AI 해킹으로 보안기업마저 뚫린 2025년, 기업 문서보안의 기준이 바뀌었습니다.

막는 것에서 증명하는 것으로. 개인정보보호법 개정과 함께 준비해야 할 문서 거버넌스를 알아보세요.

--------------------------------------------------------------------------------------

올해 상반기, 사이버 침해사고가 15% 늘어난 진짜 이유

"또 해킹 사고 났네요."

이제 이런 뉴스가 낯설지 않습니다. 한국인터넷진흥원 통계를 보면 2025년 상반기 사이버 침해사고 

신고 건수가 1,034건으로 전년 동기 대비 15% 증가했습니다. 그런데 숫자보다 더 중요한 변화가 있습니다.

해킹 방식이 완전히 달라졌다는 점입니다.

지난 11월, 대한상공회의소와 김앤장 법률사무소가 공동 개최한 「최근 사이버보안 위협과 기업의 대응 전략」 

세미나에서 가장 많이 언급된 키워드는 'AI'였습니다. AI를 활용한 해킹은 단순히 시스템에 침입하는 수준을 넘어섰습니다.

계정을 탈취한 뒤 내부 구조를 학습하고 문서 흐름을 파악한 다 핵심 정보만을 선별적으로 

빼내는 방식으로 진화했습니다. 마치 내부자처럼 행동하는 겁니다.

실무자들이 말하는 현장의 변화

"예전엔 랜섬웨어처럼 티가 났어요. 그런데 요즘은 몇 달간 조용히 문서만 빼가다가 나중에 발각됩니다. 그때는 이미 늦죠."

-중견 제조사 정보보안 담당자 K씨

문제는 여기서 시작됩니다. 사고가 터졌을 때, 기업은 무엇으로 대응할 수 있을까요?

-----------------------------------------------------------------------------

보안 기업도 뚫렸다는 사실이 던진 충격

올해 하반기, 국내 대표 보안 기업에서 내부 핵심 자료가 유출되는 사고가 발생했습니다. 

유출된 정보에는 고객사 계정 정보, 시스템 접근 구조, 내부 운영 문서 등이 포함된 것으로 알려졌습니다.

이 사건이 업계에 준 충격은 "큰 회사도 뚫릴 수 있구나" 수준이 아니었습니다. 

많은 기업의 법무팀과 경영진이 이런 질문을 던지기 시작했습니다.

"우리가 ISMS-P 인증도 받았고, 보안 솔루션도 다 갖췄는데... 그래도 사고가 나면 어떻게 대응하죠?"

더 본질적인 질문은 이겁니다.

•사고 이후, 기업은 무엇으로 책임을 설명해야 하나

•"저 자료는 가짜입니다"라는 해명이 법정에서 통할까

•감사원이나 금융감독원 앞에서 뭘 보여줄 수 있나

보안의 기준이 기술적 차단에서 사후 입증 가능성으로 이동하고 있음을 명확히 보여줬습니다.

--------------------------------------------------------------------------------

2025년 개정안이 기업에게 요구하는 것

2025년 개정이 논의 중인 개인정보보호법을 보면 대규모 유출 사고 발생 시 

기업 매출액의 최대 10%까지 과징금을 부과할 수 있습니다.

10%입니다. 연매출 1,000억 기업이면 100억입니다.

그런데 과징금보다 더 무서운 게 있습니다. 사고 조사 과정에서 기업이 실제로 요구받는 것들입니다.

감사 시 받게 되는 질문들

"이 문서가 언제 생성됐습니까?"

→ 시스템 로그만으로는 부족합니다. 로그는 조작 가능하니까요.

"사고 이후 내용이 바뀌지 않았다는 걸 어떻게 증명하시겠습니까?"

→ "안 바꿨습니다"라는 말로는 안 됩니다.

"누가, 어떤 권한으로 이 문서에 접근했습니까?"

→ 접근 기록이 있어도, 그게 진짜인지 증명해야 합니다.

"외부 기관에 제출 가능한 객관적 자료가 있습니까?"

→ 여기서 대부분 막힙니다.

"보안을 하고 있었다"는 주장만으로는 충분하지 않습니다. 

사고 이후에도 설명 가능하고, 제3자가 검증 가능한 구조가 필요합니다.

--------------------------------------------------------------------------------

기업 문서보안의 현실: 대부분은 아직 '막기'에만 집중한다

많은 기업이 문서보안이라고 하면 여전히 이런 것들을 떠올립니다.

• 저장 암호화

• 전송 구간 보호

• 접근 권한 관리

• DRM 솔루션

물론 이것들도 중요합니다. 하지만 실제 사고 대응과 법적 분쟁 상황에서는 이것만으로 부족합니다.

실제 분쟁 상황에서 필요한 것들

사례 1: 계약서 위변조 의혹 협력사가 "우리가 받은 계약서는 이게 아니다"라고 주장했습니다.

→ 우리가 발급한 원본이 맞다는 걸 어떻게 증명하죠?

사례 2: 내부 문서 유출 퇴사자가 재직 시절 문서를 외부에 유출했습니다.

→ 그 문서가 우리 회사 것이 맞다는 걸 법정에서 어떻게 입증하죠?

사례 3: 감사 대응 3년 전 발급한 증명서의 진위 여부를 확인해달라는 요청이 왔습니다.

→ 시스템 로그 외에 제시할 게 없는데, 이게 충분할까요?

이런 상황에서 필요한 건 단순 보호가 아닙니다.

•문서의 생성 이력과 관리 체계

•수정 여부에 대한 사후 검증 가능성

•외부 반출 이후에도 진본성을 확인할 수 있는 구조

•접근, 열람, 반출에 대한 행위 기록

문서는 더 이상 내부 자산에만 머물지 않습니다. 외부 제출, 감사, 분쟁, 소송까지 이어지는 책임의 매개체가 되었습니다.

문서보안 현장에서 자주 발생하는 문제

• 정보 유출 사고 상당수가 내부 문서에서 시작

• 분쟁 발생 시 문서 진위 입증에 어려움

• 법적 대응에 평균 6개월 이상 소요

---------------------------------------------------------------------------------

제증명 발급 시스템의 문서 위변조 위험, 생각보다 취약하다

대학, 공공기관, 병원, 기업에서 매일 발급되는 각종 증명서를 생각해보세요.

• 졸업증명서

• 재직증명서

• 진단서

• 경력증명서

• 잔액증명서

이 문서들은 모두 외부 제출을 전제로 합니다. 그런데 많은 조직에서 제증명 시스템은 "빨리 발급"하는 것에만 집중되어 있습니다.

실제로 발생하는 문제들

출력 이후 위변조

PDF로 발급했는데, 누군가 포토샵으로 금액을 수정했습니다.

→ 원본과 대조할 방법이 없습니다.

동일 문서의 복제·변형

같은 증명서를 여러 장 출력해서 각각 다른 용도로 사용했습니다.

→ 어느 게 진짜인지 구분할 수 없습니다.

발급 사실 자체의 증명 불가

"우리는 그런 문서 발급한 적 없다"는 민원이 들어왔습니다.

→ 시스템 로그 외에 객관적 증거가 없습니다.

이 지점에서 문서 진본성 검증 구조는 제증명 발급 시스템의 신뢰도를 근본적으로 끌어올리는 요소가 됩니다.

더 자세한 내용은 아이서티 네이버 공식 블로그에서 확인하실 수 있습니다.

https://blog.naver.com/icerti_official/224115237213