일상화된 사이버 위협, ‘휴먼 리스크’가 보안 관리 핵심
보안의 완성은 ‘사람’... 자발적 참여 가능한 문화 조성이 핵심 경쟁력

[보안뉴스 조재호 기자] 2025년은 해킹의 해로 기록될 전망이다. 그만큼 보안 사고가 끊이지 않았기 때문이다. SKT를 시작으로 YES24, SGI서울보증, 롯데카드, SK쉴더스, KT, LG유플러스, 쿠팡까지 익숙한 이름의 대기업 해킹 사고가 이어졌다.

이들의 공통점이 있다면, 고도화된 공격 기법이 아닌 인적 자원 관리 실패에서 비롯된 사고라는 점이다. 사고 원인은 직원의 실수 혹은 열악한 근무 환경, 아니면 개발 편의주의 같은 비즈니스 이슈가 보안보다 중요하다는 인식에 있었다.


[자료: gettyimagesbank]

2026년 국내 보안의 화두는 ‘본질’이다. 다시 처음으로 돌아가야 한다. 다양한 장비와 솔루션으로 보안의 기틀을 다졌다면, 이를 완성하는 것은 사람과 문화다. 공격에 앞서 이를 예측하는 ‘사전 예방’이나 보안 사고 이후에도 되돌아갈 지점을 설정하는 ‘디지털 회복탄력성’을 구축해야 한다.

최근 글로벌 IT 보고서들의 분석을 종합해보면, 사이버보안 사고의 80% 이상은 여전히 ‘사람’의 실수에서 비롯된다. 국내 상황도 마찬가지다. SKT를 시작으로 연말 충격을 안겨준 쿠팡까지 모두 인적 자원 관리 실패에서 비롯됐다.

많은 기업이 최신 솔루션을 도입하고 보안 투자를 집행하면서 정보보호 팀을 꾸렸지만, 보안 사고는 여전히 이어지고 있다. 이유는 단순하다. 개발자는 경고를 무시하고, 보안팀은 고립되어 있으며, 운영팀과 협업은 요원한 ‘사일로’(Silo) 현상 때문이다. 각자 업무에 충실하지만, 서로 격리된 상태로 정보 공유나 협력이 힘들어지고 있다.

한 보안 업계 전문가는 “보안 솔루션은 수단이지 목적이 아니다”라며 “아무리 최신식 솔루션을 도입해도 이를 운용하는 사람들의 자세가 바뀌지 않으면 밑 빠진 독에 물 붓기라는 사실을 깨달아야 한다”고 말했다.

그렇다면 2026년 필요한 ‘보안 문화’는 무엇일까? 문화를 조성하기 위해 의무 교육을 진행하고, 책상 위에 보안 수칙이 적힌 스티커를 붙이는 등 반복 학습이 필요한 부분일지도 모른다. 하지만 우측통행이나 지하철 두 줄 서기처럼, 누가 시키지 않아도 자연스럽게 보안을 고려하는 상태가 되기 위해선 부족한 부분이 있다.

앞으로 필요한 보안 문화 구축에는 비즈니스 프로세스와 통합이 필요하다. 특히 사고 책임을 전가하지 않고 공동의 책임이라는 인식 전환이 필요하다. 대부분 보안 사고를 실수한 직원의 탓으로만 돌린다. 이는 사고를 숨기게 만드는 부작용을 만든다.

보안 알림 피로와 반복되는 실수를 줄이기 위해서는 ‘실수를 공유하는’ 문화를 장려해야 한다. 발견된 취약점을 학습 목적으로 공유하고, 이를 빠르게 해결한 경험을 축적해야 한다. 보안 내재화(Security by Design)를 일상화해 개발자가 코드를 짜거나 캠페인을 기획할 때, 인사팀이 채용 정보를 관리할 때 등 기획 단계부터 보안을 고려하는 것이 당연한 문화가 돼야 한다.

예산 측면에서도 단순히 솔루션이나 관제 비용을 늘리는 것을 넘어 조직 문화를 바꾸기 위한 편성을 고려해야 한다. 기술적 실행과 문화적 실행이란 두 축의 균형이 필요하다.

문화 조성은 특정 시점의 캠페인이 아니다. 매일의 행동이 쌓여 만들어진 결과다. 아울러 보안 문화를 정착시키는 힘은 결국 ‘위’에서 나온다. 경영진의 이해와 지원 없이는 문화가 뿌리내릴 수 없다. CEO를 비롯한 이사회가 보안을 ‘IT 부서의 기술적 문제’가 아닌 ‘기업 존망이 걸린 리스크 관리’이자 ‘ESG 경영 핵심 지표’로 인식해야 한다.

2026년의 보안 성패는 ‘어떤 솔루션이나 시스템을 갖췄냐’가 아니라 ‘전 직원의 보안 인식’에서 갈릴 것이다. 작은 실천부터 공유해 보안이 특별한 이벤트가 아니라 숨쉬듯 자연스러운 일상이 되는 것. 2026년 우리가 지향해야 할 ‘제로트러스트’이자 ‘DevSecOps’의 완성이다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>