
안녕하세요. 세진파파입니다.
2주전에 코엑스에서 열렸던 PIS2026 에 다녀왔는데요.
올해는 강의를 모두 폰으로 녹취를 했고 AI로 내용정리를 했습니다.
그 첫번째 "사고는 막을 수 없다 - 레질리언스 시대의 보안" 에 대해서 정리해보았습니다.
2026 개인정보보호 컨퍼런스 후기 ①
우리가 보안을 바라보는 방식이 근본적으로 바뀌어야 할 때입니다.
지난주 개인정보보호 컨퍼런스에 다녀왔습니다. 이틀 동안 21개 강의를 들으면서 머릿속에 가장 강하게 남은 문장이 하나 있어요.
보안 담당자로서 꽤 오래 일해왔는데, 이 말이 새삼스럽게 다가온 건 그 전제가 달라졌기 때문입니다. 예전에는 "철벽 방어"가 목표였다면, 이제는 "사고를 전제로 한 설계"가 현실이 된 거예요.
✅ 사각지대는 항상 존재한다
컨퍼런스에서 한 대형 금융사 CISO가 실제 침해사고 사례를 분석해서 발표했는데, 공통적으로 나오는 패턴이 있었어요.
- 패치 예외 케이스 — "이건 잠깐만 미뤄도 되겠지"라고 예외 처리한 시스템이 침해 경로가 됩니다.
- 자산 목록에 없는 시스템 — 관리 대상에서 빠진 서버나 장비가 외부에 노출되어 있는 경우가 생각보다 많아요.
- 로그에 찍히지 않는 공격 — 리버스쉘처럼 방향을 반대로 이용하는 공격은 기존 탐지 체계로는 잡히지 않습니다.
- 암호화 이전 단계의 노출 — DB는 암호화했는데 애플리케이션 로그에 개인정보가 평문으로 찍히는 경우.
사고난 회사들이 특별히 보안에 무관심했던 게 아니에요. 다들 어느 정도 갖추고 있었는데, 관리 대상에서 빠진 "사각지대" 하나가 문제였습니다.
✅ 레질리언스 — 새로운 보안의 기준
이번 컨퍼런스에서 여러 강연자들이 공통적으로 언급한 개념이 바로 사이버 레질리언스(Cyber Resilience)입니다.
단순히 영어 단어라서 어렵게 느껴지지만, 개념은 간단해요.
- 예방(Prevention) — 공격이 들어오지 못하게 막는 것
- 탐지(Detection) — 들어온 공격을 빠르게 발견하는 것
- 대응(Response) — 피해를 최소화하며 대처하는 것
- 복구(Recovery) — 사고 후 빠르게 정상으로 돌아오는 것
기존에는 예방에만 집중했다면, 이제는 탐지·대응·복구까지 동등하게 준비해야 한다는 거예요. 특히 복구는 준비 없이는 절대 빠를 수 없습니다.
지금 이 순간 랜섬웨어 공격으로 서버가 모두 암호화됐다면, 여러분 회사는 며칠 안에 복구할 수 있나요?
백업은 있나요? 그 백업이 운영 서버와 분리되어 있나요? 실제로 복구 테스트를 해본 적 있나요?
이 세 가지 질문에 자신 있게 "예"라고 답할 수 있는 회사가 생각보다 많지 않습니다.
✅ 경영진이 함께해야 하는 이유
또 하나 인상 깊었던 부분은 보안이 더 이상 IT 담당자 혼자의 문제가 아니라는 점이었어요.
법률 전문가 강연에서는 이런 이야기가 나왔습니다. 개인정보 유출 사고가 발생하면 수사기관 조사가 시작되는데, 복수의 기관이 동시에 들어오는 경우도 있다고요. 이건 IT팀이 혼자 감당할 수 있는 수준이 아닙니다.
그리고 중요한 법 개정 내용도 있었는데요. 보안에 사전 투자를 했고, 그 증거가 있다면 사고 발생 시 과징금이 감경됩니다. 반대로 아무것도 없으면 "그러니까 사고가 난 거야"라는 논리가 성립해버려요.
보안 활동의 목적이 단순히 "사고 예방"에서 "사고가 나도 우리는 할 걸 다 했다는 걸 증명"으로 확장된 거예요.
✅ 중소기업에게도 예외는 없다
"우리는 작은 회사니까 공격자들이 관심 없을 거야"라는 생각, 저도 솔직히 한 번쯤 해본 적 있어요. 근데 이번 컨퍼런스에서 그 생각이 완전히 바뀌었습니다.
랜섬웨어 공격은 특정 기업을 타겟으로 하는 게 아니에요. 취약한 곳을 자동으로 스캔해서 들어가는 구조입니다. 규모가 작을수록 오히려 보안 허점이 많아서 더 쉬운 타겟이 됩니다.
보안은 "만약을 위한 준비"가 아니라 "언젠가 반드시 필요한 준비"입니다.
그리고 준비는 사고가 나기 전에 해야 의미가 있어요.
✅ 마치며 — 다음 편 예고
이번 1편에서는 컨퍼런스 전체를 관통하는 큰 흐름, "레질리언스"에 대해 이야기했습니다.
다음 편에서는 이번 컨퍼런스에서 가장 많이 언급됐던 주제, AI 시대에 개인정보가 어떻게 새는지에 대해 이야기해볼게요. ChatGPT나 Claude 같은 AI 도구를 업무에 쓰시는 분들이라면 꼭 읽어보셨으면 합니다.
※ 본 포스트는 2026년 개인정보보호 컨퍼런스 참석 후 작성한 개인적인 인사이트 공유 글입니다. 특정 기업이나 사례를 직접 언급하지 않았으며, 공개된 정보를 바탕으로 작성했습니다.
📚 2026 개인정보보호 컨퍼런스 후기 시리즈
- ① 사고는 막을 수 없다 — 레질리언스 시대의 보안 (현재 글)
- ② AI 시대, 개인정보는 어디로 새는가 (예정)
- ③ 9월부터 바뀌는 개보법, 우리 회사는 준비됐나 (예정)
- ④ 중소기업 개인정보 보호, 어디서부터 시작할까 (예정)
- ⑤ 생체정보·지문·얼굴인식, 암호화하고 있나요 (예정)
'ISMS-P 보안관리' 카테고리의 다른 글
| AI 시대, 개인정보는 어디로 새는가 (0) | 2026.07.14 |
|---|---|
| AI 도구 안전하게 쓰는 법 (11) | 2026.07.10 |
| ISMS 갱신 심사 결함조치, 이렇게 했다 (0) | 2026.06.22 |
| ISMS → ISMS-P 전환, 개인정보 처리 단계별 요구사항 체크리스트 (0) | 2026.06.15 |
| 취약점 진단 준비 포인트 - 중소기업이라면 이걸 활용하세요 (0) | 2026.06.12 |