침해 사고 터지면 규제기관 조사 등 압박 거세져
규제 리스크 피할 대응 체계 구축 필요
[보안뉴스 조재호 기자] “지난해부터 침해사고는 특별한 이벤트가 아니라 일상적 사고 중 하나가 됐습니다. 이제는 가벼운 접촉 사고는 대비하고, 치명적 사고로 번지는 것을 막는 데 집중해야 합니다.”
▲최광희 법무법인 세종 ICT 그룹 고문이 키노트 발표를 진행하고 있다. [출처: 보안뉴스]
23일 PIS FAIR 2026 키노트 발표에서 최광희 법무법인 세종 고문이 기술적 사전 예방의 한계를 지적하며 이같이 말했다. 최 고문은 “선의로 포장된 섣부른 초동 조치가 업무상 배임으로 해석될 수 있다”며 개인정보보호최고책임자(CPO) 주도의 치밀한 법적 방어막 구축을 조언했다.
그는 ‘사이버 침해사고로 직면하게 되는 기업의 위험과 CPO 대응 핵심 사항’을 주제로 한 발표에서 CPO가 사고 때 직면하는 3대 분기점으로 △증거 보존 △신고·통지 타이밍 △사전 점검을 지목했다.
회사는 사고 조사를 서둘러 끝내고 일상으로 복귀를 서두르는 경향을 보인다. 하지만 시스템 복구를 위해 악성코드를 즉시 삭제하거나 접속 로그를 지우는 실무진의 초동 조치가 오히려 수사기관의 조사를 방해하고 업무상 배임 등 형사적 ‘증거 인멸’ 리스크로 이어질 수 있다는 지적이다.
최 고문은 사이버 침해 신고율은 10% 미만에 불과하며, 실제 국내 사고는 연 2만건 이상에 달한다는 전망도 내놨다. 클라우드 도입 확산으로 기업들 IT 시스템 구조가 획일화되는 한편, AI 기술은 빠르게 발전해 해커들의 공격 역량이 커진 데 따른 것이다. 과거 3개월 이상 소요되던 해킹 과정은 최근 단 몇일로 단축됐다.
최근 SKT나 쿠팡 등 대형 보안 사고에서 11개 이상의 규제 기관이 동시에 들이닥쳐 기업 업무가 마비되는 현실에 대한 이야기도 이어졌다. 최 고문은 조사를 신속하게 마무리하고 일상으로 돌아가기 위한 사후 복원력, 즉 레질리언스(Resilience) 확보가 CPO의 핵심 역량임을 강조했다.
사고 조사 과정에서 피해 규모가 추가로 확인되는 것은 자연스러운 현상이지만 이를 은폐나 축소로 몰아가는 보도 프레임 문제도 지적했다.
CEO와 CPO의 형사 책임 및 징벌적 배상 내용이 추가된 개정 개인정보보호법과 정보통신망법 대응 방안도 소개했다. 사고 인지 시점 후 24시간(KISA 신고) 또는 72시간(개인정보위 신고) 안에 신고해야 하는 규정 준수하기 위한 ‘플레이북’ 구축이 필요하다는 의견이다.
나아가 ISMS-P 등 서류상의 형식적 체크리스트 점검에 안주하지 않고, 평시 도상훈련(TTX)과 모의 해킹을 반복해 조직의 실질적 위기 대응 수준을 끌어올려야 엄격해진 규제 당국의 잣대를 통과할 수 있다고 진단했다.
최 고문은 “사이버 사고는 더 이상 피할 수 있는 변수가 아니라 이미 발생을 전제로 한 상수”라며 “가벼운 접촉 사고를 줄이는 데 집착할 것이 아니라 조직을 파괴하는 치명적인 인사 사고를 막는 데 전사적 역량을 집중해야 한다”고 말했다. 무조건적인 기술적 방어에 매몰될 것이 아니라, 치밀하게 설계된 플레이북과 원본 보존 절차를 통해 사후 법적 리스크를 최소화하는 전사적 거버넌스 쇄신이 시급하다는 조언이다.
[조재호 기자(zephyr@boannews.com)]
규제 리스크 피할 대응 체계 구축 필요
[보안뉴스 조재호 기자] “지난해부터 침해사고는 특별한 이벤트가 아니라 일상적 사고 중 하나가 됐습니다. 이제는 가벼운 접촉 사고는 대비하고, 치명적 사고로 번지는 것을 막는 데 집중해야 합니다.”
▲최광희 법무법인 세종 ICT 그룹 고문이 키노트 발표를 진행하고 있다. [출처: 보안뉴스]
23일 PIS FAIR 2026 키노트 발표에서 최광희 법무법인 세종 고문이 기술적 사전 예방의 한계를 지적하며 이같이 말했다. 최 고문은 “선의로 포장된 섣부른 초동 조치가 업무상 배임으로 해석될 수 있다”며 개인정보보호최고책임자(CPO) 주도의 치밀한 법적 방어막 구축을 조언했다.
그는 ‘사이버 침해사고로 직면하게 되는 기업의 위험과 CPO 대응 핵심 사항’을 주제로 한 발표에서 CPO가 사고 때 직면하는 3대 분기점으로 △증거 보존 △신고·통지 타이밍 △사전 점검을 지목했다.
회사는 사고 조사를 서둘러 끝내고 일상으로 복귀를 서두르는 경향을 보인다. 하지만 시스템 복구를 위해 악성코드를 즉시 삭제하거나 접속 로그를 지우는 실무진의 초동 조치가 오히려 수사기관의 조사를 방해하고 업무상 배임 등 형사적 ‘증거 인멸’ 리스크로 이어질 수 있다는 지적이다.
최 고문은 사이버 침해 신고율은 10% 미만에 불과하며, 실제 국내 사고는 연 2만건 이상에 달한다는 전망도 내놨다. 클라우드 도입 확산으로 기업들 IT 시스템 구조가 획일화되는 한편, AI 기술은 빠르게 발전해 해커들의 공격 역량이 커진 데 따른 것이다. 과거 3개월 이상 소요되던 해킹 과정은 최근 단 몇일로 단축됐다.
최근 SKT나 쿠팡 등 대형 보안 사고에서 11개 이상의 규제 기관이 동시에 들이닥쳐 기업 업무가 마비되는 현실에 대한 이야기도 이어졌다. 최 고문은 조사를 신속하게 마무리하고 일상으로 돌아가기 위한 사후 복원력, 즉 레질리언스(Resilience) 확보가 CPO의 핵심 역량임을 강조했다.
사고 조사 과정에서 피해 규모가 추가로 확인되는 것은 자연스러운 현상이지만 이를 은폐나 축소로 몰아가는 보도 프레임 문제도 지적했다.
CEO와 CPO의 형사 책임 및 징벌적 배상 내용이 추가된 개정 개인정보보호법과 정보통신망법 대응 방안도 소개했다. 사고 인지 시점 후 24시간(KISA 신고) 또는 72시간(개인정보위 신고) 안에 신고해야 하는 규정 준수하기 위한 ‘플레이북’ 구축이 필요하다는 의견이다.
나아가 ISMS-P 등 서류상의 형식적 체크리스트 점검에 안주하지 않고, 평시 도상훈련(TTX)과 모의 해킹을 반복해 조직의 실질적 위기 대응 수준을 끌어올려야 엄격해진 규제 당국의 잣대를 통과할 수 있다고 진단했다.
최 고문은 “사이버 사고는 더 이상 피할 수 있는 변수가 아니라 이미 발생을 전제로 한 상수”라며 “가벼운 접촉 사고를 줄이는 데 집착할 것이 아니라 조직을 파괴하는 치명적인 인사 사고를 막는 데 전사적 역량을 집중해야 한다”고 말했다. 무조건적인 기술적 방어에 매몰될 것이 아니라, 치밀하게 설계된 플레이북과 원본 보존 절차를 통해 사후 법적 리스크를 최소화하는 전사적 거버넌스 쇄신이 시급하다는 조언이다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
