[PIS FAIR 2026] 복구 급해 로그 지웠다간 ‘업무상 배임’... CPO가 알아야 할 초동 조치 주의 사항 작성일 06-23 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="uSLaYtb0Of"> <p contents-hash="dd19da616d93bb652faa61723e5a697f641220d1f1b6ba78984ec71edb925815" dmcf-pid="7voNGFKpDV" dmcf-ptype="general"><strong>침해 사고 터지면 규제기관 조사 등 압박 거세져<br>규제 리스크 피할 대응 체계 구축 필요</strong></p> <p contents-hash="5443e90093f0c3dc039816d29dad5dc030d8879a996a3b633dc298947ce78cc1" dmcf-pid="zTgjH39UO2" dmcf-ptype="general">[보안뉴스 조재호 기자] “지난해부터 침해사고는 특별한 이벤트가 아니라 일상적 사고 중 하나가 됐습니다. 이제는 가벼운 접촉 사고는 대비하고, 치명적 사고로 번지는 것을 막는 데 집중해야 합니다.”</p> <figure class="figure_frm origin_fig" contents-hash="2d562528b3461c36f4f1d45018b2fc27602c4249909c84d757fffa9911354711" dmcf-pid="qyaAX02uE9" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/23/552815-KkymUii/20260623150210958kuqb.jpg" data-org-width="750" dmcf-mid="U6p8DCXSs4" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/23/552815-KkymUii/20260623150210958kuqb.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ▲최광희 법무법인 세종 ICT 그룹 고문이 키노트 발표를 진행하고 있다. [출처: 보안뉴스] </figcaption> </figure> <div contents-hash="7914e2572ad5e2ac0736cad672f735e140251b5efd4e1ad4802a65d708bf6995" dmcf-pid="BWNcZpV7sK" dmcf-ptype="general"> <br>23일 PIS FAIR 2026 키노트 발표에서 최광희 법무법인 세종 고문이 기술적 사전 예방의 한계를 지적하며 이같이 말했다. 최 고문은 “선의로 포장된 섣부른 초동 조치가 업무상 배임으로 해석될 수 있다”며 개인정보보호최고책임자(CPO) 주도의 치밀한 법적 방어막 구축을 조언했다. </div> <p contents-hash="9da7e18f871b7cc8c333788da84dde1d20b22584bdce97600f90914232e0b71e" dmcf-pid="bYjk5UfzDb" dmcf-ptype="general">그는 ‘사이버 침해사고로 직면하게 되는 기업의 위험과 CPO 대응 핵심 사항’을 주제로 한 발표에서 CPO가 사고 때 직면하는 3대 분기점으로 △증거 보존 △신고·통지 타이밍 △사전 점검을 지목했다. </p> <p contents-hash="85ea92f6415e8fb5a55f562d08d00c599a062e61fe37798120903102de790dcd" dmcf-pid="KGAE1u4qOB" dmcf-ptype="general">회사는 사고 조사를 서둘러 끝내고 일상으로 복귀를 서두르는 경향을 보인다. 하지만 시스템 복구를 위해 악성코드를 즉시 삭제하거나 접속 로그를 지우는 실무진의 초동 조치가 오히려 수사기관의 조사를 방해하고 업무상 배임 등 형사적 ‘증거 인멸’ 리스크로 이어질 수 있다는 지적이다.</p> <p contents-hash="1ba95df4911bbd3a01979908725590b5a4eb91148617ec76f57cd27f267e2c8a" dmcf-pid="9UCSB4iPDq" dmcf-ptype="general">최 고문은 사이버 침해 신고율은 10% 미만에 불과하며, 실제 국내 사고는 연 2만건 이상에 달한다는 전망도 내놨다. 클라우드 도입 확산으로 기업들 IT 시스템 구조가 획일화되는 한편, AI 기술은 빠르게 발전해 해커들의 공격 역량이 커진 데 따른 것이다. 과거 3개월 이상 소요되던 해킹 과정은 최근 단 몇일로 단축됐다. </p> <p contents-hash="48ea67128017feca8d8a04c6031b5ffc5518378dbaaafaffbd9a27c2e0723a15" dmcf-pid="2uhvb8nQsz" dmcf-ptype="general">최근 SKT나 쿠팡 등 대형 보안 사고에서 11개 이상의 규제 기관이 동시에 들이닥쳐 기업 업무가 마비되는 현실에 대한 이야기도 이어졌다. 최 고문은 조사를 신속하게 마무리하고 일상으로 돌아가기 위한 사후 복원력, 즉 레질리언스(Resilience) 확보가 CPO의 핵심 역량임을 강조했다. </p> <p contents-hash="c7c7e0bee425cefb9506b98d0e1f3a396543f3e25f53a4e3be38f01d05b16986" dmcf-pid="V7lTK6Lxs7" dmcf-ptype="general">사고 조사 과정에서 피해 규모가 추가로 확인되는 것은 자연스러운 현상이지만 이를 은폐나 축소로 몰아가는 보도 프레임 문제도 지적했다.</p> <p contents-hash="e4fdbcd0aed8c1f0f3ce6db2a3373d91c52cd822c9f31f015b0b9bcc1c37d006" dmcf-pid="fzSy9PoMmu" dmcf-ptype="general">CEO와 CPO의 형사 책임 및 징벌적 배상 내용이 추가된 개정 개인정보보호법과 정보통신망법 대응 방안도 소개했다. 사고 인지 시점 후 24시간(KISA 신고) 또는 72시간(개인정보위 신고) 안에 신고해야 하는 규정 준수하기 위한 ‘플레이북’ 구축이 필요하다는 의견이다. </p> <p contents-hash="7e67214502d0fd440b9b787c12d88bef37bd8b34c4df7ece7784b96a82ac384b" dmcf-pid="4qvW2QgROU" dmcf-ptype="general">나아가 ISMS-P 등 서류상의 형식적 체크리스트 점검에 안주하지 않고, 평시 도상훈련(TTX)과 모의 해킹을 반복해 조직의 실질적 위기 대응 수준을 끌어올려야 엄격해진 규제 당국의 잣대를 통과할 수 있다고 진단했다.</p> <p contents-hash="b12f6305c8411cc92a155a67ed42b050b62c8d42af711c27c639b7b51d054b58" dmcf-pid="8BTYVxaemp" dmcf-ptype="general">최 고문은 “사이버 사고는 더 이상 피할 수 있는 변수가 아니라 이미 발생을 전제로 한 상수”라며 “가벼운 접촉 사고를 줄이는 데 집착할 것이 아니라 조직을 파괴하는 치명적인 인사 사고를 막는 데 전사적 역량을 집중해야 한다”고 말했다. 무조건적인 기술적 방어에 매몰될 것이 아니라, 치밀하게 설계된 플레이북과 원본 보존 절차를 통해 사후 법적 리스크를 최소화하는 전사적 거버넌스 쇄신이 시급하다는 조언이다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 美·中, AI 이어 양자 패권전쟁 점화…韓, 대응 속도 높여야 06-23 다음 메이플스토리 유니버스 이강석 실장 “MSU 2.0 넘어 넥슨 메가 IP 단계까지 확장” 06-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.