4월 10일, 카카오뱅크·카카오페이·카카오엔터테인먼트 등 카카오 주요 계열사의 보안 담당자들이 판교에 소집됐다. 카카오엔터프라이즈가 주관한 클라우드 보안 세미나인데, 흥미로운 건 이 자리에 팔로알토네트웍스·F5·센티넬원·아카마이까지 글로벌 보안 업체 네 곳이 동시에 참석했다는 점이다. 단순한 사내 교육이 아니다. 카카오 그룹 전체의 보안 아키텍처를 재편하겠다는 선언에 가깝다.
SECaaS — 보안을 '서비스'로 쓰겠다는 선택
카카오엔터프라이즈가 전면에 내세운 카드는 SECaaS(Security as a Service)다. 카카오클라우드 위에 보안 기능을 서비스 형태로 올려놓고, 각 계열사가 필요한 만큼 꺼내 쓰는 구조다.
이게 왜 필요한지 카카오 그룹의 사정을 생각하면 자연스럽다. 카카오뱅크는 금융규제를, 카카오페이는 결제 PCI 인증을, 카카오엔터테인먼트는 콘텐츠 저작권 보호를 각각 챙겨야 한다. 동시에 카카오톡이라는 거대한 공통 플랫폼 위에서 서비스가 돌아간다. 계열사마다 보안 솔루션을 따로 도입하면 비용도 문제지만, 그룹 차원의 일관된 가시성을 확보하기가 어렵다.
SECaaS 모델은 이 딜레마에 대한 카카오의 답이다. 중앙에서 거버넌스를 유지하되, 계열사 특성에 따라 유연하게 적용 가능한 보안 레이어를 제공한다. 비유하자면 아파트 관리사무소가 공동 방범 시스템은 일괄 관리하면서, 각 세대의 현관문 비밀번호는 세대주가 정하도록 하는 것과 비슷하다. 이 구조가 실제로 얼마나 유연하게 작동할 수 있을지는 아직 두고 봐야 하지만, 방향 자체는 꽤 합리적이다.
공격면이 넓어진 진짜 이유
1년 전까지만 해도 AI 보안 논의는 "프롬프트 인젝션 방어"나 "모델 출력 필터링" 수준에 머물렀다. 지금은 판이 다르다. AI 에이전트가 내부 API를 호출하고, 외부 도구에 접근하고, 데이터베이스를 쿼리한다. 사람이 아닌 기계 계정이 기업 시스템을 누비기 시작한 것이다. 이달 발간된 Thoughtworks Technology Radar 34도 똑같은 지적을 했다 — "에이전트가 기능적으로 유용할수록 더 넓은 권한을 요구하며, 이것이 보안의 핵심 긴장"이라고.
제로트러스트, 이제 슬로건이 아니라 인프라
이번 세미나에서 네 업체의 발표 주제를 보면 하나의 패턴이 읽힌다.
| 업체 | 발표 주제 | 핵심 키워드 |
|---|---|---|
| 팔로알토네트웍스 | Zero Trust 전략 | 지속적 검증 |
| F5 | AI 런타임 보안 | ADSP, 앱 계층 보호 |
| 센티넬원 | APT 대응 대화형 AI | 자동 위협 식별 |
| 아카마이 | 마이크로 세그멘테이션 | 내부 확산 차단 |
전부 "경계 안에 들어왔으면 안전하다"는 전통적 모델을 부정하는 방향이다. 특히 아카마이의 마이크로 세그멘테이션은 네트워크를 잘게 쪼개서 침투자의 횡이동 자체를 물리적으로 차단한다. AI 에이전트 환경에서 이게 더 중요해지는 이유가 있다. 에이전트 하나의 권한이 탈취당하면, 그 에이전트가 접근할 수 있는 모든 시스템이 잠재적 피해 범위가 되기 때문이다.
KISA도 비슷한 맥락에서 'AI-ZT 성숙도 모델'을 연구 중이다. AI와 제로트러스트를 결합한 성숙도 프레임워크를 만들겠다는 건데, 기업 입장에서는 자체 보안 수준을 진단하고 다음 단계를 정하는 기준표로 활용할 수 있다. 아직 결과물이 나오진 않았지만, 정부가 이 방향으로 움직이고 있다는 사실 자체가 시그널이다.
그룹 단위 보안이라는 새로운 축
이번 사례가 시사하는 건 "카카오가 보안 세미나를 했다"가 아니다. 한국 테크 대기업들이 보안을 개별 회사 이슈가 아닌 그룹 인프라 차원으로 격상시키고 있다는 점이다.
카카오만의 이야기도 아니다. 네이버도 4월 말 그린팩토리에서 AI 레드팀과 공격면 관리를 주제로 보안 실무자 세미나를 예고했고, 금융보안원은 올해 AI 레드팀 전담 조직을 정식 신설했다. 업종은 다르지만 움직임의 방향은 같다 — AI 도입 속도를 늦출 수 없으니 보안 거버넌스를 먼저 깔아두자.
과거 클라우드 전환기에도 비슷한 패턴이 있었다. 처음엔 각 팀이 알아서 AWS 계정을 만들다가, 어느 순간 FinOps와 중앙 거버넌스가 등장했다. AI 보안도 그 경로를 밟고 있다. 다만 속도가 훨씬 빠르다. 클라우드 거버넌스는 5년 걸렸는데, AI 보안 거버넌스는 1년 만에 이 단계에 왔다.
보안을 "비용"이 아니라 "플랫폼"으로 제공하겠다는 카카오엔터프라이즈의 시도가 성공할지는 모른다. 확실한 건 이런 실험이 필요한 시점이라는 거다. 에이전트가 사람보다 더 많은 API 호출을 하는 시대에, 보안을 각 계열사 보안팀의 근성에 맡기는 건 더 이상 전략이 아니니까.