최근 한 굴지의 대기업 해킹 사태가 미치는 사회적, 비즈니스적 영향에서 볼 수 있듯 기업의 중요 정보 유출 사고는 기업 경영의 일상적 위험으로 자리 잡았다. 개인정보보호위원회에 따르면 2024년 개인정보 유출 신고 건수는 307건으로, 거의 매일 유출 사고가 발생하고 있다.

또 2023년 9월 개인정보보호법 개정으로 과징금 상한액이 전체 매출액의 3%로 상향되며 기업의 부담 역시 커졌다. 카카오는 약 6만5000건의 개인정보 유출로 151억여원의 과징금을 부과받았으며, 골프존은 221만여건의 개인정보 유출로 75억원의 과징금을 물었다. 이 외에도 비즈니스 메일 유출, 중요 자료를 암호화하고 금전을 요구하는 사례 등 다양한 피해가 발생하고 있다. 그 피해액이 평균 67억원이 넘는다는 연구 결과도 있다.

경영진들은 이제 ‘사이버 보안’을 단순한 IT 부서의 문제가 아닌 기업 생존과 직결된 핵심 경영 이슈로 인식해야 한다.

딜로이트의 사이버보안 자문 경험에 의하면 기업은 사이버 사고 발생 시 크게 6가지 리스크에 직면한다.

첫째, 사고 직후 정확한 피해 범위를 신속히 파악하기 어렵다. 유출된 정보의 종류와 규모가 초기에는 불명확해 대응이 지연되고, 시간이 지나면서 피해가 확대되는 경우가 많다.

둘째, 해킹 경로와 원인을 객관적으로 분석하기가 쉽지 않다. 해커의 은닉 기술이 발전하고, 내부에서는 책임 회피 심리도 작용해 정확한 원인 규명이 어렵다.

셋째, 정부 및 조사기관 대응에 대한 준비 부족으로 효과적인 조사가 어렵고, 부적절한 대응 시 과징금 부과 및 규제기관과의 신뢰 저하 위험이 있다.

넷째, 사고로 인한 기업 이미지 하락과 고객 신뢰도 훼손이 심각하다. 이는 장기적인 고객 이탈과 매출 감소로 이어지며, 필수 서비스 기업일수록 파급효과가 크다.

다섯째, 재발 방지와 정보보호 업무 혁신에 막대한 비용과 조직 변화를 요구한다. 기존 시스템 전면 개선과 보안 강화는 예산 확보부터 실행까지 많은 어려움이 따른다.

여섯째, 기술 담당자와 경영진 간 커뮤니케이션 오류가 빈번해 보안 위험의 심각성을 경영진에게 효과적으로 전달하지 못하고, 의사결정 지원을 받기 어렵다. 이로 인해 보안 투자와 대응이 미흡해질 수 있다.

기업은 이러한 리스크를 어떻게 관리해야 할까. 답은 사고 조사, 대응, 재발 방지를 위한 전사적 컨트롤 타워 체계 구축이다. 사이버 사고에 효과적으로 대응하고 재발을 방지하기 위해서는 전사적 차원의 컨트롤 타워 구축이 필수적이다. 이 조직은 사고 발생 시 신속한 피해 파악과 대응 전략 수립, 규제 기관과의 소통, 재발 방지 대책 마련을 총괄해야 한다.

이를 위해 최고 경영진이 직접 참여하는 회의체를 마련해 의사결정 지연을 최소화하고, 경영진의 적극적 관심과 지원을 받아 전사적 추진력을 확보해야 한다. 즉 정보보안 및 IT 부서만의 책임이 아닌 사업 부문, 현장 등 전사적 협력 체계를 통한 재발 방지 대책의 신속한 이행 및 임직원 및 현장의 보안 인식 제고가 필요하다.

아울러 경영진, CISO(Chief Information Security Officer·최고 정보보안 책임자), 외부 전문가 간 소통과 협력이 리스크 관리의 성패를 좌우한다. 사이버 사고 대응에서 경영진, CISO, 외부 전문가 간의 유기적 소통과 협력은 더 이상 선택이 아닌 필수 요소가 됐다. 경영진은 사이버보안을 비즈니스 리스크의 핵심 요소로 인식해야 하며, CISO는 경영진이 이해할 수 있도록 기술적인 내용을 비즈니스 관점에서 설명해야 한다.

동시에 외부 전문가와의 협업은 조직의 보안 태세를 강화하는 핵심 전략이 될 수 있다. 외부 전문가는 객관적인 시각으로 현행 진단 및 개선 계획 수립이 가능하며, 실행 단계에서는 경영진과 보안 부서와 실제 이행 부서 간의 가교 역할을 통해 신속 정확한 조치가 가능하게 한다. 정보보안 사고를 겪었던 국내 대형 통신사의 경우, 사고 이후 즉시 최고경영자(CEO) 직속 컨트롤타워 조직을 구성하고, CISO를 중심으로 외부 보안 전문가와 적극 협업하여 보안 체질을 성공적으로 개선하고 있다.

경영진은 사이버보안을 단순한 비용이 아닌 기업의 생존과 지속 가능한 성장을 위한 필수적인 투자로 인식해야 한다. 외부 전문가와의 협업을 통해 보안 위협을 효과적으로 관리하고, 사이버 위기 상황에서 빠른 복구와 피해 최소화를 달성할 수 있을 것이다. 결국 적절한 사이버보안 투자는 단순한 위험 관리를 넘어 고객의 신뢰를 확보하고 기업의 경쟁력을 강화하는 중요한 기반이 될 것이다.