Africa

Americas

Asia

Europe

Oceania

인기 토픽

토픽

About

정책

네트워크

자세히 보기

John Leyden
By
Senior Writer

보안 사고 숨기라는 경영진··· 규제 준수와 침묵 사이 CISO의 딜레마

기획
2025.09.056분
규정 준수데이터 유출보안

최근 조사에 따르면 CISO 중 69%가 고용주로부터 보안 침해 사실을 외부에 알리지 말라는 지시를 받은 경험이 있다고 답했다. 이는 2년 전 42%에서 크게 증가한 수치다.

A businessman, visibly stressed, holds his head in a busy industrial environment, reflecting work tension and pressure.
Credit: Dragana Gordic / Shutterstock

CISO가 보안 사고를 외부에 공개하지 말라는 압박을 갈수록 더 많이 받고 있는 것으로 나타났다. 기업이 규제 준수보다 평판 보호를 우선시하는 경우가 많다는 이유다.

비트디펜더(Bitdefender)의 최근 조사에 의하면, CISO 중 69%가 보안 침해 사실을 비공개로 유지하라는 지시를 받은 적이 있다고 응답했다. 2년 전 동일한 조사에서 기록된 42% 수준보다 크게 증가한 수치다.

비트디펜더 기술 솔루션 디렉터 마틴 주제크는 사이버 공격 방식의 변화가 일부 보안 침해가 공개되지 않는 데 직접적인 영향을 미치고 있다고 분석했다.

주제크는 “과거 데이터를 암호화하고 공개를 강요하던 전통적인 랜섬웨어 공격은 줄어들고 있다. 대신 공격자가 업무를 방해하지 않는 데이터 탈취에 집중하면서, 고객이나 일반 대중이 침해 사실을 인지하기 어렵게 만들고 있다”라고 말했다.

최근에는 암호화가 사용되더라도 주로 백엔드 인프라에 국한되는 경우가 늘고 있다. 예컨대 레드컬(RedCurl) 그룹은 최근 공격에서 하이퍼바이저만을 표적으로 삼아 실제 사용자 시스템에는 영향을 주지 않았다.

주제크는 “이런 방식은 외부에 알려질 위험을 줄이고 비공개 협상을 가능하게 한다. 결국 CISO가 외부 공개를 미루라는 압박을 더 심하게 받는 요인이 된다”라고 설명했다.

규제 압박

오늘날 CSO는 다양한 규제를 준수해야 하는 압박을 받고 있다. 대표적으로 EU 일반개인정보보호규정(GDPR)과 같은 데이터 보호 규정, 일정 기한 내 보안 사고를 보고해야 하는 금융 시장 규제 등이 있다. 여기에 더해 사이버 보안 및 회복력법(Cyber Security and Resilience Act), DORA, NIS2 등 새로운 규제가 등장하면서 조사가 더욱 강화되고 있다.

특히 CISO는 보안 사고를 보고하지 않을 경우 개인이 법적 책임을 질 위험이 있는 상황이지만, 규제 위반 문제를 축소하거나 아예 보고하지 말 것을 요구받고 있다.

사이버 보안 컨설팅 기업 사이엑셀(CyXcel)의 최고 지역 책임자이자 전직 CISO인 브라이언 말랫은 과거 근무하던 회사에서 보안 사고를 축소 보고하라는 요구를 받은 뒤 퇴사를 결정했다고 밝혔다.

그는 “이전 회사에서 CIO가 감사위원회에 리스크를 공유하지 말고, SEC 10-K 보고서에 보안 역량을 과장해 기재하라고 요구했다. 이는 당시 발생한 비즈니스 이메일 침해의 세부 내용을 공유하지 말라는 지시가 있은 뒤였다”라고 말했다.

말랫은 이어 “해당 CIO는 은퇴까지 1년밖에 남지 않았다며 ‘괜히 파장을 일으키고 싶지 않다’고 했다”라고 전했다.

말랫은 “돈보다 윤리가 더 중요했다. 침해 사고의 세부 내용을 공개하지 말고 보안 역량을 과장하라는 요구를 받았을 때 회사를 떠났다”라고 설명했다.

‘강도 높은’ 보안사고 침묵 압박

한편 보안 사고 의혹에 대해 침묵하라는 압박을 받았다고 밝힌 또 다른 전직 CISO 2명은 이전 고용주와 체결한 계약 종료 후 비밀유지 합의 때문에 익명을 요청했다.

그중 한 명은 “유럽의 포춘 글로벌 500대 기업에서 근무하던 당시에 이런 상황을 여러 차례 목격했다. 특히 주주총회나 분기 실적 발표를 앞두고 압박이 극심했다”라고 말했다.

또 다른 전직 CISO는 “모든 보안 사고가 우선 CIO를 거쳐야 했고, 이후 CIO가 리더십 팀이나 이사회, 특히 CFO(최고재무책임자)에 보고했다. 사건의 긴급성이나 규제상 기한과는 관계없이 그렇게 처리됐다”라고 말했다. 그는 “항상 똑같은 이유가 붙었다. ‘이건 반드시 사이버 보안 사고라고 볼 수는 없다’는 것이었다. 최종 공개 여부는 늘 CISO의 참여 없이 결정됐다”라고 설명했다.

이 CISO는 자신이 직접 겪은 사례를 익명으로 정리해 소개했다.

  • 자동차 개발 데이터 탈취: 내부 직원이 약 500GB 규모의 민감한 엔지니어링 데이터와 개인정보를 빼돌려 다크웹에 판매했다. 근본적인 원인은 계정 및 접근 관리(Identity and Access Management, IAM) 설정 오류였다. 그러나 회사는 이를 “단순 데이터 도난일 뿐 해킹은 아니다”라며 공개하지 않았다.
  • 보안 리더의 관리자 권한 남용: 한 고위 보안 직원이 관리자 권한을 악용해 부하 직원을 협박하고, 이사회 구성원과 회사 주요 인사의 계정에 접근했다. 보안 관제 센터(SOC)가 이를 탐지했지만, 회사는 이를 사이버 공격이 아닌 ‘설정 오류’로 분류했다.
  • 해외 금융 부문 해킹: 해커들이 제3자 침해와 다단계 인증 누락을 악용해 SAP 업체 대금 약 5천만 유로를 가로챘다. 그러나 회사는 이를 “현지 EU 법규 적용 대상이 아니다”라며 공개하지 않았다.
  • 관리자 자격 증명 도난: 크라우드스트라이크(CrowdStrike)가 여전히 활성 상태인 관리자 계정에 대해 경고했으나, 관련 로그는 사라진 상태였다. 레드팀 및 블루팀은 IAM 재설정을 권고했지만, 회사는 ‘직접적인 피해가 확인되지 않았다’는 이유로 이를 무시했다.
  • CISO 뇌물 스캔들: 한 빅5 IT 서비스 업체가 글로벌 계약을 따내기 위해 그룹 CISO와 그의 직속 보고자 2명에게 고급 휴가와 값비싼 혜택을 제공했다. 관련 증거는 묵살됐고, 해당 CISO는 거액의 퇴직금과 함께 조용히 교체됐다. 팀원들에게는 이 사건을 언급하지 말라는 지시가 내려졌다.

다른 CISO는 회사가 고객 이메일과 이름 등 개인 정보가 포함된 데이터 유출이 의심된다는 통보를 받은 사건이 있었다고 밝혔다. 이때 신용카드 정보는 포함되지 않았다.

당시 회사는 문제의 원인이 자사 시스템이 아니라 서드파티 웹사이트 소프트웨어 개발사에 있다는 사실을 확인했다. 고객 데이터가 연루돼 있었지만, 회사는 ‘우리의 문제가 아니다’라는 이유와 함께 비즈니스 관계 유지를 위해 해당 사실을 보고하지 말라고 지시했다.

진퇴양난에 처한 CISO

이런 사례는 CISO가 처한 진퇴양난을 보여준다. 법적으로는 보안 책임을 져야 하지만, 기업의 이해관계와 충돌하면 기준을 무시하고 침묵하라는 압박을 받는다. 전직 CISO는 “경영진은 보안을 진정으로 중요하게 여기는 사람들에게 이 문제가 어떤 의미인지 제대로 이해하지 못한다”라고 말하며, 어려운 입장에 놓인 끝에 침묵하라는 요구에 따를 수밖에 없었다고 설명했다.

그는 또한 “침묵을 깨고 나서는 CISO나 다른 보안 담당자를 위한 재정적, 명예적 차원의 내부고발자 보호 장치는 거의 존재하지 않는다”라고 덧붙였다. 이는 침묵을 깨는 순간 경력이 단절될 수 있다는 의미일 수 있다.

전직 CISO는 “내 경우 분명히 블랙리스트에 올랐다고 생각한다. 성과 평가에서 ‘더 높은 자리에 오르고 싶다면 회사에 더 맞추고, 자신의 기준이나 팀보다 회사를 우선시해야 한다’는 말을 들었다. 그 대화가 결국 회사를 떠나게 된 핵심 이유였다”라고 설명했다.

사이엑셀의 말랫은 실제로 고객이나 비즈니스 파트너에게 영향을 미칠 가능성이 크더라도 경영진이 보안 사고 발생 사실을 숨기려고 하는 경우가 많다고 지적했다.

말랫은 “컨설턴트로 활동하는 동안 많은 CISO가 회사로부터 보안 사고의 세부 내용을 공유하지 말라는 요청을 받거나, 아예 사고 발생 사실조차 알리지 말 것을 요구받았다고 했다. 하지만 랜섬웨어 사건이 증가하고 디지털 포렌식 및 사고 대응을 위한 외부 전문가 투입이나 보험 청구가 필요해지면서 이제는 중대한 사고를 숨기기가 훨씬 더 어려워지고 있다”라고 설명했다.

침묵은 해답이 아니다

CM 로펌(CM Law)의 파트너 캐롤라인 모건은 규제 당국이 보안 사고 공개를 기대할 뿐 아니라 의무화하고 있는 상황이라면서, “그런데도 침묵하라는 회사 내부의 압박이 실재한다”라고 말했다.

모건은 “법적으로 기업이 보안 사고를 숨길 경우 문제를 피하는 것이 아니라 오히려 상황을 더 악화시킨다. 이 경우 단순한 침해 사고 자체를 넘어 은폐 행위까지 포함되기 때문에 대가가 훨씬 더 심각할 수 있다”라고 경고했다.

그는 또한 “규제 당국은 기업의 침묵을 지속적인 불이행 패턴으로 간주해 막대한 제재를 가할 수 있다. 이는 평판 손상, 고객 신뢰 상실, 나아가 소송으로 이어질 수 있다”라고 말했다.

이어 모건은 “CISO나 보안 책임자가 은폐를 시도하다가 발각될 경우 경력이 끝나는 것은 물론 개인적으로 소송을 당하거나 규제 당국의 벌금, 더 나아가 형사 처벌까지 받을 수 있다”라고 설명했다.

실제로 우버(Uber) 전 CSO 조 설리번은 2016년 보안 침해 사건 은폐 혐의로 유죄 판결을 받고 집행유예를 선고받은 바 있다.

사고 대응 방법

현재 다수의 데이터 보호법은 보안 사고를 신속히 보고하는 것을 핵심 원칙으로 삼고 있다.

모건은 “기업이 보고를 막으려는 내부 압박을 하나의 위협 요인으로 인식하고, 실제 침해가 발생하기 전에 이를 최소화할 수 있는 대응책을 마련한다면 위험을 크게 줄일 수 있다”라고 조언했다.

그는 “기업은 투명성을 보장하는 견고한 사고 대응 계획을 마련함으로써 내부 압박을 줄일 수 있다”라며 “여기에는 사고를 윤리적으로 처리하는 방법에 대한 교육과, 상업적 이해관계와 분리된 의사결정 권한도 포함해야 한다”라고 말했다.
dl-ciokorea@foundryco.com

John Leyden
By
Senior Writer

John Leyden reports on cybersecurity for CSO Online. He has written about computer networking and cyber-security for more than 20 years.

Prior to joining CSO, John wrote and edited articles for PortSwigger's The Daily Swig covering topics including web security, vulnerabilities and hacking culture. He also co-hosted the SwigCast podcast. For more than 17 years, John covered a wide variety of topics including network security and enterprise technology for The Register. His work at The Register earned him a number of awards, including the BT Enigma award for contributions to technology journalism.

Before the advent of the interwebs John worked as a crime reporter at a local newspaper in Manchester, UK. John holds a degree in electronic engineering from City University, London.

이 저자의 추가 콘텐츠

추천 콘텐츠

뉴스

스위스 학계, 빅테크 LLM에 맞선 ‘윤리적’ 대안 오픈소스 AI 모델 공개

By John E. Dunn
4분
인공지능생성형 AI
이미지
뉴스

구글, 온프레미스 클라우드에 제미나이 도입···데이터 보호 강화 나서

By Andy Patrizio
1분
데이터센터데이터 및 정보 보안
이미지
기획

보안 사고 숨기라는 경영진··· 규제 준수와 침묵 사이 CISO의 딜레마

By John Leyden
6분
규정 준수데이터 유출보안
이미지