본문 바로가기

처음 오셨나요?

정보보호관리자가 쉽게 풀어쓴 실무와 일상 속 정보보호 이야기입니다.

ISMS-P 개인정보보호 AI 활용 정보보호 실무
공지글 보기

⭐ 처음 방문했다면

일상에서 바로 이해하고 실천할 수 있는 정보보호 글부터 읽어보세요.

🔒 정보보호 포털

관심 있는 주제를 골라서 읽어보세요.

🔥 많이 찾는 글

대표 글 주소가 정해지면 아래 링크만 실제 글 주소로 교체하면 됩니다.

ISMS-P 보안관리

사고는 막을 수 없다 - 레질리언스 시대의 보안

by 세진파파 2026. 7. 6.
반응형

안녕하세요. 세진파파입니다. 

2주전에 코엑스에서  열렸던 PIS2026 에 다녀왔는데요. 

올해는 강의를 모두 폰으로 녹취를 했고 AI로  내용정리를 했습니다.

그 첫번째 "사고는 막을 수 없다 - 레질리언스 시대의 보안" 에 대해서 정리해보았습니다. 

 

 

2026 개인정보보호 컨퍼런스 후기 ①

우리가 보안을 바라보는 방식이 근본적으로 바뀌어야 할 때입니다.

지난주 개인정보보호 컨퍼런스에 다녀왔습니다. 이틀 동안 21개 강의를 들으면서 머릿속에 가장 강하게 남은 문장이 하나 있어요.

이제 사고를 완전히 막는 건 불가능하다. 중요한 건 사고가 났을 때 얼마나 빠르게 회복하느냐다.

보안 담당자로서 꽤 오래 일해왔는데, 이 말이 새삼스럽게 다가온 건 그 전제가 달라졌기 때문입니다. 예전에는 "철벽 방어"가 목표였다면, 이제는 "사고를 전제로 한 설계"가 현실이 된 거예요.

✅ 사각지대는 항상 존재한다

컨퍼런스에서 한 대형 금융사 CISO가 실제 침해사고 사례를 분석해서 발표했는데, 공통적으로 나오는 패턴이 있었어요.

  • 패치 예외 케이스 — "이건 잠깐만 미뤄도 되겠지"라고 예외 처리한 시스템이 침해 경로가 됩니다.
  • 자산 목록에 없는 시스템 — 관리 대상에서 빠진 서버나 장비가 외부에 노출되어 있는 경우가 생각보다 많아요.
  • 로그에 찍히지 않는 공격 — 리버스쉘처럼 방향을 반대로 이용하는 공격은 기존 탐지 체계로는 잡히지 않습니다.
  • 암호화 이전 단계의 노출 — DB는 암호화했는데 애플리케이션 로그에 개인정보가 평문으로 찍히는 경우.
핵심은 이겁니다.
사고난 회사들이 특별히 보안에 무관심했던 게 아니에요. 다들 어느 정도 갖추고 있었는데, 관리 대상에서 빠진 "사각지대" 하나가 문제였습니다.

✅ 레질리언스 — 새로운 보안의 기준

이번 컨퍼런스에서 여러 강연자들이 공통적으로 언급한 개념이 바로 사이버 레질리언스(Cyber Resilience)입니다.

단순히 영어 단어라서 어렵게 느껴지지만, 개념은 간단해요.

  • 예방(Prevention) — 공격이 들어오지 못하게 막는 것
  • 탐지(Detection) — 들어온 공격을 빠르게 발견하는 것
  • 대응(Response) — 피해를 최소화하며 대처하는 것
  • 복구(Recovery) — 사고 후 빠르게 정상으로 돌아오는 것

기존에는 예방에만 집중했다면, 이제는 탐지·대응·복구까지 동등하게 준비해야 한다는 거예요. 특히 복구는 준비 없이는 절대 빠를 수 없습니다.

현실적인 질문 하나 드릴게요.

지금 이 순간 랜섬웨어 공격으로 서버가 모두 암호화됐다면, 여러분 회사는 며칠 안에 복구할 수 있나요?

백업은 있나요? 그 백업이 운영 서버와 분리되어 있나요? 실제로 복구 테스트를 해본 적 있나요?

이 세 가지 질문에 자신 있게 "예"라고 답할 수 있는 회사가 생각보다 많지 않습니다.

✅ 경영진이 함께해야 하는 이유

또 하나 인상 깊었던 부분은 보안이 더 이상 IT 담당자 혼자의 문제가 아니라는 점이었어요.

법률 전문가 강연에서는 이런 이야기가 나왔습니다. 개인정보 유출 사고가 발생하면 수사기관 조사가 시작되는데, 복수의 기관이 동시에 들어오는 경우도 있다고요. 이건 IT팀이 혼자 감당할 수 있는 수준이 아닙니다.

그리고 중요한 법 개정 내용도 있었는데요. 보안에 사전 투자를 했고, 그 증거가 있다면 사고 발생 시 과징금이 감경됩니다. 반대로 아무것도 없으면 "그러니까 사고가 난 거야"라는 논리가 성립해버려요.

사고가 나도 우리는 할 걸 다 했다는 걸 증명할 수 있어야 한다 — 강연에서 반복적으로 나온 이야기입니다.

보안 활동의 목적이 단순히 "사고 예방"에서 "사고가 나도 우리는 할 걸 다 했다는 걸 증명"으로 확장된 거예요.

✅ 중소기업에게도 예외는 없다

"우리는 작은 회사니까 공격자들이 관심 없을 거야"라는 생각, 저도 솔직히 한 번쯤 해본 적 있어요. 근데 이번 컨퍼런스에서 그 생각이 완전히 바뀌었습니다.

랜섬웨어 공격은 특정 기업을 타겟으로 하는 게 아니에요. 취약한 곳을 자동으로 스캔해서 들어가는 구조입니다. 규모가 작을수록 오히려 보안 허점이 많아서 더 쉬운 타겟이 됩니다.

그래서 이렇게 생각하기로 했습니다.

보안은 "만약을 위한 준비"가 아니라 "언젠가 반드시 필요한 준비"입니다.
그리고 준비는 사고가 나기 전에 해야 의미가 있어요.

✅ 마치며 — 다음 편 예고

이번 1편에서는 컨퍼런스 전체를 관통하는 큰 흐름, "레질리언스"에 대해 이야기했습니다.

다음 편에서는 이번 컨퍼런스에서 가장 많이 언급됐던 주제, AI 시대에 개인정보가 어떻게 새는지에 대해 이야기해볼게요. ChatGPT나 Claude 같은 AI 도구를 업무에 쓰시는 분들이라면 꼭 읽어보셨으면 합니다.

※ 본 포스트는 2026년 개인정보보호 컨퍼런스 참석 후 작성한 개인적인 인사이트 공유 글입니다. 특정 기업이나 사례를 직접 언급하지 않았으며, 공개된 정보를 바탕으로 작성했습니다.

📚 2026 개인정보보호 컨퍼런스 후기 시리즈

  • ① 사고는 막을 수 없다 — 레질리언스 시대의 보안 (현재 글)
  • ② AI 시대, 개인정보는 어디로 새는가 (예정)
  • ③ 9월부터 바뀌는 개보법, 우리 회사는 준비됐나 (예정)
  • ④ 중소기업 개인정보 보호, 어디서부터 시작할까 (예정)
  • ⑤ 생체정보·지문·얼굴인식, 암호화하고 있나요 (예정)
반응형