㈜소프트이천

2026년 1월 28일, 정부는 「제2차 정보보호 종합대책」을 발표하며, 국내 정보보호 정책 기조가 기존의 사고 대응 중심 체계에서 기업 책임 기반의 예방 체계로 전환되고 있음을 분명히 했다. 이번 대책은 통신·플랫폼·금융 등 국민 생활과 밀접한 분야에서 반복적으로 발생한 대형 침해사고를 배경으로 수립됐다.

특히 이번 종합대책은 단순한 보안 강화 권고가 아니라, 기업의 법적 책임을 확대하고 소비자 보호를 제도적으로 강화하는 방향에서 컴플라이언스 환경 자체를 변화시키고 있다는 점에서 주목된다.

대형 침해사고가 촉발한 정책 전환
정부는 최근 주요 해킹 사고의 원인이 고도화된 공격기술 때문이라기보다, 기본적인 보안수칙 미준수에서 비롯됐다고 지적했다. 실제로 유심 정보 유출, 랜섬웨어 감염, 카드정보 유출 등의 사례는 암호화 미적용, 보안 패치 방치, 권한 통제 부실 등 기초 보안관리 실패가 핵심 원인으로 제시됐다.

[표 1] 2025년 대형 침해 사고 [출처: 제2차 정보호호 종합대책안(2026.01)]

이러한 구조적 문제는 AI 기반 공격 자동화가 본격화되면서 더욱 심각한 리스크로 확대되고 있다. 정부는 침해사고 신고 건수가 2017년 287건에서 2024년 1,887건으로 급증했으며, AI가 취약점 탐색과 공격 실행 비용을 낮추면서 공격자 우위 환경이 강화되고 있다고 분석했다.

변화의 핵심 1: 기업 책임과 소비자 피해 구제가 강화된다
이번 대책에서 가장 큰 변화는 침해사고 발생 시 기업 책임 범위가 개인정보 유출에 국한되지 않고, 소비자 피해 전반으로 확대된다는 점이다.정부는 개인정보 유출 외의 침해사고 피해에 대해서도 분쟁조정 제도를 도입하는 방안을 추진하고 있으며(정보통신망법 개정, 2026년), 이는 사고 발생 이후 기업이 부담해야 할 법적·재무적 리스크가 크게 증가할 수 있음을 의미한다.

또한 기존에는 “유출 사실을 인지한 경우”에만 통지가 의무였으나, 앞으로는 유출 가능성이 있는 경우에도 조기 통지가 요구된다. 통지 항목에는 손해배상 청구, 분쟁조정 신청 등 소비자 대응 정보까지 포함될 예정이다. 이는 기업이 사고 대응을 기술적 복구 수준에서 끝낼 수 없으며, 소비자 보호 프로세스까지 포함한 체계적 IR(Incident Response) 운영이 필수 요건으로 자리잡고 있음을 보여준다.

변화의 핵심 2: 보안 투자 수준이 제재 수준을 결정한다
이번 종합대책은 규제 강화와 동시에 투자 유인 구조를 포함하고 있다. 정부는 개인정보보호법상 안전조치 의무 수준을 넘어서는 인력·예산·설비 투자를 수행한 기업에 대해 과징금 경감을 추진하고 있다. 이는 컴플라이언스가 단순히 최소 요건 충족 여부가 아니라, 기업의 보안 투자 성숙도가 직접적인 평가 요소가 되는 방향으로 이동하고 있음을 의미한다. 앞으로 정보보호는 비용이 아니라 경영 리스크 관리와 투자 판단의 핵심 지표로 재정의될 가능성이 높다.

변화의 핵심 3: AI 기반 공격 시대, AI 기반 대응이 요구된다
정부는 AI를 활용한 공격 자동화에 대응하기 위해 민간·공공의 위협 탐지·대응 시스템을 AI 기반으로 전환하겠다고 밝혔다. 또한 AI 서비스와 에이전트 환경에서 발생할 수 있는 모델 오염, 업데이트 위조, 중요정보 유출 등의 위협을 식별하기 위해 AI 분야별 보안 모델을 개발하고, AI 레드팀 운영을 통한 모의침투 테스트를 본격화할 예정이다. 기업 입장에서는 AI 기반 SOC, XDR 등 지능형 탐지·대응 체계가 중장기 컴플라이언스 대응의 필수 기반이 될 전망이다.

정책 변화에 따른 기업 대응 방향: 컴플라이언스 요구사항과 보안 대응 과제 정리
이번 「제2차 정보보호 종합대책」은 정보보호를 단순한 규제 준수(compliance) 차원의 관리 항목이 아니라, 침해사고를 예방하고 법적·재무적 책임을 최소화하기 위한 핵심 경영 요소로 기업 내부에 내재화할 것을 요구하고 있다. 이에 따라 기업의 정보보호 체계는 사고 발생 이후 대응에 초점을 둔 구조에서 벗어나, 사전 예방과 상시적인 위험 관리를 중심으로 한 보안 운영 모델로의 전환이 불가피해지고 있다.

특히 소비자 보호 의무 강화, 침해사고 통지 책임 확대, AI 기반 공격 고도화, 중요 데이터 보호 요구, 제품 보안(Security by Design) 및 공급망 보안 강화 등 복합적인 정책 변화가 동시에 추진됨에 따라, 기업은 보안 거버넌스, 기술적 통제, 운영 프로세스를 포괄하는 종합적인 대응 체계를 선제적으로 마련할 필요가 있다.

이러한 관점에서 [표 2]는 주요 정책 변화에 따라 기업이 준비해야 할 대응 과제를 관리적 조치와 기술적 조치로 구분하고, 이를 지원하기 위해 보안 기업이 제공할 수 있는 솔루션 및 서비스 영역을 정리한 것이다.

[표 2] 주요 정책 변화에 따른 기업 대응 과제: 관리적 조치 vs 기술적 조치 예시

※ 본 표는 정책 과제의 성격에 따라 관리적·기술적 조치를 구분해 정리하였으며, 하나의 정책 과제가 두 영역을 동시에 요구하는 경우에는 이를 각각 제시하였다.

※ 본 표는 정책 요구사항을 기준으로 한 대표적 대응 솔루션의 예시이며, 산업별 환경에 따라 적용 솔루션은 달라질 수 있다.

컴플라이언스 대응을 위한 안랩(AhnLab) 보안 체계 적용 방안
「제2차 정보보호 종합대책」은 기업이 침해사고 예방과 책임 최소화를 위해 기술적 통제 수단뿐 아니라, 운영 프로세스와 거버넌스를 포함한 정보보호 체계를 종합적으로 구축할 것을 요구하고 있다. 특히 소비자 보호 의무 강화, AI 기반 공격 고도화, 중요 데이터 암호화 확대, 취약점 관리 체계 정비 등 정책 요구사항이 동시에 강화됨에 따라, 기업은 개별 솔루션 중심의 대응을 넘어 통합적인 보안 체계 관점에서 대응 전략을 수립할 필요가 커지고 있다.

이러한 환경에서 안랩은 보안 컨설팅 서비스를 기반으로, 위협 탐지·대응(XDR/MXDR), 위협 인텔리전스(TIP), 취약점 및 공격표면 관리, 엔드포인트·네트워크 보안 등 주요 영역에서 정책 변화에 대응할 수 있는 보안 역량을 제공할 수 있다. [표 2]에 제시된 솔루션 및 서비스는 이러한 정책 요구사항에 대응하기 위한 대표적인 적용 예시로, 실제 적용은 기업의 산업 특성과 보안 환경에 따라 달라질 수 있다.

정보보호는 ‘규제 대응’이 아니라 ‘기업 생존 조건’으로
「제2차 정보보호 종합대책」은 한국 정보보호 컴플라이언스가 새로운 단계로 진입했음을 보여준다. 소비자 피해 구제 강화, AI 기반 공격 환경의 확산, 제품 보안 책임 확대는 기업에게 정보보호를 단순한 IT 운영 이슈가 아닌 경영 리스크로 다룰 것을 요구한다.

앞으로 기업 경쟁력은 사고 이후 복구 역량이 아니라, 사고를 예방하고 책임을 최소화할 수 있는 보안 내재화(Security by Design) 수준에서 결정될 가능성이 높다.

출처 : AhnLab