“사이버 사고는 기술 문제가 아니라 경영의 문제다.”

사이버 사고는 막을 수 없지만 대응은 준비할 수 있다. 사이버 사고는 단순한 기술적 문제가 아니다. 기업의 명성과 매출, 고객 신뢰와 CEO의 책임까지 흔들 수 있는 전사적 리스크다.

이창성 한국 딜로이트 그룹 원 사이버&리질리언스(One Cyber&Resilience) 파트너는 “사고는 언젠가 반드시 발생한다”는 전제 위에서 “사고 이후 얼마나 빠르고 조직적으로 대응할 수 있느냐가 기업 생존의 분기점”이라고 강조했다. 그는 ‘컨트롤 타워’를 중심으로 한 전사적 대응 체계 구축이야말로 가장 현실적인 생존 전략이라며, 기술·법무·홍보·경영 부서 간 협업의 중요성을 역설했다.

이창성 파트너와 국내외 사이버 사고 사례, 대응 전략, 조직 내 커뮤니케이션 이슈, 장기적 재발 방지 대책까지 종합적인 메시지를 정리했다.

―  사이버 사고라는 말은 익숙하지만 개념은 여전히 모호하다. 정확히 무엇을 의미하나.

사이버 사고는 단순한 시스템 오류가 아니다. 국제표준(ISO/IEC 27032)에서는 사이버 공간에서 발생하는 예기치 않은 보안 이벤트로, 기업의 정보 자산과 비즈니스 연속성을 침해하는 사건을 의미한다. 즉, 정보의 기밀성·무결성·가용성이 훼손되는 모든 행위가 해당된다. 해킹, 랜섬웨어, 내부자 유출, 서비스 마비 등 기업 경영에 직접적 영향을 미치는 사건이 모두 포함된다. 실제로 하루 평균 662건의 사이버 범죄가 발생하며, 전 세계 GDP(국내총생산)의 10%가 사이버 사고로 인해 손실된다는 연구보고가 있다.

―  최근 들어 사이버 사고가 유독 더 많이 발생하는 이유는 무엇인가.

세 가지 이유가 있다. 첫째, AI의 확산으로 공격 기술 자체가 고도화되고 자동화됐다. 둘째, 데이터 양이 폭증하고 있다. 전 세계 데이터는 2010년 2제타바이트(ZB)에서 2025년 181ZB로 약 90배 증가했다. 마지막으로, IT 시스템에 대한 의존도가 너무 높아졌다. 2027년이면 기업 운영의 66% 이상이 디지털 환경에 의존할 거라는 전망도 있다. 디지털 의존도가 높아진 만큼, 하나의 사고가 곧 전체 비즈니스 마비로 이어질 가능성이 높아졌다.

―  사이버 사고를 단순한 IT 문제가 아니라 경영 리스크로 봐야 한다고 했다. 왜 그런가.

사이버 사고는 더 이상 기술부서에서만 다룰 문제가 아니다. 공격자들은 단기적인 해킹을 넘어서 장기적으로 침투하고, 비즈니스 프로세스를 타깃으로 삼는다. 예를 들어 생산설비가 마비되면 납기 지연→계약 해지→평판 악화→매출 감소로 이어진다. 이는 기업 생존을 위협하는 구조적 문제다. 그렇기 때문에 경영진의 전략적 판단과 대응이 필요한 경영 리스크이다.

―  실제 사고가 발생했을 때, 기업은 어떤 절차로 대응해야 하나.

NIST(미국 국립표준기술연구소) 기준에 따르면 사고 대응은 탐지→격리→복구의 세 단계로 나뉜다. 먼저 비정상 행위를 빠르게 탐지하고 시스템을 격리해야 하며, 이 사고가 단순한 IT 장애인지 법적·대외적 리스크를 동반하는지 즉각 판단해야 한다. 이후 고객 안내, 규제기관 보고, 피해 보상, 재발 방지 전략까지 병렬적으로 대응해야 한다. 이 모든 프로세스를 효과적으로 수행하려면 '사고 대응 컨트롤 타워'라는 전사적 대응 조직이 필수적이다.

―  컨트롤 타워는 구체적으로 어떤 기능을 수행하나.

한 마디로 말해, 조직 전체를 지휘하는 사령탑이다. 기술팀은 사고 원인을 분석하고, 법무팀은 법적 대응을, 홍보팀은 대외 커뮤니케이션을, 경영진은 주요 의사결정을 맡는다. 중요한 건 이 모든 부서가 동시에 협업할 수 있도록 평소에 역할과 책임(R&R)을 명확히 정리해둬야 한다는 점이다. 컨트롤 타워가 제대로 작동하지 않으면 대응은 지연되고 피해는 확대된다.

―  대응 과정에서 기업들이 가장 자주 하는 실수는 무엇인가.

단연 은폐와 축소다. 사고 사실을 알리고 싶어 하지 않거나, 고객에게 피해 사실을 늦게 알리는 경우가 많다. 국내 한 회사는 협력사 해킹 사실을 방치하다 4년 후 본사까지 2차 피해를 입었고, 해외 모 기업은 6주 동안 사고를 은폐했다가 CEO가 사퇴하고 7억달러의 배상금을 물었다. 사고는 누구에게나 일어날 수 있다. 중요한 건 얼마나 진정성 있고 투명하게 대응하느냐이다.

―  실제 사고 대응에서 부서간 협업이 중요한가. 

맞다. 보안팀은 “서비스를 내리고 점검하자”고 하지만 현업 부서는 “매출 타격이 크다”며 반대한다.  경영진은 기술적인 배경이 부족해 결정을 주저한다. 결국 보안은 기술의 언어로, 비즈니스는 고객과 매출의 언어로 말하는 구조다. 이 간극을 조율하는 것이 바로 컨트롤 타워의 핵심 역할이다. 기술과 경영 사이의 ‘통역사’가 필요하다는 의미다.

―  클라우드나 협력사 같이 제어가 어려운 외부 리소스는 어떻게 대응해야 하나.

사고가 터진 뒤에 대응하려면 늦다. 가장 중요한 건 사고 이전의 계약 체계다. SLA(서비스 수준 협약)에 사고 발생 시 책임 분담과 대응 절차를 명확히 명시해야 하며, 데이터 백업 체계도 사전에 점검해야 한다. 특히 분쟁 방지 조항은 반드시 계약서에 포함돼야 한다. 사고 이후 책임 소재로 시간을 낭비하는 일이 없어야 하지 않나. 

―  전사적 대응 문화를 만들기 위한 교육이나 보상 체계는 어떻게 설계해야 할까.

형식적인 정보보호 교육은 실효성이 낮다. 시뮬레이션 기반의 참여형 교육이 필요하고, ‘사고가 발생하면 어떤 부서가 어떤 책임을 지게 되는가’를 실제로 체험해보는 방식이 효과적이다. 공포 시나리오도 유효하다. 더불어 보안 KPI(핵심성과지표)를 각 부서 성과 지표에 반영해야 한다. 사이버 보안은 정보보호팀만의 일이 아니라 전 조직의 책임이다.

―  사이버 사고 발생 직후의 ‘골든타임’은 단순한 시스템 복구 이상의 의미가 있다고 들었다. 구체적으로 무엇을 의미하는가. 

‘골든타임’은 단순히 시스템을 복구하는 시간이 아나다. 이 시점은 법적 책임, 고객 신뢰, 규제기관 대응, 2차 피해 방지 전략까지 모든 요소를 동시에 판단하고 실행해야 하는 중대한 기간이다. 복구 자체는 IT팀이 비교적 빠르게 수행할 수 있지만, 고객 공지, 언론 대응, 법률 자문, 계약상 책임 정리 같은 외부 커뮤니케이션과 법적 대응은 여러 부서의 협력이 없으면 불가능하다. 결국 골든타임의 성패는 조직 전체의 실행력에 달려 있고, 그 실행력을 움직이는 핵심은 경영진의 결단과 리더십이다. 경영진이 신속히 의사결정을 내려야 각 부서가 움직일 수 있다. 

―  마지막으로, 아직 사고가 없는 기업이 지금 준비해야 할 것은 무엇인가.

사고는 언젠가 반드시 발생한다. 중요한 건 준비가 돼 있느냐이다. 컨트롤 타워 구축, 역할 정의, 커뮤니케이션 체계, 재발 방지 등 이 모든 것은 평소에 갖춰져 있어야 한다. 사이버 사고는 기술적 문제가 아니다. 기업의 경영 리스크이며, 위기에서 살아남기 위한 준비된 전략이 필요하다. 준비된 조직만이 사고 이후에도 무너지지 않는다.

이윤정 기자

ityoon@chosunbiz.com

• 美 약가, 韓보다 4배 높아… OECD 33개국 중 ‘최고 수준’
• 임팩티브AI, 독일 프라운호퍼와 제조 예측기술 개발 협력
• AI교과서, 결국 ‘교육자료’로 강등… 국회 본회의 통과
• KMDA “단통법 폐지에도 통신사 고가요금제·이용자 역차별 계속”
• 인텔, 제조 부문 고위 임원 3명 퇴사… 구조조정 속도