안 에이전트를 개발하겠다고 했는데...

"국가 기간통신망 사업자로서 통신망 및 통신 서비스 안전성을 확보하기위해 AI를

활용한 선제적인 보안위협 대응체계를 준비하고 있다. 보안 환경은 빠르게 변화하고 있다. 공격자는 AI를 활용해 자동화 및 지능화한 공격을 가하고 있다. 신속한 대응을 위해 AI기반의 선제적이고 자동화한 진단 체계로 전환하는 것이 필수다.

 KT정보보안실도 프론티어AI 및 프라이빗 모델을 활용한 AI 보안에이전트를 개발하는 등 AI보안진단체계를 구축하고 있다. 이미, 인터넷 접점 서비스에 시범적용, 이를 통한 진단을 수행하고 있다. 오는 2027년까지 AI기반의 자동화 진단체계 완성을 목표로 작업중이다. 단계별 적용 및 확장을 통해 전체 서비스의 보안 위협을 실시간 발굴하고 조치하는 상시 진단체계도 가동할 예정이다."

-보안 관제 개편과 공격자 관점에서 내부를 점검하는 '레드팀'을 통한 상시 모의해킹 체계를 갖췄다고 했다. KT의 레드팀 실력은?

"기존 보안 관제는 사전에 정의된 룰 기반의 방어에 치중했다. 이는 고도화하는 변칙적 공격과 미세한 이상 징후를 포착하는 데 물리적 한계가 있다. 이에 KT는 부문별로 파편화된관제 체계를 하나로 통합하고, AI 기반 지능형 분석 역량을 내재화, 위협 탐지부터 대응까지 관제 정확도를 극대화하는 방향으로 개편을 추진하고 있다.

레드팀은 철저히 외부 공격자 시각에서 KT의 보안 허점을 파고들고 검증하는 정예 조직이다. 단순 모의해킹 수준을 넘어, 실제 침투 시나리오를 바탕으로 잠재적 취약점을 상시 발굴해 우리 방어 체계가 잘 작동하는지 면밀히 점검한다. 현장 보안 수준을 지속적으로 고도화하고 개선하는 상시 검증 체계를 확립하는 것이 레드팀 운영의 지향점이다. KT의 레드팀은 내가 보기엔 국내 최고 수준이다. 보안 특화 에이전트도 우리 회사 레드팀이 만들었다."

이상운 실장이 직원들과 회의를 하고 있다.

-작년 잇달은 대형 해킹 사고와 개인정보유출로 정부가 잇달아 사이버보안 강화 대책을 내놨다. 통신사 입장에서는 그만큼 지켜야 할 컴플라이언스가 많아졌는데

"정부의 정책 방향성은 보안 생태계 조성을 위해 필요하고 또 타당한 접근이다. 제도와 현장 실행력이 유기적으로 결합할 때 실질적인 보안 수준이 올라간다고 본다. 단순히 규제와 점검 항목을 확대하는 것만으로는 근본적인 변화를 이끌어내기에 한계가 있다. 기업이 자율적인 책임하에 선제적 대응 체계를 고도화할 수 있게 투자 여력과 현장 상황을 고려한 정책이 필요하다고 생각한다."

-100% 완벽한 보안은 없다. 공격은 드러나 있지 않다. 또 1인도 가능하다. 반면 방어는 그렇지 않다. 공격과 방어가 비대칭 구조다.  와중에 '보안사고 제로'는 유지해야 한다.

"맞다. 사이버 보안은 필연적으로 방어자가 불리한 비대칭의 전쟁이다. 하지만 방어자가 가질 수 있는 주도권에 집중할 필요가 있다. 공격자가 언제든 침투할 수 있다는 전제하에, 침투가 발생해도 즉각 인지하고 피해를 최소화하는 회복 탄력성이 중요하다. 공격자가 남긴 미세한 흔적을 AI와 자동화 탐지 체계를 통해 실시간으로 가시화하고 사전 취약점 진단 및 제거로 상시 예방과 선제 대응, 방어자에게 유리한 국면으로 이어가야 한다."

관련기사

-금융권에서 30년 활동하다 통신으로 왔다. KT에서 어떤 족적을, 어떤 CISO로 기억되고 싶나?

"보안 때문에 KT서비스를 이용한다는 확신을 고객에게 심어준 CISO로 기억되고 싶다. 고객들이 KT라는 브랜드를 떠올릴 때, 내 개인정보와 데이터까지 가장 안전하게 지켜주는 곳이라는 믿음을 가질 수 있게 하고 싶다. 고객 일상에 보안이 보이지 않게 스며들어 안심하고 디지털 라이프를 누리게 하는 것, 그래서 결국 그것이 KT서비스를 선택할 수밖에 없는 이유가 되는것, 그런 보안 체계를 만드는 것이 내가 KT에서 하고 싶은 일이다."