AI를 악용한 사이버 공격에 대비한다는 것은 보안팀에 새 도구를 하나 더 사주는 일이 아닙니다. 영국 국가사이버보안센터인 NCSC는 사이버 리스크를 더 이상 IT만의 문제가 아니라, 업무 중단과 평판 훼손, 재무·법무상 손실로 이어질 수 있는 이사회 차원의 우선순위로 규정합니다^[1]. 세계경제포럼, WEF의 Global Cybersecurity Outlook 2025에서도 응답 조직의 72%가 조직의 사이버 리스크가 증가했다고 답했고, 약 47%는 생성형 AI로 강화된 공격자 역량을 주요 우려로 꼽았습니다^[6].

CEO와 이사회가 바꿔야 할 질문은 ‘침입을 100% 막을 수 있는가’가 아닙니다. 더 현실적인 질문은 ‘침해가 발생해도 핵심 업무를 얼마나 빨리 유지하고 복구할 수 있는가’입니다. NCSC는 사이버 방어에서 통제할 수 있는 것에 집중하는 동시에, 통제할 수 없는 상황에도 대비해야 한다고 강조합니다^[3].

경영의 출발점: 완벽한 방어보다 회복력

AI 시대의 사이버 보안은 방어, 탐지, 봉쇄, 복구, 설명 책임을 따로 떼어 볼 수 없습니다. NCSC는 리더에게 필요한 사이버 회복탄력성을 공격에 대비하고, 대응하고, 복구하기 위한 전략적 예측 능력으로 설명합니다^[1].

이사회가 정례적으로 봐야 할 것은 기술의 세부 목록보다 사업 영향입니다. 어떤 업무가 멈추면 고객, 매출, 규제 대응에 중대한 타격이 생기는지 확인해야 합니다. 핵심 업무별 최대 허용 중단 시간과 실제 복구 가능 시간 사이의 차이도 숫자로 봐야 합니다. 랜섬웨어, 클라우드 장애, 인증 체계 침해, 주요 공급사 중단이 발생했을 때 누가 무엇을 결정하는지도 미리 정해야 합니다^[1][3].

AI는 공격자만의 문제가 아닙니다. 회사가 도입하는 AI 역시 리스크 관리 대상입니다. WEF는 고위 리스크 책임자들이 AI 도입으로 생길 수 있는 취약점, 사업 영향, 필요한 통제, 잔여 리스크를 평가해야 한다고 제시합니다^[5].

90일 안에 이사회가 점검할 7가지

1. 사이버 리스크를 이사회 상설 의제로 올린다

사이버 리스크는 분기마다 보안팀이 보고하는 기술 현황으로 끝나서는 안 됩니다. NCSC는 사이버 사고가 운영, 평판, 재무, 법무에 영향을 미칠 수 있다고 명확히 설명합니다^[1]. 기업들이 자율적으로 공개하는 AI·사이버 감독 관련 설명도 더 흔해지고 상세해졌다는 분석이 있습니다^[4].

이사회가 봐야 할 것은 방화벽 대수나 보안 제품 이름이 아닙니다. 핵심 업무의 중단 위험, 미조치된 중대 취약점, 특권 계정, 탐지·봉쇄·복구 시간, AI 사용 통제 상태입니다^[1][5]. WEF는 최고경영진이 AI 기술의 리스크 허용 수준을 정하고 의사결정의 기준을 분명히 해야 한다고 봅니다^[6].

2. 핵심 업무와 복구력을 숫자로 관리한다

AI 공격이 정교해져도 경영진이 지켜야 할 중심은 핵심 업무입니다. CEO는 업무별 최대 허용 중단 시간, 대체 절차, 복구 책임자, 고객·규제당국·시장에 대한 설명 절차를 확인해야 합니다^[1][3].

백업도 ‘있다’는 사실만으로는 부족합니다. 격리되어 있는지, 복구 테스트에서 실제로 되살릴 수 있는지, 복구에 몇 시간이 걸리는지를 이사회가 확인해야 합니다. NCSC가 강조하듯 통제할 수 없는 상황에 대비하는 관점이 디지털 회복탄력성의 전제입니다^[3].

3. 방어에도 AI를 쓰되, 효과로 평가한다

공격자가 생성형 AI를 활용해 더 빠르고 그럴듯한 공격을 만든다면, 방어 측도 모니터링, 탐지, 우선순위 지정, 조사 지원의 일부를 자동화하고 AI로 보강할 필요가 있습니다. WEF는 AI 도입이 만드는 취약점과 사업 영향을 평가하고 필요한 통제를 식별하는 접근법을 제시합니다^[5][6].

다만 AI 보안 도구는 마법의 방패가 아닙니다. 이사회가 확인해야 할 것은 AI 도구를 도입했는지가 아니라 탐지 시간, 봉쇄 시간, 오탐 대응, 감사 로그, 책임자 지정, 예외 승인 절차가 실제로 개선됐는지입니다^[1][5].

4. 회사의 AI 사용과 데이터를 통제한다

리스크는 공격자의 AI 사용에서만 나오지 않습니다. 회사 내부의 AI 사용도 데이터 유출, 과도한 권한, 감사 불가능성, 잘못된 판단의 원인이 될 수 있습니다. WEF는 AI 도입으로 생기는 취약점, 사업 영향, 필요한 통제, 잔여 리스크를 평가해야 한다고 설명합니다^[5].

미국 국방 관련 사이트에 공개된 공동 사이버보안 정보 문서는 AI·머신러닝 시스템에 쓰이는 데이터 보호가 AI 결과의 정확성과 무결성을 보장하는 데 중요하다고 설명합니다^[2]. 이사회는 사내 AI, 외부 AI 도구, LLM 연동 애플리케이션, 기밀정보를 AI에 입력할 수 있는 조건, 학습 데이터·프롬프트·로그·벡터 DB·RAG 데이터·모델 가중치 접근 통제를 문서화하도록 해야 합니다^[2][5].

5. CISO의 책임을 경영 권한과 연결한다

최고정보보호책임자인 CISO가 책임만 지고 위험한 예외를 멈출 권한이나 예산은 갖지 못한다면, AI 시대의 공격 속도에 대응하기 어렵습니다. NCSC가 사이버 리스크를 이사회 우선순위로 보는 만큼 CISO는 단순한 기술 책임자가 아니라 사업 리스크를 경영진에 직접 보고할 수 있는 위치에 있어야 합니다^[1].

이사회는 CISO에게 위험한 시스템 변경이나 예외 승인을 중단시킬 권한, AI 도입 시 보안 검토 권한, 중대 취약점 시정을 사업 부문에 요구할 권한, 제3자 리스크 평가에 관여할 권한이 있는지 확인해야 합니다. WEF의 AI 사이버 리스크 관리 접근법 역시 리스크, 통제, 잔여 리스크를 경영 수준에서 평가하는 것을 중시합니다^[5].

6. 공급망과 클라우드 의존을 계약까지 점검한다

AI 공격 대비는 회사 내부 네트워크 경계에서 끝나지 않습니다. NCSC는 회복탄력성을 공급망 전반에서 높여야 한다고 언급합니다^[3]. SaaS, 관리형 서비스 제공업체, 클라우드, 개발 위탁사, 데이터 처리업체, 주요 자회사는 중요한 의존 관계로 목록화해야 합니다^[3][5].

주요 협력사와의 계약에서는 인증 요건, 로그 제공, 침해 통지 기한, AI 사용 정책, 데이터 보호, 백업, 감사권, 복구 시 협력 의무를 확인해야 합니다. 협력사로부터 통지나 로그 확보가 늦어질수록 봉쇄와 복구 판단도 늦어집니다^[3][5].

7. 이사회 KPI를 사고 건수 중심에서 바꾼다

사고 건수만으로는 회사가 더 강해지고 있는지 알기 어렵습니다. 이사회에 올라오는 지표는 피해를 얼마나 빨리 발견하고, 묶어두고, 복구할 수 있는지로 옮겨가야 합니다^[1][3].

영역	이사회가 봐야 할 지표
사업 연속성	핵심 업무별 최대 허용 중단 시간, 실제 복구 시간, 대체 절차 유무[1][3]
탐지·봉쇄·복구	탐지 시간, 봉쇄 시간, 복구 시간, 경영 판단까지 걸린 시간[1][3]
ID와 접근	특권 계정 수, 휴면 계정, 예외 승인 건수, 핵심 계정의 인증 통제[1][5]
취약점과 자산	미조치 중대 취약점, 기한을 넘긴 시정 조치, 외부 노출 자산 파악 상태[1][5]
백업	격리 백업 유무, 복구 테스트 성공률, 실제 복구 소요 시간[1][3]
AI 거버넌스	AI 도구 목록, 기밀 데이터 입력 예외, AI 도입 심사 이행률[2][5]
제3자 리스크	주요 협력사의 보안 요건, 침해 통지 기한, 로그 제공, 복구 의존 관계[3][5]

CEO가 첫 90일에 해야 할 일

0~30일: 경영 리스크로 보이게 만든다

1. 이사회에 AI 사이버 리스크 특별 검토 안건을 올린다^[1][5].
2. 핵심 업무를 식별하고 업무별 최대 허용 중단 시간과 실제 복구 가능 시간을 확인한다^[1][3].
3. CISO에게 생성형 AI를 악용한 공격과 회사 내부 AI 사용을 모두 포함한 리스크 평가를 제출하게 한다^[5][6].
4. 승인되지 않은 AI 도구에 기밀 데이터를 입력하는 행위를 중단시키고, 예외 승인 규칙을 만든다^[2][5].

31~60일: 통제와 복구력을 굳힌다

5. 임원, 관리자, 특권 계정을 우선해 인증과 접근 통제를 강화한다^[1][5].
6. 랜섬웨어를 가정하고 격리 백업에서 복구하는 테스트를 실시한다. WEF의 2025년 전망에서도 랜섬웨어는 계속 주요 우려로 제시됩니다^[6].
7. 주요 협력사를 목록화하고 로그 제공, 침해 통지, AI 사용, 데이터 보호, 복구 협력 조건을 계약에서 확인한다^[3][5].

61~90일: 훈련과 KPI로 정착시킨다

8. CEO, CFO, 법무, 홍보, CISO, 사업부문장이 참여하는 경영진 모의훈련을 실시한다^[1][3].
9. 탐지 시간, 봉쇄 시간, 복구 시간, 미조치 중대 취약점, AI 사용 감사를 이사회 대시보드에 넣는다^[1][5].
10. CISO의 보고 라인, 중단 권한, AI 심사 권한, 예산을 재점검하고 이후 이사회에서 계속 확인한다^[1][5].

이사회가 매번 물어야 할 질문

이사회 논의를 실제 운영으로 연결하려면 다음 질문을 정례화하는 것이 좋습니다.

• 우리 회사의 AI 사용에 대해 허용 가능한 리스크 수준은 명확한가^[6].
• 핵심 업무가 멈추면 고객 대응, 법무 대응, 홍보 대응을 누가 몇 시간 안에 시작하는가^[1][3].
• AI·머신러닝 시스템에 쓰이는 데이터는 누가 바꿀 수 있으며, 무결성은 어떻게 확인하는가^[2].
• CISO는 위험한 예외나 시정되지 않은 리스크를 경영진에 직접 올릴 수 있는가^[1][5].
• 주요 협력사가 침해됐을 때 우리는 몇 시간 안에 감지하고 대체 절차로 전환할 수 있는가^[3][5].

결론은 단순합니다. AI 사이버 공격에 대한 경영 대응은 완벽한 방어를 약속하는 일이 아닙니다. 빨리 발견하고, 피해를 제한하고, 핵심 업무를 멈추지 않으며, 고객·규제당국·시장에 설명할 수 있는 상태를 만드는 일입니다. CEO와 이사회의 역할은 보안 도구를 세부적으로 고르는 것이 아니라 리스크 허용 수준을 정하고, CISO에게 권한과 자원을 주고, 실제로 복구할 수 있는지를 반복해서 검증하는 것입니다^[1][3][5].