【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스][PIS FIAR 2026] 해킹으로 알아낸 비리 신고한다는 해커... 레질리언스, 단지 인프라 문제일까?

온카뱅크관리자

2026-06-23 16:37:33

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="1vdwUKMVsE">
 “레질리언스는 조직 전체 책임, 당당히 지원 요구하라” 법조계 “롯데카드는 성공적 대응 사례” “최악 시나리오 가정해 투명한 공개 원칙으로 대응했다”
 [보안뉴스 강현주 기자] “공격자가 제약회사 해킹 후 AI로 자료를 분석, 리베이트 제공 사실을 알아내 검찰에 신고한다고 협박했습니다. 이처럼 ‘사이버 레질리언스’란 인프라 복구만 뜻하는 게 아닙니다. 수많은 기관의 조사에 응하고 법적 대응과 언론·국회 대응까지 필요한 조직 전체의 책임이니 당당히 인력과 예산을 요구해야 합니다.”
 23일 서울 삼성동 코엑스에서 이틀째 열리고 있는 ‘제15회 개인정보보호페어 &amp; CPO 워크숍’(PIS FAIR 2026) 토크콘서트에서 나온 목소리다. 
 <figure class="figure_frm origin_fig" contents-hash="2c40395bd8f1af163341a12c67e2940978a3d3118c7f088d298fdd6af13efc19" dmcf-pid="0fyugESrrj" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/23/552815-KkymUii/20260623163311869hbjh.jpg" data-org-width="1000" dmcf-mid="qCSMlGUZOF" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/23/552815-KkymUii/20260623163311869hbjh.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 ▲왼쪽부터 원병철 보안뉴스 부국장, 최용혁 롯데카드 CISO, 강병철 김앤장 변호사, 안정호 세종 변호사, 문홍식 KISA 팀장 [출처: 보안뉴스]
 </figcaption>
 </figure>
 <div contents-hash="4005e0d04d42f1ddee748569cf602c4a1cecd6318e1aa88ce4b6aa9322e6e795" dmcf-pid="p4W7aDvmrN" dmcf-ptype="general">
 회복은 인프라 운영 지속뿐 아니라 법적 대응 등 전사적 사안
 이 날 ‘“우리 회사도 예외는 없다” 실제 사례로 보는 개인정보 유출 사고와 대응 가이드’를 주제로 열린 토크콘서트에서는 롯데카드 개인정보 유출 사고 대응 사례를 통해 사이버 레질리언스를 논하는 시간을 가졌다. 
 </div>
 최용혁 롯데카드 CISO가 직접 사고 대응 경험과 인사이트를 나눴다. 강한철 김앤장 법률사무소 변호사, 안정호 법무법인 세종 변호사. 문홍식 한국인터넷진흥원(KISA) 탐지조사 팀장도 발제를 통해 사고 회복에 대한 견해를 나눴다. 
 참가자들은 조직 전체의 협력을 기반으로 한 단일화된 대응이 레질리언스의 핵심이라는 점에 공감대를 이뤘다. 
 위기 극복을 잘하는 기업은 “사고 인지 즉시 최악을 가정해 단일 컨트롤타워 구조를 만들고 전사 부서가 긴밀히 협력하는 기업”이라는 데 법조계 의견이 모였다. 사고 대응은 인프라와 기술 문제만이 아니라 법·규제·소비자·언론·국회 등 내외부 이해관계자들의 반응에 실시간으로 대응해야 하는 광범위한 영역이라는 지적이다. 실제로 초기에 부정확한 내용을 발표하거나 은폐하면 정부·법원·언론으로 이어지는 해명이 꼬여 기업 가치에 치명상을 입을 수 있다. 
 따라서 법무팀 등 유관 부서와 공조해야 하며, 기업의 노력을 입증할 모의훈련과 점검 기록을 평소 충실히 아카이빙해야 한다는 게 이 날 참가한 법조인들의 견해다. 
 최용혁 CISO는 “사고 당시 최악의 시나리오를 가정해, ‘투명한 소통’과 ‘고객 피해 최소화’에 초점을 두고 대응했다”고 밝혔다. 
 강한용 변호사는 “롯데카드는 성공적으로 대응한 모범사례”라며 “회복이란 단지 인프라 정상 운영만을 뜻하는 게 아니며 각종 외부 기관 조사와 문의 대응, 제재에 따른 회사 가치 손상 위기 등 기술적·법적 대응 등 모든 측면에서 조직 전체가 나서야 하는 것인데, 롯데카드는 그런 면에서 성공적으로 단일화된 대응을 보여줬다”고 말했다. 
 안정호 변호사는 “사고 인지 직후부터 너무 낙관하기 보다 최악의 상황을 가정하고 대응하는 회사가 결국 규제 기관 대응도 잘한다”며 “단일화된 컨트롤타워 여러 여러 부서가 긴밀히 협력하는 것이 빠른 사고 회복의 길”이라고 강조했다. 
 제재 및 조사기관과 투명한 소통에 힘쓰는 것도 중요하다는 지적도 나왔다. 
 문홍식 팀장은 “신고를 반드시 모든 사고 규모가 파악이 된 후에 해야 한다는 생각이나 축소하려는 생각보다는, 추후 보완 신고를 할 수 있으니 현재 파악된 사실 기반으로 빠르게 하는 게 회복 측면에서도 가장 좋다”며 “KISA를 제재보다는 지원 기관으로 봐달라. 신고는 제재가 아닌 회복의 시작”이라고 말했다. 
 다음은 원병철 보안뉴스 부국장의 사회로 진행된 토크콘서트 일문일답 원병철 부국장 실제 사고 대응 경험과 우수 사례를 나눠달라.
 최용혁 롯데카드 CISO 롯데카드는 해킹 사고 직후 최악의 시나리오를 가정하고 투명하게 공개하겠다는 원칙으로 시작해 실제 고객 피해 최소화에 초점을 뒀다. 정보보호실을 센터로 격상하고 CEO 직속 조직으로 전환했다. API 보안 솔루션 도입, 아키텍처 재정비, 침해 대응 고도화 등을 병행했다. 
 원병철 부국장 가장 잘했다고 생각하는 사이버 레질리언스 사례는 무엇인가.
 강한철 변호사 롯데카드는 성공적으로 대응했다. 단지 인프라를 정상 운영하는 것뿐만 아니라 법과 규제 측면에서 비즈니스 지속성을 확보하는 것이 중요한데, 롯데카드는 중복적인 다수 기관 제재로 회사 밸류가 손상될 위기에서 적정 위기 메시지를 단일화·통일화해 대응했다. 
 또 다른 어느 대기업은 임직원 사진이 텔레그램으로 유포되어 문제가 됐으나, 텔레그램 및 경찰과 긴밀히 공조하고 신속히 대응해 경찰측 핫라인을 통해 상황을 정리하기도 했다. 이처럼 기술과 법률이 융합된 레질리언스를 사고 후 뿐 아니라 평시에도 잘 실천하는 곳들도 있다. 기업 경영진 전체가 정상 운영체제를 갖추고, 보안 조직만 움직이는 것이 아니라 법무 등 유관 부서와 공조하는 것이다.
 안정호 변호사 레질리언스를 잘하는 기업들의 공통점은 세 가지다. 첫째, 사고 인지 직후부터 너무 낙관적인 결론을 내리기보다 최악 상황을 가정하고 대응하는 회사가 결국 최종적인 규제기관 대응과 고객 소통도 안정적으로 완수한다. 둘째, 단일 컨트롤타워를 구축해 여러 부서가 긴밀히 협력하는 구조를 빨리 만드는 곳이다. 타임라인을 짜고 역할을 배분해야 빠르게 사고를 수습할 수 있다. 셋째, 수습 다음에도 미흡한 부분에 지속적으로 조치를 취하는 기업이다. 단순 취약점 몇 개 고치는 게 아니라 정보자산 식별관리부터 재점검하는 것이 사이버 레질리언스의 핵심이다.
 원병철 부국장 당국 관점에서 우수 사례는?
 문홍식 KISA 팀장 잘한 조직은 사고가 안 발생했다는 의미가 아니라, 발생 시 피해를 확대시키지 않는 조직이다. 평소에 통제 장치를 갖추고 그것이 잘 작동하는 곳이다. 가령 크리덴셜 스터핑이나 이용자 비밀번호 재사용 등은 완벽한 차단이 어려워 무조건 과징금 처벌만으로는 안된다. 공격에 일부 성공했어도 과도하게 노출되지 않도록 마스킹돼 있었는지, 인지 후 즉각 차단조치를 했는지 등을 종합 고려한다. 레질리언스, 사고 복구 능력은 사전에 설계해 둔 내부 통제 장치뿐 아니라 그 장치가 실제 상황에서 작동하는 능력이라고 정의할 수 있다.
 원병철 부국장 사고 수습 이후 레질리언스 강화를 위해 추진한 것은 무엇인가.
 최용혁 롯데카드 CISO 첫째는 내부로부터의 레질리언스고, 둘째는 외부로부터의 레질리언스다. 사고 발생 시점에 기존 정보보호실을 CEO 직속 보안센터로 전환하는 조직 개편을 단행했다. CEO 직속의 의미는 경영진이 더 빠르게 정보보호나 보안에 관련해 관심을 갖고 참여하도록 유도하는 환경을 만든 것이다. 경영진의 관심이 높아지고, 이슈들이 도출되면 빠른 의사결정 체계를 확보할 수 있었다는 점이 큰 의미를 가진다. 두 번째 외부 측면은 투명하게 공개하고 소통하겠다는 의지다. 고객 소통에 적극 노력했고, 신뢰를 점진적으로 회복해 나가는 분위기로 전환되고 있다. 우리가 빠르게 이행해야 할 것을 안내하는 채널이 정상 작동하는 상황도 레질리언스로서 의미가 있다고 생각한다.
 원병철 부국장 피해 기업에 대한 법률적 조언을 준다면.
 강한철 변호사 초창기에는 자체 인프라를 정비하고 운영하게 하는 것에 초점을 맞췄다면, 지금은 법, 규제, 소비자, 언론, 모든 스테이크 홀더들의 반응에 대응하는 것도 레질리언스의 핵심이다. 엄청난 과징금이 기업 밸류와 소비자 신뢰에 영향을 주는 상황에서 과연 기술 이슈만으로 레질리언스가 가능한가. 법률과 규제 문제, 임직원 책임 문제를 고려해 법적 문제가 기술과 함께 초창기부터 고려돼야 한다. KISA 신고부터 들어가게 될 텐데 그 내용부터 부정확하거나 은폐하려 하면, 이후 정부, 법원, 언론, 소비자 해명이 달라져 신뢰도와 존속 가치 측면에서 치명적이다. 보안 대책을 발표할 때 법적 책임과 규제 책임에 어떤 영향을 미치는지 분석해서 정확한 일관된 메시지를 전달할 필요가 있다. 
 원병철 부국장 당황해 로그를 지우거나 증거를 훼손하는 경우가 많은데, 초기 대응 시 자주 범하는 실수는 무엇인가.
 문홍식 KISA 팀장 초기 대응의 가장 큰 실책은 유출 규모를 제대로 파악하지 못해 신고를 망설이는 것이다. 실무에서 가장 많이 나오는 질문이 정확한 규모를 모르면 어떻게 신고하느냐인데, 나중에 보완 신고가 충분히 가능하니 시간 내에 우선 신고할 것을 권장한다. 사고가 나면 타임라인에 따른 커뮤니케이션 기록을 남기는 게 중요하다. 인지 시점에 누가 보고를 받았고 어떤 조치를 취했으며 어떤 연락을 받았는지가 판단의 중요한 근거가 된다. 절대 로그 기록을 지우지 말고 자료를 보존해야 침입 경로나 유출 범위를 확인하고 후속 조치를 할 수 있다. 정확한 규모를 몰라도 나중에 보완할 수 있다는 점, 증거 기록을 반드시 남길 것, 그리고 신고는 처벌이 아닌 대응의 시작이라는 점 세 가지를 기억해야 한다.
 원병철 부국장 공격을 완전히 차단하는 것이 불가능해진 시대에서 레질리언스는 무엇인가.
 최용혁 롯데카드 CISO 사고 이후 동시다발적으로 여러 기관의 조사에 응했다. 사고 시 응대할 기관이 어디고 무엇을 준비해야 하는지에도 관심을 두어야 한다. 고성능 AI로 취약점을 찾고 공격까지 며칠이면 가능하다. 취약점이 발견되면 기관이나 벤더 입장에서도 개발과 배포에 시간이 걸리고, 회사들은 회사 시스템에 미칠 영향도를 확인하는 데만도 시간이 소요된다. 공격자와 방어자의 시간차는 늘어날 수밖에 없다. 이 시간차 공격을 막기 위해 어디에 집중해야 할지 빠르게 준비할 필요가 있다. 
 강한철 변호사 동시에 여러 기관 조사에 응하려면 작은 조직들은 얼마나 고생스러울까 싶다. 제약회사 해킹에 AI를 활용한 흥미로운 사건을 목도했다. 해커들이 해킹한 데이터를 AI로 분석해 법적 리스크 결과 보고서를 만들어 협박했다. 의사들에게 리베이트를 제공한 내역을 신고하거나 파트너사에 통보하겠다고 한 것이다. 단순 기술이 아니라 법적 책임을 협박 수단으로 삼은 사례다. 이처럼 레질리언스는 전사적인 이슈다. CISO들은 과감하게 CEO와 인사팀을 향해 “당신의 책임이기도 하다”라는 점을 짚고, 예산과 인력 등을 당당히 요구하는 전사적 대응 구조를 만들어야 한다.
 안정호 변호사 사이버 레질리언스의 핵심은 설명 가능한 보안이다. 단순 기술 사항 확인이 아니라 의사결정 사항 전반, 위험관리 전반에 대해 기업에 질문을 던지기 때문에 미리 대비되어 있지 않다면 답변하지 못하는 상황에 직면한다. 그간 정보보호를 위해 노력해 온 근거 자료를 미리미리 보여줄 수 있어야 한다. 식별 관리 대장, 접근 권한 검토 내역들, 모의훈련 결과, 점검 결과 같은 데이터를 다 쌓아서 근거 자료를 충실히 만들어 놓아야만 사고 발생 시 대응이 가능하다. 기업의 대응력은 기억이 아닌 기록으로 증명된다.
 문홍식 KISA 팀장 결국 백업과 복구 체계가 제대로 되어 있느냐가 핵심이다. 국정자원 사태 등을 보더라도 어느 시간 안에 서비스를 다시 열고 복구 절차를 실행할 수 있는지가 중요하다. 백업본 존재만이 아니라, 물리적으로 분리되어 있고 보호되고 있는지 봐야 한다. 많은 조직이 백업 정책이나 절차 대응 매뉴얼을 문서로는 가지고 있지만, 실제 상황에서는 가동하지 못하는 경우가 많다. 제도가 없어서가 아니라 운영이 느슨해졌거나 담당자가 바뀌었기 때문이다. 백업이 있다는 사실에만 멈추지 말고 평상시 DR 훈련과 담당자 인수인계까지 실제로 복구 가능한 상태인지 점검해야 한다. 
 원병철 부국장 오늘 논의를 통해 사이버 보안이 단순 시스템이나 인프라 부서만의 단편적인 문제가 아님을 다시 한번 확인했다. CEO부터 실무자까지 그간의 문제를 정확히 파악하고, 전사 유관부서가 융합된 구체적이고 체계적인 대응책을 마련하는 시발점이 되기를 기대한다.
 </section> 
 </div> 
 Copyright © 보안뉴스. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기