[기고] 보안은 이제 '방어'가 아니라 '입증'의 경영이다

롯데카드 사태가 최고경영자에게 던진 질문: 사고를 막았는가보다, 사고 이후 무엇으로 책임을 증명할 것인가 채상미 이화여대 경영학부 교수 금융 보안의 질문이 바뀌고 있다. 과거의 질문이 “얼마나 완벽하게 막을 수 있는가”였다면 이제 CEO가 답해야 할 질문은 “사고가 발생했을 때 얼마나 빨리 인지하고, 무엇으로 책임을 입증하며 어떤 속도로 신뢰를 회복할 수 있는가”다. 롯데카드 정보유출 사태는 이 변화를 상징적으로 보여준다. 기술적 방어선이 뚫렸다는 사실도 중요하지만, 기업의 진짜 실력은 그 이후 드러난다. 고객에게 무엇을 알렸는가. 피해 가능성을 어떻게 차단했는가. 보상 원칙은 무엇이었는가. 감독당국 앞에서 조치의 근거를 어떻게 설명할 수 있는가. 보안은 더 이상 IT 부서의 전문 용어가 아니다. 브랜드, 규제, 고객 신뢰, 기업가치를 동시에 좌우하는 최고경영진의 언어가 되었다. 금융회사들은 오랫동안 보안을 '침입을 막는 기술'로 이해해 왔다. 더 높은 방화벽, 더 정교한 탐지 시스템, 더 강력한 인증 절차가 보안 투자의 중심이었다. 물론 사전 방어는 여전히 중요하다. 그러나 카드사가 단순 결제 회사를 넘어 데이터, 마케팅, 생활 플랫폼, 비금융 제휴 서비스로 확장될수록 공격 표면은 구조적으로 넓어진다. 모바일 앱, API, 클라우드, 외부 제휴사, AI 기반 자동화가 연결된 금융 플랫폼에서 '무사고'는 더 이상 설득력 있는 약속이 되기 어렵다. CEO에게 필요한 관점은 보안을 0과 1의 문제로 보는 태도가 아니다. 사고 가능성을 전제로 하되, 그 가능성을 낮추고, 발생 시 피해를 제한하며, 전 과정을 설명 가능한 기록으로 남기는 운영 능력이다. 고객은 이제 금융회사에 "절대 사고가 나지 않을 것"이라는 선언만을 요구하지 않는다. 사고가 났을 때 숨지 않는가, 책임을 회피하지 않는가, 피해를 최소화하기 위해 즉시 움직이는가, 그리고 그 모든 설명이 증거로 뒷받침되는가를 본다. 위기 커뮤니케이션의 핵심도 사과문 자체가 아니라 사과를 지탱하는 실행 체계다. 롯데카드 사태에서 주목해야 할 지점도 여기에 있다. 최고경영자의 사과와 소비자 보호 조치는 출발점일 뿐이다. 중요한 것은 그 이후의 증거 체계다. 사고 탐지 로그, 접근 권한 변경 이력, 이상 거래 모니터링 기록, 의사결정 승인 경로, 고객 고지 기준, 재발급 및 보상 프로세스가 하나의 흐름으로 연결되어야 한다. 그래야 고객 앞에서는 신뢰 회복의 근거가 생기고, 감독당국 앞에서는 제재 리스크를 낮출 수 있는 설명력이 생긴다. 최근 금융당국의 움직임은 금융회사에 분명한 신호를 보낸다. 사고 발생 여부만이 아니라 사고 인지, 보고, 확산 차단, 고객 안내, 피해 보상, 재발 방지의 적절성이 함께 평가된다는 점이다. 최종 제재는 절차에 따라 확정되지만, 이미 금융권에는 새로운 기준이 제시되고 있다. 보안 관리는 사전 통제와 사후 입증이 결합된 리스크 관리다. 이는 최고경영진에게 중요한 함의를 갖는다. “공격을 당했다”는 설명만으로는 부족하다. 왜 그 시점에 이상 징후를 인지했는지, 어떤 기준으로 피해 범위를 산정했는지, 고객군을 어떻게 분류해 조치했는지, 어떤 근거로 보상 원칙을 세웠는지를 증명해야 한다. 과정의 책임성을 입증하지 못하면 사고 이후의 대응 자체가 또 다른 리스크가 된다. CEO와 이사회는 이제 보안 보고를 '침해 건수'나 '예산 집행률'로만 받아서는 안 된다. 다음 질문에 대한 답이 준비되어 있어야 한다. 1. 핵심 시스템의 접근, 변경, 예외 승인 기록이 감사 가능한 형태로 남아 있는가? 2. 침해 인지 시점부터 고객 고지까지 의사결정 권한과 타임라인이 명확한가? 3. 부정사용 차단, 카드 재발급, 콜센터 증설, 보상 원칙이 사전에 훈련된 플레이북으로 작동하는가? 4. 제휴사, API, 클라우드, AI 자동화 시스템까지 동일한 증거 체계로 연결되는가? 5. 위기 대응 모의훈련 결과와 개선 과제가 정기적으로 이사회에 보고되는가? 이 질문들은 기술 점검표가 아니다. 기업의 회복탄력성을 묻는 경영 질문이다. 보안 조직이 아무리 우수해도 의사결정 권한, 고객 커뮤니케이션, 보상 재원, 규제 대응, 이사회 보고 체계가 연결되지 않으면 사고는 기술 문제가 아니라 경영 실패로 읽힌다. "AI 에이전트 시대의 보안은 '설계에 의한 책임성'이다". 앞으로 이 문제는 더 복잡해진다. 금융회사는 AI를 상담, 심사, 이상거래탐지, 마케팅 자동화, 내부 업무 에이전트에 본격적으로 도입하고 있다. 사람이 직접 실행하지 않은 판단과 조치가 늘어날수록 “누가, 언제, 어떤 데이터와 규칙에 근거해, 어떤 결과를 만들었는가”를 설명할 수 있어야 한다. 따라서 보안 거버넌스의 핵심은 사고 후 책임 소재를 찾는 방식에서 벗어나야 한다. 시스템을 설계하는 단계에서부터 데이터 접근, 권한 부여, 예외 승인, 모델 변경, 자동화 실행, 사후 보고가 모두 추적 가능하도록 구조화해야 한다. 이것이 설계에 의한 책임성, 즉 Accountability by Design이다. AI와 자동화가 금융 혁신의 속도를 높일수록 신뢰의 기준은 더 엄격해진다. 설명할 수 없는 자동화는 효율이 아니라 리스크다. 반대로 감사 가능한 자동화는 혁신과 통제를 함께 가능하게 하는 경쟁력이 된다. CEO가 지금 점검해야 할 방향은 명확하다. 보안을 비용 항목이 아니라 신뢰를 생산하는 경영 시스템으로 재설계해야 한다. 구체적으로는 세 가지 축에서 접근할 필요가 있다. 첫째, 사이버 복원력 측면에서는 사고 대응 로그, 접근 권한 이력, 고객 조치 기록을 실시간으로 관리하고 정기적인 모의훈련을 통해 대응 체계를 반복 점검해야 한다. 이를 통해 사고 전 과정에 대해 기술적·법적으로 설명 가능한 수준의 소명 능력을 확보하는 것이 목표다. 둘째, 설계에 의한 책임성 측면에서는 AI와 자동화 시스템 도입 단계부터 데이터 흐름, 승인 권한, 모델 버전, 실행 로그를 내재화해야 한다. 이는 혁신 속도를 저해하지 않으면서도 리스크를 통제할 수 있는 자율형 관리 체계를 구축하는 과정이다. 셋째, 원칙 중심 거버넌스 측면에서는 이사회 차원의 보안 리스크 허용 기준을 명확히 하고, CISO 보고 체계와 사후 입증 책임 구조를 제도화해야 한다. 이를 통해 규제 당국의 신뢰와 기업의 자율적 보안 역량을 동시에 확보할 수 있다. 미래 금융의 승자는 사고가 전혀 없는 회사가 아닐 수 있다. 더 현실적인 승자는 사고 앞에서도 고객이 떠나지 않는 회사, 감독당국과 시장 앞에서 책임을 증명할 수 있는 회사다. 그 차이는 방화벽의 두께만이 아니라 증거의 두께에서 나온다. CEO가 지금 확인해야 할 것은 보안 예산의 규모만이 아니다. 우리 회사는 사고 다음 날, 무엇으로 책임을 증명할 것인가. 그 질문에 답할 수 있는 기업만이 규제의 신뢰를 얻고, 고객의 신뢰를 회복하며, 플랫폼 금융 시대의 지속 가능한 경쟁력을 확보할 수 있다. *원문 링크 : 보안은 이제 '방어'가 아니라 '입증'의 경영이다 < 기고 < 오피니언 < 기사본문 - DFT 대한금융신문