사이버 리스크는 분기마다 보안팀이 보고하는 기술 현황으로 끝나서는 안 됩니다. NCSC는 사이버 사고가 운영, 평판, 재무, 법무에 영향을 미칠 수 있다고 명확히 설명합니다. 기업들이 자율적으로 공개하는 AI·사이버 감독 관련 설명도 더 흔해지고 상세해졌다는 분석이 있습니다
.
이사회가 봐야 할 것은 방화벽 대수나 보안 제품 이름이 아닙니다. 핵심 업무의 중단 위험, 미조치된 중대 취약점, 특권 계정, 탐지·봉쇄·복구 시간, AI 사용 통제 상태입니다. WEF는 최고경영진이 AI 기술의 리스크 허용 수준을 정하고 의사결정의 기준을 분명히 해야 한다고 봅니다
.
AI 공격이 정교해져도 경영진이 지켜야 할 중심은 핵심 업무입니다. CEO는 업무별 최대 허용 중단 시간, 대체 절차, 복구 책임자, 고객·규제당국·시장에 대한 설명 절차를 확인해야 합니다.
백업도 ‘있다’는 사실만으로는 부족합니다. 격리되어 있는지, 복구 테스트에서 실제로 되살릴 수 있는지, 복구에 몇 시간이 걸리는지를 이사회가 확인해야 합니다. NCSC가 강조하듯 통제할 수 없는 상황에 대비하는 관점이 디지털 회복탄력성의 전제입니다.
공격자가 생성형 AI를 활용해 더 빠르고 그럴듯한 공격을 만든다면, 방어 측도 모니터링, 탐지, 우선순위 지정, 조사 지원의 일부를 자동화하고 AI로 보강할 필요가 있습니다. WEF는 AI 도입이 만드는 취약점과 사업 영향을 평가하고 필요한 통제를 식별하는 접근법을 제시합니다.
다만 AI 보안 도구는 마법의 방패가 아닙니다. 이사회가 확인해야 할 것은 AI 도구를 도입했는지가 아니라 탐지 시간, 봉쇄 시간, 오탐 대응, 감사 로그, 책임자 지정, 예외 승인 절차가 실제로 개선됐는지입니다.
리스크는 공격자의 AI 사용에서만 나오지 않습니다. 회사 내부의 AI 사용도 데이터 유출, 과도한 권한, 감사 불가능성, 잘못된 판단의 원인이 될 수 있습니다. WEF는 AI 도입으로 생기는 취약점, 사업 영향, 필요한 통제, 잔여 리스크를 평가해야 한다고 설명합니다.
미국 국방 관련 사이트에 공개된 공동 사이버보안 정보 문서는 AI·머신러닝 시스템에 쓰이는 데이터 보호가 AI 결과의 정확성과 무결성을 보장하는 데 중요하다고 설명합니다. 이사회는 사내 AI, 외부 AI 도구, LLM 연동 애플리케이션, 기밀정보를 AI에 입력할 수 있는 조건, 학습 데이터·프롬프트·로그·벡터 DB·RAG 데이터·모델 가중치 접근 통제를 문서화하도록 해야 합니다
.
최고정보보호책임자인 CISO가 책임만 지고 위험한 예외를 멈출 권한이나 예산은 갖지 못한다면, AI 시대의 공격 속도에 대응하기 어렵습니다. NCSC가 사이버 리스크를 이사회 우선순위로 보는 만큼 CISO는 단순한 기술 책임자가 아니라 사업 리스크를 경영진에 직접 보고할 수 있는 위치에 있어야 합니다.
이사회는 CISO에게 위험한 시스템 변경이나 예외 승인을 중단시킬 권한, AI 도입 시 보안 검토 권한, 중대 취약점 시정을 사업 부문에 요구할 권한, 제3자 리스크 평가에 관여할 권한이 있는지 확인해야 합니다. WEF의 AI 사이버 리스크 관리 접근법 역시 리스크, 통제, 잔여 리스크를 경영 수준에서 평가하는 것을 중시합니다.
AI 공격 대비는 회사 내부 네트워크 경계에서 끝나지 않습니다. NCSC는 회복탄력성을 공급망 전반에서 높여야 한다고 언급합니다. SaaS, 관리형 서비스 제공업체, 클라우드, 개발 위탁사, 데이터 처리업체, 주요 자회사는 중요한 의존 관계로 목록화해야 합니다
.
주요 협력사와의 계약에서는 인증 요건, 로그 제공, 침해 통지 기한, AI 사용 정책, 데이터 보호, 백업, 감사권, 복구 시 협력 의무를 확인해야 합니다. 협력사로부터 통지나 로그 확보가 늦어질수록 봉쇄와 복구 판단도 늦어집니다.
이사회 논의를 실제 운영으로 연결하려면 다음 질문을 정례화하는 것이 좋습니다.
결론은 단순합니다. AI 사이버 공격에 대한 경영 대응은 완벽한 방어를 약속하는 일이 아닙니다. 빨리 발견하고, 피해를 제한하고, 핵심 업무를 멈추지 않으며, 고객·규제당국·시장에 설명할 수 있는 상태를 만드는 일입니다. CEO와 이사회의 역할은 보안 도구를 세부적으로 고르는 것이 아니라 리스크 허용 수준을 정하고, CISO에게 권한과 자원을 주고, 실제로 복구할 수 있는지를 반복해서 검증하는 것입니다.