법무법인 바른 최진혁 변호사가 지난 10일 열린 '개인정보보호와 기업 사이버보안 대응 전략' 세미나에서 발표하고 있다.(사진=바른)
이번 세미나는 대규모 해킹 및 개인정보 유출 사고가 잇따르는 가운데 △개인정보보호법 개정에 따른 과징금 상한 인상 △과실 추정 규정 신설 △72시간 이내 유출 신고의무 등 규제까지 대폭 강화된 데 따라 마련됐다. 사고 이후 대응 방식에 따라 기업의 법적 책임 범위는 물론 규제기관 대응 결과와 대외 신뢰도까지 크게 달라지고 있어서다.
사이버보안 전문기업, 대기업 정보보호 담당자, 법률 전문가 등이 한자리에 모여 4개 세션으로 진행됐다.
첫 번째 세션에서 조정현 엔키화이트햇 부사장은 ‘최근 보안사고 동향과 개인정보 보호를 위한 보안 전략’을 주제로 발표했다. 조 부사장은 인공지능(AI)을 악용한 악성코드 개발, 딥페이크 기반 사회공학 공격, 공급망 해킹 등 APT 그룹의 진화된 공격 기법을 분석했다. 이어 실제 기업망 침투 사례를 시연하며 웹 취약점을 통한 서버 장악부터 내부망 확산까지 공격의 전 과정을 보여줬다.
조 부사장은 “AI 발전으로 공격 비용은 기하급수적으로 감소하고 있다”며 “단순한 방어 체계만으로는 위협을 완전히 차단하기 어려워 보안 담당자뿐 아니라 모든 구성원의 철저한 보안 의식이 필요하다”고 강조했다. 이어 :보안장비 자체도 공격 대상이 될 수 있는 만큼, 보안장비에 대한 업데이트와 시큐어 코딩 점검 역시 필수“라고 덧붙였다.
두 번째 세션에서는 진형준 LG전자 정보보호담당 팀장이 ‘기업의 보안 정책 및 개인정보 보호 운영 현황’을 주제로 발표했다. 진 팀장은 LG전자의 정보보호 거버넌스 체계를 소개하며, 전사 정보보호위원회 운영, 3선 방어체계 기반의 리스크 관리, 정보보호 최고책임자(CISO) 중심의 보안 전략 수립 등 글로벌 대기업의 보안 운영 현황을 공유했다. 특히 협력사(수탁사) 관리를 ‘가장 어려운 숙제’로 꼽으며 공급망 보안의 중요성을 역설했다.
세 번째 세션에서는 김주일 한국인터넷진흥원(KISA) 팀장이 ‘기업 보안 사고 예방 및 대응을 위한 한국인터넷진흥원의 지원 방안’을 소개했다.
김 팀장은 최근 3년간 개인정보 유출 사고가 급증하고 있으며, 2025년 유출 처분 건수가 전년 대비 2배 이상 증가했다고 진단했다. 이어 ”최근 주요 침해사고를 보면 고도의 기술적 제로데이 공격보다는 암호화 미적용, 권한 관리 소홀, 로그 관리 부재 등 ‘운영의 기본’ 붕괴가 대규모 유출로 이어지고 있다“며 ”최소 권한 부여, 다중 인증, 지속적 모니터링을 기본으로 갖춰야 한다“고 강조했다.
네 번째 세션에서는 최진혁 바른 변호사가 ‘사고 발생 시 조사·분쟁·행정제재 대응까지 기업의 법률리스크 관리 방안’을 주제로 발제했다. 최 변호사는 개인정보 유출 사고 발생 시 기업이 직면하는 법적 절차를 유출 시점, 분석 및 조사, 처분 및 대응의 단계별로 분석했다.
특히 유출 인지 후 72시간 이내 개인정보보호위원회 신고 및 정보주체 통지 의무, 현장조사 대응, 의견제출서 작성, 과징금 산정 기준 등 실무적인 대응 전략을 제시했다.
최 변호사는 ”개인정보 유출 시 과징금은 전체 매출액에서 위반행위와 관련 없는 매출액을 구분해 제외하는 것이 중요한 포인트“라고 설명했다. 이어 ”안전성 확보에 필요한 조치를 다한 경우에는 과징금을 부과하지 않도록 돼 있다“며 ”개인정보보호법 제29조에 따른 내부 관리계획 수립, 접근권한 관리, 접근통제 등 안전성 확보 조치를 사전에 철저히 이행하고 점검하는 것이 가장 효과적인 예방책“이라고 강조했다.
또 ”수탁자를 통해 개인정보가 유출된 경우에도 위탁자가 책임을 부담할 가능성이 높다“며 ”개인정보 위수탁 계약서에 기술적·관리적 보호조치, 재위탁 제한, 안전성 확보 조치 등을 명시하고, 수탁자에 대한 교육과 처리 현황 점검 등 감독의무를 이행해야 한다“고 강조했다.
이동훈 바른 대표변호사는 ”사이버보안과 개인정보 보호는 이제 기업 경영의 필수 의제“라며 ”이번 세미나가 기업 관계자들에게 사전 예방부터 사후 대응까지 실질적인 판단 기준을 제공하는 자리가 됐기를 바란다“고 말했다.
