[로펌라운지] 바른, '개인정보보호와 기업 사이버보안 대응 전략' 세미나 성료

"72시간 내 신고의무 등 초기 대응이 법적 책임 범위 좌우"

바른 최진혁 변호사가 10일 열린 ‘개인정보보호와 기업 사이버보안 대응 전략’ 세미나에서 발표하고 있다. [사진=법무법인 바른]

법무법인 바른(대표변호사 이동훈·이영희·김도형)이 10일 서울 강남구 섬유센터빌딩 2층 컨퍼런스홀에서 ‘개인정보보호와 기업 사이버보안 대응 전략’ 세미나를 개최했다고 11일 밝혔다.

사이버보안 전문기업, 대기업 정보보호 담당자, 법률 전문가 등이 한자리에 모여 최근 급증하는 해킹·개인정보 유출 사고에 대한 사전 예방 전략부터 사고 발생 시 법적 대응 방안까지 실무 중심의 대응 전략을 제시했다.

이번 세미나는 대규모 해킹 및 개인정보 유출 사고가 잇따르는 가운데, 개인정보보호법 개정에 따른 과징금 상한 인상, 과실 추정 규정 신설, 72시간 이내 유출 신고의무 등 규제까지 대폭 강화되면서 마련됐다. 사고 이후 대응 방식에 따라 기업의 법적 책임 범위는 물론 규제기관 대응 결과와 대외 신뢰도까지 크게 달라지고 있기 때문이다.

세미나는 4개 세션으로 진행됐다. 첫 번째 세션에서 조정현 엔키화이트햇 부사장은 ‘최근 보안사고 동향과 개인정보 보호를 위한 보안 전략’을 주제로 발표했다. 조 부사장은 AI를 악용한 악성코드 개발, 딥페이크 기반 사회공학 공격, 공급망 해킹 등 APT 그룹의 진화된 공격 기법을 분석했다. 이어 실제 기업망 침투 사례를 시연하며 웹 취약점을 통한 서버 장악부터 내부망 확산까지 공격의 전 과정을 보여줬다.

조 부사장은 "AI 발전으로 공격 비용은 기하급수적으로 감소하고 있다"며 "최소한의 지식만으로도 악성코드 개발, 정교한 피싱 메일 제작, 딥페이크 프로필 생성 등이 가능해졌다"고 설명했다. 이어 "단순한 방어 체계만으로는 위협을 완전히 차단하기 어렵다"며 "보안 담당자뿐 아니라 모든 구성원의 철저한 보안 의식이 필요하다"고 강조했다. 또한 그는 “보안장비 자체도 공격 대상이 될 수 있는 만큼, 보안장비에 대한 업데이트와 시큐어 코딩 점검 역시 필수”라고 덧붙였다.

두 번째 세션에서는 진형준 LG전자 정보보호담당 팀장이 ‘기업의 보안 정책 및 개인정보 보호 운영 현황’을 주제로 발표했다. 진 팀장은 LG전자의 정보보호 거버넌스 체계를 소개하며, 전사 정보보호위원회 운영, 3선 방어체계 기반의 리스크 관리, 정보보호 최고책임자(CISO) 중심의 보안 전략 수립 등 글로벌 대기업의 보안 운영 현황을 공유했다. 특히 협력사(수탁사) 관리를 ‘가장 어려운 숙제’로 꼽으며, 공급망 보안의 중요성을 역설했다.

진 팀장은 “정보보호 거버넌스가 잘 갖추어진 기업은 보안을 IT 부서의 기술적 이슈가 아닌 비즈니스 신뢰의 문제로 다룬다”며 “최고 경영진의 강력한 리더십 아래 정보보호를 비즈니스 전략과 문화로 내재화하고, 위험을 선제적으로 관리하며, 지속적인 개선을 통해 기업 가치를 보호하고 신뢰를 구축하는 것이 핵심”이라고 말했다.

세 번째 세션에서는 김주일 한국인터넷진흥원(KISA) 팀장이 ‘기업 보안 사고 예방 및 대응을 위한 한국인터넷진흥원의 지원 방안’을 소개했다. 김 팀장은 최근 3년간 개인정보 유출 사고가 급증하고 있으며, 2025년 유출 처분 건수가 전년 대비 2배 이상 증가했다고 진단했다. 이어 KISA의 ‘예방-탐지-대응-복구’ 전주기 지원 체계와 함께 내 서버 돌보미, 웹 취약점 점검, C-TAS(사이버 위협정보 분석·공유), DDoS 사이버대피소 등 기업이 활용할 수 있는 무상 지원 프로그램을 안내했다.

김 팀장은 “조사가 완벽해질 때까지 기다리지 말고, 사고 발생 사실 자체를 우선 신고하여 법적 리스크를 최소화해야 한다”며 “완벽한 방어는 없으나 신속한 탐지와 대응으로 피해를 최소화하는 '회복탄력성'을 구축하는 것이 중요하다”고 당부했다. 이어 “최근 주요 침해사고를 보면 고도의 기술적 제로데이 공격보다는 암호화 미적용, 권한 관리 소홀, 로그 관리 부재 등 '운영의 기본' 붕괴가 대규모 유출로 이어지고 있다”며 “최소 권한 부여, 다중 인증, 지속적 모니터링을 기본으로 갖춰야 한다”고 강조했다.

네 번째 세션에서는 최진혁 바른 변호사가 ‘사고 발생 시 조사·분쟁·행정제재 대응까지 기업의 법률리스크 관리 방안’을 주제로 발제했다. 최 변호사는 개인정보 유출 사고 발생 시 기업이 직면하는 법적 절차를 유출 시점, 분석 및 조사, 처분 및 대응의 단계별로 분석했다. 특히 유출 인지 후 72시간 이내 개인정보보호위원회 신고 및 정보주체 통지 의무, 현장조사 대응, 의견제출서 작성, 과징금 산정 기준 등 실무적인 대응 전략을 제시했다.

최 변호사는 "개인정보 유출 시 과징금은 전체 매출액에서 위반행위와 관련 없는 매출액을 구분해 제외하는 것이 중요한 포인트"라고 설명했다. 이어 "안전성 확보에 필요한 조치를 다한 경우에는 과징금을 부과하지 않도록 돼 있다"며 "개인정보보호법 제29조에 따른 내부 관리계획 수립, 접근권한 관리, 접근통제 등 안전성 확보 조치를 사전에 철저히 이행하고 점검하는 것이 가장 효과적인 예방책"이라고 강조했다. 또한 “수탁자를 통해 개인정보가 유출된 경우에도 위탁자가 책임을 부담할 가능성이 높다”며 “개인정보 위수탁 계약서에 기술적·관리적 보호조치, 재위탁 제한, 안전성 확보 조치 등을 명시하고, 수탁자에 대한 교육과 처리 현황 점검 등 감독의무를 이행해야 한다”고 강조했다.

전체 세션 종료 후에는 참석자들과의 질의응답 시간이 이어졌다. 참석자들은 실제 사고 발생 시 개인정보보호위원회 조사 대응 절차, 수탁사를 통한 유출 시 위탁자 책임 범위, 과징금 감경 사유 등에 관해 활발하게 질문했다.

이동훈 대표변호사는 “사이버보안과 개인정보 보호는 이제 기업 경영의 필수 의제”라며 “이번 세미나가 기업 관계자들에게 사전 예방부터 사후 대응까지 실질적인 판단 기준을 제공하는 자리가 됐기를 바란다”고 말했다.