"기업 보안, 내부만으론 부족…협력사까지 관리 대상"

[아이뉴스24 권서아 기자] 인공지능(AI)를 활용한 사이버 공격이 정교해지면서 기업 보안의 관리 범위를 내부 시스템이 아닌 구매해 사용하는 정보기술(IT)·보안 솔루션과 협력사, 유지 보수 업체까지 포함해야 한다는 의견이 나왔다.

정유진 김앤장 법률사무소 변리사는 15일 대한상공회의소 중회의실에서 열린 '최근 사이버보안 위협과 기업의 대응 전략' 세미나에서 "AI를 활용한 공격으로 전문 분야에 맞춘 타깃형 침투가 이전보다 훨씬 수월해졌다"며 "취약점이 공개된 뒤 이를 실제 공격에 활용하기까지 시간이 급격히 줄어든 환경"이라고 말했다.

정 변리사는 "초기 침투 과정에서 확보한 접근 권한과 취약점을 수집·거래하는 전문 시장이 성장하고 있다"며 "보안 책임과 관리 범위가 기업 내부에만 머무르지 않는 구조로 바뀌고 있다"고 말했다.

이에 따라 보안 관리 범위가 기업 내부를 넘어 구매 솔루션과 외부 협력사, 유지보수 업체까지 논의되고 있으며, 기업 간 연결 구조가 보안 리스크로 작용할 수 있다는 설명이다.

정 변리사는 기술적 대응과 관련해 "테스트 장비나 유휴 장비처럼 관리가 느슨한 영역이 실제 침투 경로로 활용되는 사례가 적지 않다"며 "이런 영역이 보안 관리에서 상대적으로 취약해질 수 있다"고 말했다.

또 "서버는 결국 가장 중요한 자산인 만큼 접근 통제를 강화하고, 다중인증 적용과 계정 권한 최소화 같은 기본적인 보안 관리부터 철저히 해야 한다"고 강조했다.

이기주 회장 "사이버 보안, IT 이슈 넘어 경영 리스크로 부상"

이기주 한국CISO협의회 회장은 디지털 전환 확산에 따른 사이버 보안 정책 변화와 기업의 책임 확대를 강조했다.

이 회장은 "디지털 전환이 가속화되면서 해커가 공격할 수 있는 표면이 급격히 확대되고 있다"며 "개인정보 유출이 발생하는 순간 기업은 피해자가 아니라 국민 불안과 2차 피해의 책임 주체가 된다"고 말했다. 이어 "사이버 보안은 더 이상 IT 부서의 문제가 아니라 경영과 법적 책임의 영역"이라고 강조했다.

정부는 이에 따라 정보보호 공시 대상 확대, 정보보호 관리체계(ISMS)·정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증의 현장 점검 강화, 최고경영자(CEO)·최고정보보호책임자(CISO)의 책임 명확화 등 규제 강화를 추진하고 있다. 개인정보 유출 시 과징금을 매출액의 최대 10%까지 상향하는 방안도 검토 중이다.

이인환 변호사 "랜섬웨어, 수개월 잠복 후 폭발…초동 대응이 관건"

이인환 김앤장 법률사무소 변호사는 랜섬웨어 등 사이버 보안 사고 발생 시 기업의 법적 대응 체계 구축 필요성을 강조했다.

이 변호사는 "랜섬웨어 공격은 하루아침에 벌어지는 사건이 아니라 수개월, 길게는 수년간 기업 시스템을 관찰한 결과"라며 "파일 암호화뿐 아니라 계정 비밀번호 변경, 접근 차단 등으로 비즈니스 전체가 중단되는 최악의 상황으로 이어질 수 있다"고 경고했다.

그는 "랜섬웨어 공격 시 해커들은 기업 규모와 지불 능력을 계산해 몸값을 요구하며, 한국 기업이 명확한 타깃이 되고 있다"고 말했다. 이어 "해커 조직은 협상 프로토콜과 커뮤니케이션 채널까지 체계화돼 있어 단순한 기술 사고가 아니라 복합 위기 대응 문제로 접근해야 한다"고 설명했다.

이 변호사는 "사고 직후 IT·법무·홍보(PR)·경영진이 제각각 대응하면 메시지가 엇갈리고, 결과적으로 은폐·축소 대응이라는 오해를 받을 수 있다"며 "초동 단계부터 전사적 컨트롤타워(TF)를 구성해 원보이스 원칙으로 대응해야 한다"고 강조했다.

또 "침해사고 신고(24시간), 개인정보 유출 신고(72시간) 등 법정 기한을 놓치지 않는 것이 무엇보다 중요하다"며 "확정되지 않은 추측성 내용은 배제하고, 사실 중심의 간결한 신고와 커뮤니케이션이 장기적인 법적 리스크를 줄인다"고 덧붙였다.