한국기업보안협의회, ‘제85차 시큐리티 라운드 테이블’ 개최
김민수 기업보안협의회 부회장 ‘보안감사의 패러다임 전환’ 역설
“규정 준수 넘어 ‘회복탄력성’(Resilience) 검증해야, 감사-보안 조직 협업 필수”
[보안뉴스 조재호 기자] “보안 감사는 단순히 ‘규정 준수’를 체크하는 수준을 넘어야 합니다. 사고가 났을 때 비즈니스를 얼마나 빨리, 정상적으로 복구할 수 있는지 ‘레질리언스’를 증명하는 것이 핵심입니다.”
▲ 김민수 기업보안협의회 부회장이 강연을 진행하고 있다. [자료: 보안뉴스]
한국기업보안협의회(KCSC, 회장 신현구)에서 개최한 ‘제85차 시큐리티 라운드 테이블’(Security Round Table)에서 KCSC 김민수 부회장은 ‘최근 해킹 사고와 내부 감사의 역할’을 주제로 강연하며 급변하는 사이버 위협 환경에 대응해 내부 감사가 나아가야 할 방향성을 제시했다.
“보안 사고는 막을 수 없다...중요한 건 ‘회복력’”
김 부회장은 최근 해킹 사고 트렌드가 ‘랜섬웨어’와 ‘공급망 공격’으로 진화하고 있음을 지적하며, “기술적 방어만으론 사고를 완벽히 막을 수 없는 시대”라고 진단했다. 쿠팡이나 GS리테일 등 대형 기업들조차 내부통제 실패나 크리덴셜 스터핑 공격으로 대규모 정보 유출을 겪었다.
그는 “과거 감사가 다중인증(MFA) 적용 여부 같은 ‘통제 시스템 존재’ 확인에 그쳤다면, 이제는 사고 발생했을 때 통제가 실제로 작동하는지, 비즈니스 영향을 최소화하며 복구할 수 있는지 검증하는 ‘회복탄력성’(Resilience) 감사로 전환해야 한다”고 말했다.
기업 내부 감사, ‘적발’ 아닌 ‘가치 중심’으로
김 부회장은 내부 감사의 역할을 ‘디지털 리스크 통제자’(Digital Risk Controller)로 재정의했다. 단순히 누군가의 잘못을 적발하는 역할에서 벗어나, 데이터 기반의 자동화된 감사와 모의 훈련(Table-Top Simulation) 등을 통해 조직의 신뢰성을 보증하는 ‘파트너’가 돼야 한다는 것이다.
특히 감사 조직과 보안 조직 간 ‘협업’을 강조했다. 그는 “감사 조직은 보안의 기술적 깊이가 부족하고, 보안 조직은 운영에 매몰돼 객관성을 잃기 쉽다”며 “두 조직이 공동으로 ‘사후 강평’(Lessons Learned)을 제도화하고, 사고의 근본 원인(Root Cause)을 찾아 해결하는 프로세스를 정착시켜야 한다”고 말했다.
또 2026년 추진될 CEO 책임 강화와 예산 10% 의무화 등 개인정보보호 컴플라이언스 정책에 대비해 조직·인력·예산 등 다방면에서 선제적 대응이 필요하다고 조언했다.
김 부회장은 “인공지능(AI)과 사이버 리스크는 기업 생존을 위협하는 비즈니스 리스크가 됐다”며 “내부 감사가 ESG, 디지털 트러스트와 통합돼 기업 가치를 지키는 핵심 축이 돼야 한다”고 말했다.
KCSC는 2005년 창립된 산업보안 분야 전문가 집단이다. 국내 대기업 및 중소기업 보안책임자 및 담당자, 외국계 기업 CSO, 보안 관련 학과 교수, 관련 협회 담당자 등 80여명이 회원으로 참여하고 있다.
[조재호 기자(sw@boannews.com)]
김민수 기업보안협의회 부회장 ‘보안감사의 패러다임 전환’ 역설
“규정 준수 넘어 ‘회복탄력성’(Resilience) 검증해야, 감사-보안 조직 협업 필수”
[보안뉴스 조재호 기자] “보안 감사는 단순히 ‘규정 준수’를 체크하는 수준을 넘어야 합니다. 사고가 났을 때 비즈니스를 얼마나 빨리, 정상적으로 복구할 수 있는지 ‘레질리언스’를 증명하는 것이 핵심입니다.”
▲ 김민수 기업보안협의회 부회장이 강연을 진행하고 있다. [자료: 보안뉴스]
한국기업보안협의회(KCSC, 회장 신현구)에서 개최한 ‘제85차 시큐리티 라운드 테이블’(Security Round Table)에서 KCSC 김민수 부회장은 ‘최근 해킹 사고와 내부 감사의 역할’을 주제로 강연하며 급변하는 사이버 위협 환경에 대응해 내부 감사가 나아가야 할 방향성을 제시했다.
“보안 사고는 막을 수 없다...중요한 건 ‘회복력’”
김 부회장은 최근 해킹 사고 트렌드가 ‘랜섬웨어’와 ‘공급망 공격’으로 진화하고 있음을 지적하며, “기술적 방어만으론 사고를 완벽히 막을 수 없는 시대”라고 진단했다. 쿠팡이나 GS리테일 등 대형 기업들조차 내부통제 실패나 크리덴셜 스터핑 공격으로 대규모 정보 유출을 겪었다.
그는 “과거 감사가 다중인증(MFA) 적용 여부 같은 ‘통제 시스템 존재’ 확인에 그쳤다면, 이제는 사고 발생했을 때 통제가 실제로 작동하는지, 비즈니스 영향을 최소화하며 복구할 수 있는지 검증하는 ‘회복탄력성’(Resilience) 감사로 전환해야 한다”고 말했다.
기업 내부 감사, ‘적발’ 아닌 ‘가치 중심’으로
김 부회장은 내부 감사의 역할을 ‘디지털 리스크 통제자’(Digital Risk Controller)로 재정의했다. 단순히 누군가의 잘못을 적발하는 역할에서 벗어나, 데이터 기반의 자동화된 감사와 모의 훈련(Table-Top Simulation) 등을 통해 조직의 신뢰성을 보증하는 ‘파트너’가 돼야 한다는 것이다.
특히 감사 조직과 보안 조직 간 ‘협업’을 강조했다. 그는 “감사 조직은 보안의 기술적 깊이가 부족하고, 보안 조직은 운영에 매몰돼 객관성을 잃기 쉽다”며 “두 조직이 공동으로 ‘사후 강평’(Lessons Learned)을 제도화하고, 사고의 근본 원인(Root Cause)을 찾아 해결하는 프로세스를 정착시켜야 한다”고 말했다.
또 2026년 추진될 CEO 책임 강화와 예산 10% 의무화 등 개인정보보호 컴플라이언스 정책에 대비해 조직·인력·예산 등 다방면에서 선제적 대응이 필요하다고 조언했다.
김 부회장은 “인공지능(AI)과 사이버 리스크는 기업 생존을 위협하는 비즈니스 리스크가 됐다”며 “내부 감사가 ESG, 디지털 트러스트와 통합돼 기업 가치를 지키는 핵심 축이 돼야 한다”고 말했다.
KCSC는 2005년 창립된 산업보안 분야 전문가 집단이다. 국내 대기업 및 중소기업 보안책임자 및 담당자, 외국계 기업 CSO, 보안 관련 학과 교수, 관련 협회 담당자 등 80여명이 회원으로 참여하고 있다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
