보안 사고가 터지면 어김없이 같은 장면이 반복된다. 뒤늦게 드러나는 허술한 관리, 부랴부랴 꾸리는 대책위원회, 그리고 제재가 따라온다. 그런데 이 장면에서 빠진 질문이 있다. 사고 이전에 그 기업은 무엇을 했는가.
최근 대형 침해 사고를 겪은 국내 기업들 역시 사고 이후 외부 전문가와 협력해 알려지지 않았던 취약점을 발굴하고, 제조사와 함께 구성 수준의 변경을 적용하며 아키텍처를 개선했다. 사후 대응이라는 한계는 있었지만, 사고 대응을 일회성 수습이 아니라 구조 개선의 계기로 삼는 방향이다.
그런데 여기서 불편한 역설이 생긴다. 지속적으로 보안에 투자하는 기업일수록 더 많은 취약점 기록을 남긴다. 정기적으로 점검할수록 발견되는 문제가 많고, 외부 전문가와 협력할수록 내부 허점이 공식 문서로 쌓인다.
점검을 안 해서 아무것도 모르는 기업은 기록이 없다. 문제는 취약점을 발견하고도 조치가 미흡했던 기록이 사고 발생 시 '알고도 방치했다'는 증거로 읽힐 수 있다는 데 있다. 성실하게 점검하고 조치했던 기업이 오히려 더 많은 증거를 남긴 기업이 되는 아이러니다. 반면 처음부터 점검을 하지 않은 기업은 발견도, 기록도, 증거도 없다.
신고 구조도 같은 역설을 만든다. 내부 점검으로 악성코드를 발견한 기업이 이를 당국에 신고하면, 이후 원인 분석, 자료 제출, 현장조사 등 공식 절차의 대상이 될 수 있다. 발견하지 못한 기업은 신고 의무 자체가 발생하지 않는다. 현행 신고 의무는 인지한 때를 기준으로 하기 때문이다. 보안을 열심히 해서 먼저 발견한 기업이 오히려 불리한 위치에 서게 되는 구조다.
더 근본적인 문제는 법령상 보안 노력을 감경 요소로 고려하도록 규정하고 있지만, 실제 제재 집행에서 사전 보안 투자와 사고 이후 구조적 개선 노력이 어느 정도 일관되게 반영되는지는 여전히 논쟁이 있다.
형식적 체크리스트만 채운 기업과 실제 위협에 맞서 상시로 검증하고 사고 이후에도 구조적으로 개선해온 기업 사이의 차이가 제재 수위에 실질적인 차이로 이어지지 않는다면, 기업이 자발적으로 보안에 투자할 이유가 사라진다.

EU GDPR 제83조는 과징금 산정 시 감독 당국과 협력 수준, 자발적 신고 여부를 명시적 감경 요소로 규정한다. 영국 정보보호위원회(ICO)도 해킹 피해를 입은 기업에 대해 적극적 조사 협력, 신속한 통보, 사후 조치 이행을 반영해 최초 고지액보다 낮은 과징금을 최종 부과한 사례가 있다. 사고 결과와 그 이전·이후 기업이 취한 행동을 분리해서 평가한다는 원칙이다.
정부는 2027년부터 정보보호 공시 의무 대상을 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량을 비교 가능하게 만드는 방향을 추진하고 있다. ISMS·ISMS-P 인증도 형식 점검을 넘어 실제 운영을 추적·개선하는 체계로 전환하겠다는 흐름이다. 이런 전환이 실효성을 가지려면 빠진 퍼즐 하나가 채워져야 한다.
사고 이전의 지속적인 보안 검증 활동, 자발적 신고와 공유, 사고 이후의 구조적 개선 노력. 이런 행동들이 제도 안에서 의미 있게 읽혀야 한다. 보안에 진지하게 투자한 기업과 그렇지 않은 기업이 제도 안에서 다르게 보여야, 기업이 보안을 비용이 아니라 경쟁력으로 인식하기 시작한다.
보안에서 완벽한 방어는 없다. 중요한 것은 절대 뚫리지 않는 기업이 아니라, 끊임없이 검증하고 개선하며 사고 이후에도 투명하게 움직이는 기업이다. 보안에 진지하게 임한 기업의 노력이 헛되지 않는 구조가 만들어질 때, 한국의 보안 수준은 비로소 한 단계 올라갈 수 있다.
조정현 엔키화이트햇 부사장 jhcho@enki.co.kr













