[人터뷰] 끊이지 않는 위협, 우리가 지켜야 할 것들 – 블룸에이아이 보안 전문가들

최근 몇 달 새 국내외에서 개인정보 유출 사고가 잇따르고 있습니다.

수백만 건의 고객 정보가 하루아침에 외부로 유출되거나, 랜섬웨어·피싱 공격으로 기업 운영이 마비되는 사례도 심심찮게 들려오는데요.

블룸에이아이에게도 보안은 결코 가볍게 여길 수 없는 영역입니다. 상담 기록, 개인정보, 메시지 히스토리 등 고객사의 핵심 자산을 다루기 때문에, 이를 지키는 일은 곧 서비스 신뢰와 직결되기 때문입니다.

블룸에이아이는 이러한 환경 속에서 사전 대비와 전사 보안 문화를 강화해왔고,
그 결과 지난 6월 정부 주관 사이버 위기 대응 모의훈련에서 ‘우수기업’으로 선정되는 성과를 거두기도 했는데요.

✔️블룸에이아이는 어떤 기준과 문화로 보안을 관리해왔을까요?
✔️AI 시대, SaaS 기업으로서 앞으로 해결해야 할 과제들은 무엇이 있을까요?

이번 인터뷰에서는 정보보호 최고책임자(CISO) 헨리와 보안 전략 매니저 한스를 만나 그 이야기를 직접 들어봤습니다.

“안녕하세요, IT 기획팀장이자 블룸에이아이 정보보호 최고책임자 헨리입니다.
IT 기획팀에서는 정보 보호 업무와 자산관리, 인프라 운영 관리 등을 담당합니다.”

“헨리를 보좌하고 있는😎 IT 기획팀 한스입니다. 실무 전반을 맡고 있습니다.”

🛡️우리는 매일, ‘보안’합니다

세 가지 원칙으로 일상적인 보안 체계 만들기

Q. 블룸에이아이 IT 기획팀은 어떤 일을 하나요?

헨리 : 저를 포함해 총 6명의 팀원이 IT 기획팀에서 일하고 있습니다. 주로 세 가지 영역을 맡고 있어요. 사내 인프라와 서비스 운영, 보안 업무가 가장 핵심인데, 인프라는 AWS와 NCP 환경을 나눠서 관리하고 있고요.

이 외에도 IT 자산과 계약, 사내에서 사용하는 각종 소프트웨어나 서비스까지 저희가 전반적으로 운영하고 관리하고 있습니다.

한스 : 쉽게 말하면, 회사의 기반을 설계하고 지키는 역할을 한다고 보시면 됩니다.

특히 SaaS 기업인 만큼 고객사의 민감 정보 등 중요한 로그를 안전하게 보호하는 데 큰 비중을 두고 있어요. 직접 보안 정책을 수립하고, 주기적인 점검을 통해 체계적으로 운영되도록 관리하고 있죠.

헨리 : 저희 팀의 원칙은 ‘선제 대응’이에요. 최신 침해사례나 공격 패턴을 꾸준히 분석하고, 우리 환경에서 취약할 수 있는 지점을 먼저 점검하죠.

정책만 만든다고 되는 게 아니라, 운영 환경도 계속해서 최신 상태로 유지돼야 하거든요. 정기적인 보안 패치와 OS 업데이트도 그 일환입니다.

Q. 민감한 데이터를 다루는 만큼, 블룸에이아이만의 보안 관리 체계가 있다면요?

헨리 : 크게 기술·인력·프로세스 세 축에 집중하고 있습니다. 기술적으로는 데이터 암호화 범위를 넓히고, 클라우드 보안 관제 솔루션을 도입했어요. 서버 접근 통제도 강화했고요.

인력 측면에서는 보안 전문 인력을 확충하고, 전사 보안 교육을 정기적으로 진행하고 있습니다. 또 프로세스 면에서는 국제 표준에 맞춰 보안 정책을 수립하고, ISMS 인증을 획득·유지하기 위한 활동을 꾸준히 이어가고 있어요.

한스 : 여기에 더해 실제 위기 대응 역량을 키우기 위해, 시나리오 기반 모의 침투 테스트와 침해사고 대응 훈련을 정기적으로 시행하고 있습니다. 단기적인 보안 성과뿐 아니라 장기적으로 기업 신뢰를 쌓는 데도 필수적이라고 생각해요.

ISMS 관련해서는 기존 루나소프트에서 운영하던 카카오 비즈메시지와 통합인증 서비스는 이미 인증을 받은 상태고요. 현재는 해피톡, 상담콜, 해피싱크 같은 서비스에 대해서도 인증 심사를 진행 중입니다.

올해 루나소프트와 엠비아이솔루션이 통합되면서, 블룸에이아이 전체 기준으로 인증을 재정비하고 있고요. 올해 하반기 내로 모든 서비스에 대한 ISMS 인증을 완료할 예정입니다.

Q. 이렇게 구축한 보안 체계가 사내에 잘 정착되기 위해서는 구성원 모두의 인식도 중요할 것 같은데요. 전사 보안 문화는 어떻게 만들어가고 있나요?

한스 : 정기적인 모의 훈련을 통해 보안 인식을 높이고 있어요. 특정 부서만이 아니라 전 직원이 대상입니다. 보안은 전사 협업이 필요한 일이기 때문에, 실제 사고가 났을 때 어떻게 움직일지가 중요하거든요.

예를 들어, 이메일 피싱 대응 훈련이나 해킹 사고 발생 시 시나리오 훈련을 진행합니다. 한국인터넷진흥원(KISA)이나 고객사 등 유관기관에 빠르게 통보하고 조치하는 과정까지 실전처럼 연습하고요. 특히 개발 부서를 비롯한 여러 팀이 함께 참여해, 위기 상황에서도 유기적으로 협력할 수 있도록 훈련하고 있습니다.

🛠️실전에서 증명된 보안 역량

평범한 일상이 만든 특별한 성과

Q. 꾸준한 보안 훈련의 결과일까요? 지난 6월에는 블룸에이아이가 정부 주관 모의훈련에서 우수기업으로도 선정됐어요.

헨리 : 네, 올해 얻어낸 값진 성과 중 하나인데요. 과학기술정보통신부와 KISA가 주최한 ‘2025년 상반기 사이버 위기 대응 모의훈련’이었습니다. 이번 훈련은 역대 최대 규모로 진행됐어요. 688개 기업, 약 25만 5천 명이 참여했죠.

이 훈련은 단순히 점검하는 수준이 아니라, 실제 해킹이나 침해사고 상황을 가정한 실전 시나리오로 구성돼 있습니다. 예를 들어, 이메일 피싱이나 악성코드 유포, 내부 계정 탈취 같은 현실적인 위협을 바탕으로 침투부터 탐지, 대응, 복구까지 전 과정을 점검하는 방식이었어요.

저희는 고객 데이터 보호를 최우선 가치로 두기 때문에 매년 자발적으로 참여하고 있습니다. 올해도 적극적으로 훈련에 임했고, 그 결과 우수기업으로 선정되는 좋은 성과를 얻게 됐습니다.

Q. 이번 훈련에서 특히 중점을 둔 부분은 무엇인가요?

한스 : 올해 AI 기술이 주요 이슈로 떠오르고 있잖아요. KISA에서 진행한 이번 훈련은 실제 공격 사례를 참고해 AI 시나리오 기반의 APT(지능형 지속 위협) 대응 훈련을 중점으로 진행했습니다.

저희는 두 가지에 집중했어요. 하나는 임직원이 악성 메일을 얼마나 빨리 신고하는지, 또 하나는 우리 IT 기획팀이 얼마나 신속하게 초동 대응을 하는지입니다.

이번 우수기업 선정은 그런 협업 체계가 실제로 잘 작동했다는 걸 의미한다고 생각해요.
평소 진행해온 보안 교육과 모의훈련의 성과가 자연스럽게 드러났다고 볼 수 있죠.

Q. 일상적인 준비가 가장 큰 힘이 된다는 걸 증명한 사례 같아요.

헨리 : 사실 이번 훈련을 진행하면서 특별히 어렵거나 예외적인 상황은 없었어요. 그래서인지 저희 입장에선, 평소처럼 했던 일이 좋은 평가로 이어졌다는 게 오히려 좀 놀랍기도 했고, 솔직히 의외였죠.

저희는 평소에도 피싱 메일 대응, 디도스(DDoS) 공격 대응, 전사 정보보호 교육, 보안 인식 캠페인 같은 활동을 꾸준히 진행해왔고요. 이번에도 초동 조치부터 상황 통지, 후속 개선까지 일관된 프로세스를 적용했습니다.

결국 이런 일상적인 준비와 대응 체계가 훈련에서도 자연스럽게 발휘되면서, 우수기업 선정이라는 결과로 이어졌다고 생각해요.

Q. 내부 훈련이 외부 성과로까지 이어졌는데요, 이번 선정은 팀과 회사에 어떤 의미로 남았나요?

헨리 : 밖으로는 회사의 보안 역량을 객관적으로 인정받은 계기였고, 안으로는 블룸에이아이 구성원 모두가 보안을 ‘IT 기획팀의 일’이 아니라 모두의 책임으로 인식하게 된 전환점이었습니다.

특히 보안 실무자 입장에선 이번 선정이 전문성과 역할을 공식적으로 인정받은 사례로 느껴졌고요.

그동안 시나리오 기반 보고서를 만들고, 형식적인 절차가 아닌 실제 상황을 가정한 대응 체계를 꾸준히 준비해왔거든요. 그런 노력들이 단순한 내부 작업을 넘어, 실질적인 성과로 이어졌다는 점에서 의미가 크다고 생각합니다.

회사 입장에서도 ‘보안이 정말 중요한가?’처럼 다소 추상적이었던 인식이, 이번 기회를 통해 명확해졌어요. 이제는 전문성을 바탕으로 주도하는 업무라는 인식이 자리 잡았고, 보안 담당자의 위상도 훨씬 높아졌습니다.

무엇보다 이번 경험은 IT 기획팀의 정체성과 전문성을 사내에 알리는 계기가 됐다고 생각해요. 실제로 ISMS 대응이나 취약점 조치 작업을 할 때, 개발자분들이 훨씬 더 협조적으로 피드백을 주시고 있고요. 가장 큰 성과이자 긍정적인 변화라고 느낍니다.

🚀 AI 시대의 보안 과제

뚫리지 않는 시스템만큼 중요한 건 ‘회복력’

Q. 최근 보안 사고가 빈번하게 발생하고 있어요. 현장에서 어떤 점을 가장 주의 깊게 보고 계신가요?

한스 : 최근 보안 사고를 겪은 기업들 중에도 ISMS 인증을 보유한 곳이 많았습니다. 그만큼 ISMS는 ‘완성’이 아니라 기본을 갖췄다는 출발점에 가깝다고 생각해요.

결국 중요한 건, 인증 이후 내부 보안 체계를 얼마나 정교하게 운영하고 고도화하느냐입니다. 위협은 반복되고, 공격은 더 정교해지기 때문에 보안 역시 지속적으로 관리하고 개선해야 합니다.

헨리 : 무엇보다 경계해야 할 건, 편의성과의 충돌입니다.

실제로 보안 정책이나 개발 보안 적용 과정에서, 고객 편의를 이유로 절차가 생략되는 경우가 종종 있어요. 하지만 이런 선택이 반복되면, 작은 빈틈이 누적돼 큰 사고로 이어질 수 있습니다.

그래서 그런 ‘보안 홀(hole)’을 단순히 비효율로 치부하지 않고, 경각심을 갖고 주기적으로 점검하는 문화가 필요하다고 봅니다.

최근 발생한 여러 사고들도, 기술적 방어만으로는 충분하지 않다는 사실을 보여줬어요. 지속적인 모니터링과 대응, 재발 방지 체계, 전사적 협업이 반드시 병행돼야 합니다.

저희도 늘 스스로에게 되묻습니다.

우리는 ‘뚫리지 않는 시스템’을 설계하지만, 뚫렸을 때를 감지하고 차단하며 복구할 수 있는 ‘회복력’도 갖추고 있는가?

Q. 기술이 진화할수록 위협도 정교해질 수밖에 없는 것 같은데요. AI 시대를 맞아 기업이 새롭게 마주한 보안 과제는 뭘까요? 특히 블룸에이아이는 어떤 준비를 하고 있나요?

헨리 : 저희도 늘 고민하는 부분인데요.

회사의 경쟁력을 높이려면 새로운 AI 기술을 빠르게 도입하고 실험해보는 게 중요합니다. 하지만 그 과정에서 우리 보안 체계에 어떤 취약점이 생길 수 있는지를 함께 점검하지 않으면, 도입 자체가 위험이 될 수 있습니다.

문제는 요즘 기술이 너무 빠르게 퍼지다 보니, 안전성을 검토하거나 내부 기준을 마련하기도 전에 이미 현업에 적용되는 경우가 많아요. 이를 어떤 정책이나 기준으로 평가할지 결정하는 데 어려움이 있습니다.

그럼에도 불구하고, 누군가는 이 부분에 계속 집중해 고민하고 정책을 만들어야 합니다.
기술 도입에만 몰두하다가 내부 보안을 무너뜨리는 일이 없도록 하기 위해서죠.

그래서 블룸에이아이 IT 기획팀에서는 각 부서에서 어떤 AI 도구를 사용하고 있는지 현황을 체계적으로 모니터링하고, IT기획팀이 관리할 수 있는 범위 내에서만 활용되도록 기준을 마련할 계획입니다.

한스 : 헨리가 말씀하신 것처럼, AI 도구를 활용할 때 가장 중요한 건 구성원 개개인이 내부 보안 정책을 얼마나 잘 준수하느냐 입니다.

그래서 저희는 신규 AI 도입 초기 단계부터 보안 검토 프로세스를 적용하는 걸 올해의 핵심 과제로 삼고 있어요. 특히 내부 데이터를 활용하는 AI 도구의 경우, 도입 전 보안성 검토를 반드시 거치도록 정식 절차를 만들 계획입니다.

더불어 내부 데이터를 AI에 활용할 때는 필요에 따라 꼭 필요한 접근 권한만 부여하는 ‘최소 권한 원칙’을 기반으로 하는 정책을 정비해 나갈 계획입니다.

Q. 기술과 서비스가 급변하는 시대, 보안은 변화의 중심에서 어떤 역할을 해야 할까요? 두 분이 정의하는 보안이 궁금합니다.

한스 : 보안은 트렌드라고 생각합니다.

AI 같은 최신 기술이 발전할수록 사이버 공격도 함께 진화합니다. 그래서 내부 보안 기술과 정책도 시대에 맞게 계속 고도화되고 발전해야 합니다.

기술 변화에 발맞춰 최신 보안 방법론을 꾸준히 적용하는 유연함, 그것이 지금 우리가 가져야 할 태도라고 생각해요.

헨리 : 보안은 즉시 조치입니다.

정해진 정답이 있는 분야가 아니라, 그때그때 상황에 맞게 빠르게 대응하고 개선해가는 일이라고 생각합니다. 필요하다고 판단되는 조치를 미루는 순간, 그 공백은 곧 취약점이 되니까요.

‘언젠가’가 아니라 ‘지금 당장’ 할 수 있는 것부터 실행하는 것, 그것이 제가 생각하는 보안의 기본입니다.

🚀 보안은 디딤돌

헨리 : 회사의 개발 퍼포먼스나 생산성을 높이려는 흐름 속에서, 보안이 때로는 걸림돌처럼 보일 때가 있습니다.

그래서 보안 담당자들은 단순히 ‘이건 해야 합니다’라고 말하기보다, 지금 우리가 처한 상황을 정확히 분석하고 그에 맞는 대안을 경영진이 이해할 수 있는 언어로 설명할 수 있어야 한다고 생각해요.

보안은 단순히 막기 위한 일이 아니라, 지키고 성장하기 위한 투자라고 봅니다. 조직이 보안의 본질적인 가치를 이해하고, 선제적으로 준비하고 투자해야 기술도, 서비스도, 고객 신뢰도 함께 커질 수 있거든요.

그리고 그 시작은 보안을 말하는 사람들의 이야기에 먼저 귀 기울여주는 것, 거기서부터라고 생각합니다.