위험에 처한 모두의 데이터: 데이터 보호는 단순한 규정 준수 이상의 문제

중요한 개인 정보와 독점 정보를 보호하는 것은 모든 사이버 보안 전략의 최우선 과제입니다. 이를 지키지 못하면 규제 위반에 따른 막대한 벌금은 물론 그보다 더 심각한 고객 신뢰의 훼손까지 초래할 수 있습니다. 데이터 개인정보 보호 규정은 복잡하고 방대하며, 새로운 침해 사건이 발생할 때마다 끝없이 확대되는 듯합니다.

물론 GDPR(일반 데이터 보호 규정), NIS2(네트워크 및 정보 시스템 지침 2), CCPA(캘리포니아 소비자 개인정보 보호법)와 같은 규정을 준수하는 것은 중요하지만, 데이터 보호는 단순히 벌금을 피하기 위한 것만이 아닙니다. 조직의 생명과 같은 신뢰와 평판, 장기적 생존을 보호하는 것입니다. 중요한 질문은 “어떤 규정을 준수해야 하는가?”가 아닙니다. 정말로 중요한 질문은 바로 “왜 데이터 보호가 규정 준수를 넘어 전략적 핵심 우선순위가 되어야 하는가?”입니다.

데이터 개인정보 보호 및 사이버 보안의 주요 현안

현대 사회에서 데이터 개인정보 보호와 사이버 보안의 상태를 평가할 때, 논의의 초점이 규정 준수에 맞춰지는 경우가 많습니다. 조직은 여러 국가와 주, 산업 전반에 걸쳐 데이터를 보호하기 위해 확대되는 규제 의무를 준수해야 합니다.

많은 사람들에게 규정 준수는 2018년 시행된 유럽연합의 GDPR과 같은 규정에서 시작됩니다.¹ GDPR은 시행 이후 전 세계적 기준과 같은 역할을 해왔습니다. 미국에서는 거의 24개에 달하는 주가 자체 규정을 제정했으며, 그 선두에는 CCPA가² 있습니다. CCPA의 엄격한 지침과 위반 시 부과되는 막대한 벌금은 규정 준수를 소홀히 할 경우 브랜드 이미지에 치명적인 타격을 줄 수 있음을 보여줍니다.

의료 분야의 HIPAA와 같은 산업별 규정은 복잡성을 더욱 가중합니다. 이처럼 다양한 규정을 준수하기 위해 많은 조직은 사이버 보안 도구와 서비스에 수십억 달러를 지출하고 있습니다. 실제로 한 연구에 따르면, 글로벌 데이터 개인정보 보호 소프트웨어 시장은 2024년 38억 달러에서 2032년에는 480억 달러 이상으로 급증할 것으로 예상됩니다. 이를 연평균 성장률로 환산하면 37%가 넘는 수준입니다.³

규정은 반드시 준수해야 하지만, 이는 전체 퍼즐의 한 조각에 불과합니다. 진정한 데이터 보호란 그저 벌금을 피하고 규제 요건을 충족하는 것 이상의 의미를 지니고 있습니다. 바로 비즈니스의 핵심을 보호하며 장기적인 성공을 보장하는 것입니다. 데이터 보호가 단순한 규정 준수를 넘어서는 중요한 과제임을 보여주는 몇 가지 핵심 요인은 다음과 같습니다.

• 운영 회복력: 개인 정보나 중요 정보가 침해되면 전체 비즈니스 운영이 중단될 수 있습니다. 공격의 출처를 파악하든, 그 영향을 완화하든, 데이터가 침해될 경우 서비스 중단이 불가피하며, 이는 직원과 파트너, 고객 모두에게 혼란을 초래합니다. 데이터 보호는 시스템의 안정적인 운영을 유지하고 많은 비용이 드는 서비스 중단을 방지하기 위해 필수적입니다.
• 금전적 손실: 데이터 침해에 의한 재정적 피해는 규제 기관의 벌금보다 훨씬 더 큽니다. 업무 중단에 의한 수익 손실은 물론 막대한 벌금이 부과되며, 침해 문제를 해결하기 위해 막대한 비용이 지출됩니다. 여러 국가에서 운영되는 글로벌 비즈니스의 경우, 데이터 개인정보 침해로 인한 재정적 타격은 기하급수적으로 증가할 수 있습니다.
• 평판 손실: 데이터 침해가 발생할 경우 조직의 평판이 돌이킬 수 없는 수준으로 손상될 수 있습니다. 미국 연방거래위원회(FTC)가 경고한 바와 같이, 개인정보 보호의 약속을 지키지 못한 기업은 공공의 감시를 받게 되며 규제 당국의 제재 조치에 직면할 수 있습니다. 그 어떤 조직도 중요 기록을 수백만 건이나 도난당했다는 이유로 헤드라인을 장식하고 싶어하지는 않습니다. 이는 브랜드 이미지에 막대한 타격을 입히며, 회복하기 어려운 경우도 많습니다.
• 신뢰의 상실: 신뢰는 조직이 보유한 가장 귀중한 자산 중 하나입니다. 개인 식별 정보(PII)가 노출된 직원이나 데이터가 잘못 처리된 고객 등은 순식간에 조직에 대한 신뢰를 잃게 됩니다. 그 믿음을 회복하는 데는 수년이 걸릴 수 있으며, 막대한 평판과 재정적 비용이 수반됩니다.

규정 준수는 데이터 개인정보 보호 이니셔티브의 중요한 동인이지만, 실제 리스크는 그보다 훨씬 더 크다는 사실을 인식해야 합니다. 데이터 개인정보 보호는 비즈니스 연속성과 재정적 안정성, 그리고 조직과 고객, 직원의 관계를 뒷받침하는 신뢰를 보호하는 것입니다.

데이터 개인정보 보호의 리스크 및 취약점

사이버 범죄자는 금전적 이득을 추구하거나, 지정학적 혼란을 야기하거나, 또는 단순히 해커와 경쟁하는 스릴을 즐기는 등 다양한 동기를 가지고 있습니다. 이유가 무엇이든, 이들은 언제나 잘 알려진 취약점을 노립니다. 그리고 이러한 취약점들은 데이터 보호가 단순한 규정 준수를 넘어서는 중요한 과제임을 다시 한 번 강조합니다.

• 취약하거나 일관성 없는 액세스 제어: 관리가 부실한 액세스 제어는 해커가 PII와 같은 중요 정보에 무단으로 쉽게 접근할 수 있는 보안 취약점이 됩니다. 공격자는 도난당하거나 침해된 자격 증명을 통해 보안 시스템을 손쉽게 우회할 수 있으며, 오랫동안 보안의 필수 요소로 여겨졌던 다단계 인증(MFA)조차도 이제는 정교한 방식으로 우회할 수 있습니다. 규정 준수 조치가 액세스 제어를 의무화할 수는 있겠지만 진정한 보호를 위해서는 지속적인 모니터링과 빈번한 업데이트, 그리고 진화하는 위협에 대응하기 위한 꾸준한 노력이 필요합니다. 규정을 준수하기 위해 통제 수단을 도입하는 것만으로는 충분하지 않습니다. 새로운 방식의 공격에 대응할 수 있도록 강력하고 적극적인 관리가 필요합니다.
• 랜섬웨어: 최근 사이버 범죄자들은 랜섬웨어 공격을 주요 무기로 삼고 있습니다. 특히 의료, 교육, 정부와 같은 분야에서는 중요 데이터가 침해될 경우 운영에 심각한 지장을 초래할 수 있습니다. 이러한 공격은 서비스를 마비시킬 수 있으며, 장기적 가동 중단과 대중적 신뢰의 손상으로 이어질 수 있습니다. 규정 준수 프레임워크가 기본적인 방어책을 규정할 수는 있지만 진정한 위험은 운영의 회복력에 있습니다. 랜섬웨어 공격은 데이터를 보호하는 것이 곧 서비스의 연속성을 유지하고 이해관계자의 신뢰를 지키는 일임을 다시 한 번 상기시킵니다. 이 두 가지 요소는 단순히 규정을 준수하는 것만으로는 보장할 수 없습니다.
• 피싱 및 소셜 엔지니어링: 피싱 공격은 매우 정교한 소셜 엔지니어링 전술을 수반하는 경우가 많아 탐지의 난이도가 점점 더 높아지고 있습니다. 해커는 신뢰할 수 있는 브랜드를 모방한 이메일이나 메시지를 제작하여 사용자를 속이고, 자격 증명을 공유하거나 악성 링크를 클릭하도록 유도합니다. BEC(비즈니스 이메일 침해) 사례가 증가함에 따라 조직은 매일 시스템을 통과하는 방대한 양의 이메일 트래픽을 모니터링해야 합니다. 피싱은 규정 준수 체크리스트만으로는 해결할 수 없는 문제입니다. 이처럼 진화하는 위협에 대비하기 위해서는 행동 분석과 사용자 교육이 필요합니다. 인적 요소는 종종 가장 취약한 지점이며, 규정으로 해결할 수 없는 부분입니다. 이를 해결하기 위해서는 경각심과 지속적인 교육이 반드시 필요합니다.
• 내부자 위협: 불만을 가진 직원과 계약자가 조직을 떠난 후에도 중요 데이터베이스에 대한 액세스 권한을 보유하는 경우가 종종 발생하면서 내부자 위협이 점점 더 빈번해지고 있습니다. 이러한 행위자들은 회사 시스템에 대한 지식을 이용하여 데이터를 도용하거나 운영을 방해합니다. 규정에서 시스템에 대한 액세스 기록을 요구하는 경우도 있지만 내부자 위협은 지속적 액세스 감사와 데이터 보존에 있어 더 엄격한 정책이 필요함을 강조합니다. 데이터 보호란 조직과 더 이상 관련이 없는 사람들이 유해한 액세스를 유지하는 것을 방지하기 위해 규제 이상의 조치를 취하는 것을 의미합니다.
• 제3자 공급업체의 침해: 외부 공급업체에 대한 의존도가 높아지면서 제3자 데이터 유출 사례가 증가하고 있습니다. 이러한 공급업체는 중요 정보에 대해 특수한 액세스 권한을 가지고 있지만 많은 경우 강력한 보안 관행을 갖추지 못하고 있습니다. 데이터 개인정보 보호는 것은 조직 내부에서 일어나는 일뿐 아니라 전체 에코시스템을 보호하는 것입니다. 조직은 자체적으로 규정을 준수하는 수준을 넘어 파트너, 공급업체, 서비스 제공업체의 보안 관행을 평가하여 직접 통제할 수 없는 영역에서 보안 침해가 발생하지 않도록 해야 합니다.

이처럼 일반적인 위협 외에도, 원격 및 하이브리드 업무 환경에서 개인 모바일 디바이스 사용이 증가하면서 또 다른 중요한 리스크가 발생하고 있습니다. 해커는 보안 조치가 부족한 디바이스와 홈 네트워크를 악용하여, 합법적인 사용자로 위장해 조직 시스템에 액세스할 수 있습니다. 문제가 되는 이유 원격 근무로의 광범위한 전환에 따라, 이제 규정 준수에만 의존하는 것으로는 충분하지 않습니다. 조직은 포괄적인 MDM(Mobile Device Management) 솔루션을 구현하고 직원들에게 홈 네트워크 보안에 대해 교육해야 합니다.

엣지 컴퓨팅과 사물 인터넷(IoT)도 공격 표면을 확대하는 요소입니다. 많은 IoT 디바이스는 크기가 작고 컴퓨팅 성능이 제한적이라 강력한 보안 조치를 적용하기 어렵기 때문입니다. IoT 채택이 가속화됨에 따라, 이러한 디바이스는 대규모 시스템으로 침투할 수 있는 취약한 진입점이 됩니다. 문제가 되는 이유 규정 준수는 광범위한 IT 인프라를 다루지만, IoT와 엣지 디바이스는 규제에서 종종 간과되는 공백을 메우기 위해 전용 보안 프로토콜을 필요로 합니다. 이러한 엔드포인트를 보호하는 것은 전반적인 데이터 보안을 보장하는 데 필수적입니다.

마지막으로, 해커들은 인공 지능(AI)을 활용하여 공격을 자동화하며 규모를 확대하고 있습니다. 피싱에서 신원 도용에 이르기까지 AI 기반 공격은 그 어느 때보다 더 빠르고 빈번하게 발생하며 더 큰 피해를 초래하고 있습니다. 문제가 되는 이유 규정은 데이터 보호를 의무화하고 있지만, AI의 도입에 따른 속도와 복잡성을 반영하는 경우는 거의 없습니다. 빠르게 진화하는 공격 기술에 대응하기 위해서는 AI 기반 방어 조치를 도입해야 합니다.

사이버 보안에서 데이터 개인정보 보호를 위해 필요한 전략 및 단계

조직은 단순히 규정 준수 차원에서뿐만 아니라 운영 탄력성, 법적 의무, 신뢰, 평판, 직원/고객 경험 등 다양한 이유로 사이버 보안에서 데이터 개인정보 보호를 중요하게 다뤄야 합니다. 다음 단계는 즉각적 조치를 위한 강력한 기반을 마련하는 데 도움이 될 수 있습니다.

1. 테스트, 테스트, 테스트
   정기적으로 진행되는 데이터 개인정보 보호 감사와 취약점 평가는 모든 사이버 보안 전략의 핵심입니다. 규정 준수 감사가 의무적으로 실시되는 경우가 많지만, 실시간 취약점과 조직의 준비 태세를 평가하는 내부 감사도 그만큼 중요합니다. 테스트를 통해 시스템이 회복력을 유지하고 진화하는 위협에 대응할 수 있도록 보장합니다.
2. 모든 것의 암호화
   데이터는 이동 중이든 유휴 상태이든 언제나 암호화되어야 합니다. 클라우드, 엣지, 데이터 센터 등 데이터가 저장된 위치와 상관없이 항상 암호화되어야 합니다. 백업 데이터도 암호화되어야 하며, 암호화 키 관리는 정확하고 일관성 있게 적용되어야 합니다. 암호화는 최후의 방어선 역할을 하여 데이터가 침해되더라도 보안을 보장해 줍니다.
3. 강력한 정책 수립
   강력한 데이터 개인정보 보호 프레임워크는 필수적입니다. 다행히도, 새로운 것을 개발할 필요는 없습니다. GDPR, HIPAA, PCI DSS는 훌륭한 표준을 제시하고 있습니다. 급여, 고객 데이터 등 비즈니스 운영에 필수적인 개인 데이터만 수집하고 저장하는 정책을 수립하세요. 액세스 정책이 확장될 때마다 데이터 유출 리스크가 증가하므로 반드시 필요한 최소한의 액세스만 허용하는 것이 중요합니다.
4. 선한 의도의 AI 활용
   공격의 규모와 정교함에 증가함에 따라 데이터 개인정보 보호를 강화하기 위해서는 AI를 활용해야 합니다. 숙련된 사이버 보안 엔지니어와 SOC 분석가를 충분히 고용하는 것이 어려운 상황에서 AI는 위협의 식별과 완화를 자동화할 수 있는 효율적인 도구가 될 수 있습니다.

기본을 넘어: 데이터 개인정보 보호 강화를 위한 추가 단계

위에서 언급된 중요 단계 외에도, 데이터 개인정보 보호 전략을 더욱 강화하기 위해 다음과 같은 조치를 고려해 보세요.

• 최종 사용자 교육: 인적 오류는 데이터 유출의 주요 원인이며, 직원들은 자신도 모르게 데이터 보안을 훼손하곤 합니다. 지속적 교육과 훈련은 피싱, 소셜 엔지니어링, 데이터 취급의 모범 사례에 대한 인식을 제고함으로써 이러한 리스크를 완화하는 데 도움이 됩니다.
• 복잡성 감소: 노후화된 인프라를 현대화하고 플랫폼화를 도입하면 보안 환경의 지나친 복잡성에 의해 발생하는 취약점을 제거하는 데 도움이 됩니다. 보안 스택을 간소화하면 공격 표면이 줄어들고 데이터 개인정보를 보다 효율적으로 보호할 수 있습니다.
• 비인가 IT 식별: ‘비인가 IT’는 직원이나 부서가 조직에 승인되지 않은 기술을 도입할 때 발생합니다. 이는 개인 데이터나 사적인 데이터를 사용하여 대규모 언어 모델(LLM) 또는 AI 도구를 개발하고 학습시킬 경우 특히 위험합니다. 비인가 IT 이니셔티브를 찾고 해결하기 위한 감사는 데이터 개인정보 보호에 대한 통제력을 유지하기 위해 필수적입니다.
• 데이터 개인정보 보호 책임자 지정: 새로운 데이터 개인정보 보호 위협과 규정, 새로운 판례법을 추적하기 위해서는 지속적인 주의가 필요합니다. 데이터 개인정보 보호 업무를 전담하는 직원을 배치하세요. 새로운 개발 상황을 파악하고 변화하는 규정을 준수할 수 있도록 전담 책임자를 임명하세요.

마지막으로, 데이터 개인정보 보호에 진지하게 임하는 모든 조직에게 중요한 요소가 하나 더 있습니다. 바로 규제 준수의 범위를 넘어서서 데이터 개인정보 보호에 전념하는 사이버 보안 파트너와 협력하는 것입니다. 이는 제품과 관행, 그리고 모든 수준에서 데이터 개인정보 보호에 대한 전략적 접근 방식에 반영되어야 합니다.

Palo Alto Network의 다른 예측도 궁금하신가요? 여기를 통해 2025 예측 블로그에 방문해 보세요.

¹What is GDPR, the EU’s new data protection law?, GDPR.EU, 2024
²US Data Privacy Guide, White & Case, 2024
³Data Privacy Software Market Size, Share & Industry Analysis, Forbes Business Insights, 2024