이 기사는 2025년 12월 10일 08:23 thebell 에 표출된 기사입니다.

쿠팡, SK텔레콤, KT, LG유플러스, 롯데카드, GS리테일. 올해에만 개인정보 유출 사고가 발생한 기업들이다. 개인을 특정할 수 있는 정보가 포함된 대규모 유출이 이어졌다. AI 시대인 만큼 딥페이크 등 사고 이후 피해 규모와 파장이 더욱 큰 상황이다.

이에 국내 기업들이 보안 사고에 근본적으로 대응하기 위해서는 보안을 경영성과 우선순위로 재배치해야 한다는 지적이 나왔다. 김범수 연세대학교 정보대학원 교수(사진)는 "개인정보 유출은 단순 사고가 아닌 구조적인 위험 요인이기 때문에 예측과 대응을 통해 피해 규모를 줄여야 한다"며 "이를 위해서는 CEO와 이사회가 직접 나서 정보보안을 의사결정에 포함시켜야 한다"고 강조했다.

◇보안은 비용 아닌 '신뢰 구축 자산'

김 교수는 먼저 개인정보 유출을 단발성 사고가 아니라고 정의했다. 상당 부분 예측과 통제가 가능한 조직의 구조적 위험 요인이라고 봤다. 갈수록 해커들의 기술이 고도화되고 보안 사고가 빈번히 발생하는 상황에서 기업들은 사고 발생을 사전에 예방하고 빠르게 대응하는 것이 중요하다는 의미다.

문제는 기업들은 정보보안 강화를 위해 단순 기술 장치 개선과 시스템 투자 중심으로 접근한다는 것이다. 그는 "대기업들에게 개인정보 유출이 반복되는 근본적인 원인 중 하나는 보안 체계 마련과 검증보다는 기술적 투자에 집중하고 있기 때문"이라며 "여기에 취약한 ICT 시스템 구조, 부족한 내부 관리 능력과 권한, 신속한 해킹 사고 대응 역량 부족이 복합적으로 작용한다"고 덧붙였다.

그러면서 최근 연달아 발생한 개인정보 유출 사고가 기업들의 보안 업무 인식 전환 계기가 되어야 한다고 밝혔다. 특히 기업 내부에서 정보보안 업무의 우선순위를 강조했다. 김 교수는 "보안은 정보보호 조직이나 개인정보팀만의 일이 아니다. CEO가 직접 관심을 갖고 기획 단계부터 예산·인력·문화까지 포함한 정보보안 거버넌스를 만들어야 한다"며 "전 부서가 보안 업무에 자연스럽게 참여하는 문화가 필요하다"고 설명했다.

특히 기업이 내부적으로 가장 빠르게 개선할 수 있는 부분은 경영진의 정보보호 관리 활동 지원이라고 짚었다. 정보보안은 비용이 아니라 신뢰를 구축할 수 있는 자산이 된다는 것이다. 그는 "정보보호 예산, 교육, 인원 등이 점차 확대되고 있지만 경영진이 이를 단순 비용으로 판단하거나 해당 부서에 한정된 기능이라고 보는 경향이 있다"며 "경영진의 무관심과 비적극적 지원이 정보보호 활동 활성화의 걸림돌"이라고 말했다.

◇"이사회와 경영진이 정보보안 논의해야"

이에 기업이 정보보안 중요성을 인식할 수 있도록 이사회의 CEO의 의사결정이 중요하다고 봤다. 그는 "의사결정권자가 선도하는 정보보호 문화가 결국 고객 신뢰와 기업의 가치 상승으로 이어질 수 있다"며 "경영진의 정보보호에 대한 관심과 책임 있는 태도는 만약 사고가 발생하더라도 이를 빠르게 해결할 수 있는 근간이기 때문"이라고 설명했다.

따라서 기업의 개인정보보호책임자(CPO) 역할의 중요성을 강조했다. 2024년 3월부터 시행된 개인정보보호법에 따라 CPO가 개인정보 보호 업무를 독립적으로 수행할 수 있도록 보장하는 의무를 개인정보처리자에게 부과하고 있다. 이러한 제도적 보완은 CPO의 실효성을 강화하는데 기여했지만 아직은 실무 현장에서는 지원이 충분치 않다는 점을 지적했다.

김 교수는 "기업 현장에서는 CPO가 개인정보 보호에 대한 독립적 의사결정을 하기에 매우 어려운 조직 구조와 환경 속에 놓여 있는 경우가 많고 IT 보안보다 비용 효율성을 우선시하는 조직문화 속에서 정보보호 활동이 위축되거나 우선순위에서 밀리는 사례도 적지 않다"고 짚었다.

해결책으로는 CPO의 역할 강화가 꼽혔다. 그는 "최근 논의되고 있는 개인정보보호법 개정 내용에 따르면 CPO가 개인정보 보호 계획을 수립하고 그 결과를 CEO 또는 이사회에 보고하는 체계를 마련하도록 요구하고 있다"며 "결국 개인정보보호가 현장 책임자를 넘어 최고 경영진이 책임지고 점검해야 하는 영역이라는 의미"라고 말했다.

◇AI 확산 이후 정보보안 체계 '재설정' 필요

특히 국내 개인정보보호 수준에 대한 기대치는 굉장히 높은 상황이다. 이미 글로벌 수준에 도달한 만큼 과거와 같은 대응 방식으로는 빠르게 변하는 보안 위험 환경을 감당하기는 어렵다고 전했다. 보유한 정보가 많은 대기업일수록 해킹 타깃이 되기 쉬운 점도 고려해야 한다.

그런데 여전히 많은 기업들이 위협에 대한 방어 체계를 갖추지 못했거나 최근 쿠팡 사례처럼 유출 사고 발생 후 수일 또는 수개월이 지나서야 침해 사실을 인지하는 경우가 많다. 이에 따라 김 교수는 기업들은 침입 탐지 시스템이나 자동화 경고 체계를 제대로 구축해야 한다고 강조했다.

AI 확산에 따른 대응 변화도 요구된다. 그는 "AI 프로젝트에는 반드시 보안과 개인정보보호 조직이 초기에 함께 들어가야 한다. 한국에서도 개인정보보호 전문가들이 AI 보안에 적극적으로 참여하고 있고 개인정보보호위원회도 다양한 AI 가이드라인을 내고 있다"고 말했다.

마지막으로 그는 "사고를 완전히 없앨 수는 없다면 덜 나게 만들고 잘 대응하는 기업이 결국 신뢰를 유지한다"며 "AI 도입 이후 딥페이크, 딥보이스, 데이터 유출에 대한 공포가 커지면서 사고가 발생할 경우 나타날 파장이 이전과 비교할 수 없이 크기 때문에 기업의 정보보안 절차와 체계를 다시 만들어야 한다"고 설명했다.