"기업보안"에 대한 통합검색 결과
통합검색(2)
정치(1)
검색결과 총 2건
범부처 정보보호 대책 "해킹 정황 확보되면 기업 신고 없이도 조사 가능" 정부는 잇따라 발생하는 사이버 침해 사고에 대응하기 위해 해킹 정황이 있을 경우 기업이 신고하지 않더라도 조사할 수 있도록 방침을 세웠다. 과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 범부처 정보보호 종합대책을 발표했다. 먼저 정부는 민간과 공공 분야를 막론하고 반복되는 최근의 해킹 사고를 심각한 위기 상황으로 인식하고 있다며 국가안보실을 중심으로 유기적인 대응 체계를 가동하겠다고 밝혔다. 이에 따르면 먼저 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도 개선에 나선다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출과 같이 보안 의무를 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다. 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 대대적인 점검에 착수하며 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진한다고 강조했다. 통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않으면 즉시 폐기한다. 또 해킹 발생 시 소비자의 증명책임 부담을 완화하고 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련한다는 방침이다. 정보보호 공시 의무 기업을 상장사 전체로 확대해 의무 대상도 현행 666개에서 2700여개로 늘린다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다. 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꿔 사후 관리를 강화하고 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어는 내년부터 단계적으로 제한하고 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꾼다. 또 민관군 합동 조직인 국정원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다고 밝혔다. 국정원의 조사·분석 도구를 민간과 공동 활용하고, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 정도로 줄인다는 목표를 세웠다. 여기에 공공의 정보보호 예산·인력을 확충하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높이며 공공기관 경영평가 시 사이버 보안 관련 점수도 현재의 2배로 올린다. 보안 산업 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다.
2025.10.22
[데스크 칼럼] 사내연애까지 잡아낸다고? ... GRC(거버넌스·리스크·컴플라이언스) 글로벌 비위 신고 산업 성장과 로펌의 변화 지난 10월 16일, 세계 최대 식품기업 네슬레가 2년 안에 전 세계 직원 1만6천 명을 줄이겠다고 밝혔다. 필리프 나브라틸 최고경영자(CEO)는 비용 절감 목표를 30억 스위스프랑(약 5조3천억 원)으로 상향 조정하며, 인사·회계·IT를 본사 중심으로 통합하고 공유 서비스와 자동화를 강화하겠다고 발표했다. 사실, 겉으로는 효율화를 위한 구조조정이지만 그 배경에는 조직 신뢰 회복, 윤리경영이라는 더 큰 과제가 숨어있다. 지난 9월 초 직속 부하 직원과의 부적절한 사내연애가 회사의 행동강령(Code of Business Conduct)을 위반했다는 이유로 로랑 플렉스 전 CEO을 전격 해임했다. 이어 2주만에 파울 불케 회장까지 조기 퇴진이 결정되었다. 해당 사안은 익명 제보 채널을 통해 접수된 내부 신고를 계기로 조사가 시작되었다. 보수적 기업문화로 알려진 네슬레가 보여준 것은 GRC 시스템을 통한 빠른 조사와 명확한 절차, 그리고 투명한 기록이었다. 익명 제보는 자동으로 GRC시스템에 등록되고, ‘중대한 사건’으로 분류되어 즉시 조사 단계로 전환됐다. 조사 전 과정은 이사회에 보고되고 표결을 거쳐 인사 조치가 이뤄졌다. 모든 결정의 근거와 책임은 GRC 시스템에서 진행되었고, 기록되었다. 네슬레의 비위신고 핫라인은 네덜란드 스피크업(SpeakUp)이 맡고 있다. 지난해 처리한 네슬레 관련 신고는 약 3천 건에 달했고, 그중 20%가 사실로 확인돼 100명이 넘는 직원이 회사를 떠났다.월스트리트저널(WSJ)은 이러한 비위신고·리스크 관리 산업의 글로벌 시장 규모가 현재 180억 달러(약 25조 원)에 이르렀다고 전하고 있다. 내벡스(Navex), EQS, 스피크업 같은 전문 업체들이 시장을 주도하고 있다. GRC와 기업 보안의 결합 미국에서는 2002년, 유럽에서는 2019년부터 상장기업의 신고 핫라인 운영이 의무화됐다. HR 어큐어티 조사에 따르면 임직원 1천 명 이상인 미국 기업의 90% 이상이 내부 신고 채널을 갖추고 있으며, 시장점유율 50%를 차지하는 내벡스(Navex)는 1만3천여 고객사를 보유하고 있다.이제 GRC는 윤리관리 시스템을 넘어 보안·데이터·AI 리스크까지 아우르는 기업의 핵심 인프라로 자리 잡고 있다. AI는 규정 위반과 보안 리스크를 조기에 감지하며, GRC는 그 투명성과 윤리성을 관리한다.워런 버핏은 “좋은 시스템은 1천쪽짜리 가이드북보다 낫다”며, 시스템의 목적은 통제가 아닌 문화를 지키는 일이라고 말했다.이제 기업의 하루는 다르다. 출근과 동시에 윤리 서약과 보안 점검이 시스템에 뜨고, 회의에서는 성과보다 리스크가 먼저 보고된다. 윤리와 기술이 맞물린 GRC의 톱니바퀴가 조직을 움직이고 있다. 법률시장의 대응이 흐름 속에서 로펌의 역할도 빠르게 바뀌고 있다. 국내외 주요 로펌들은 GRC 자문팀을 신설하며, 규제 대응·리스크 진단·내부 통제 설계를 아우르는 통합 자문을 제공하고 있다.변호사는 더 이상 사건이 발생한 뒤 법 조문을 해석하고 해결하는 전문가에 머물지 않는다. 데이터를 읽고 시스템을 설계하며, 조직의 ‘신뢰 프로토콜’을 관리하는 파트너로 역할이 확장되고 있다. 특히 글로벌 메가 로펌들은 ‘사건 이후 대응’에서 ‘사전 예방’으로 중심을 옮기고 있다. 일부 로펌은 AI를 리스크 관리 시스템에 연동해, 규제 변화와 내부 통제 문제를 실시간으로 감지하고 대응하는 체계를 갖추고 있다.예를 들어 Allen & Overy는 AI 계약 검토 시스템 ‘Harvey’를 도입해 리스크 탐지와 규제 문서 자동화를 실현했고, Sullivan & Cromwell은 AI 기반 리스크 분석팀을 운영해 각국의 규제 리스크를 조기 평가하고 있다.이러한 시도들은 GRC 자문과 직접 맞닿아 있으며, 법률 서비스가 기술·데이터·윤리 거버넌스를 포괄하는 형태로 진화하고 있음을 보여준다.법과 기술이 교차하는 지점에서 ‘GRC’는 새로운 법률 인프라로 자리 잡고 있다.우리나라 기업과 법률 시장 역시 이러한 변화에 대응해야 할 시점이다. 용어 설명 ; GRC(Governance·Risk·Compliance)기업이 조직의 지배구조(거버넌스), 위험관리(리스크), 규정준수(컴플라이언스)를 통합적으로 운영하기 위한 관리 체계다.윤리·보안·법규 등 다양한 리스크를 사전에 식별하고 대응함으로써 기업의 신뢰와 투명성을 높이는 것이 목적이다.최근에는 AI·데이터 보안·개인정보 보호까지 범위가 확장되며, 기업 경영의 핵심 인프라로 자리 잡고 있다.
2025.10.21
