영업비밀 유출 위험, AI 시대의 새로운 국면

Posted on by

일본 IPA 실태조사 2024 | 기업 보안 리스크 분석

핵심 요약

일본 정보처리추진기구(IPA)가 발표한 ‘영업비밀 유출 위험 실태조사 2024’는, 디지털 전환이 가속화되는 환경 속에서 기업의 핵심 자산 보호 체계가 구조적 전환점에 도달했음을 명확히 보여줍니다. 외부 사이버 공격과 내부자 위협이 동시에 심화되는 가운데, 생성형 AI의 확산은 기존 보안 패러다임으로는 대응이 어려운 새로운 유출 경로를 형성하고 있습니다.

주요 발견

① 유출 피해의 실제 규모 — 수면 위의 숫자, 수면 아래의 실체

조사 대상 기업의 35.5%가 최근 5년 내 영업비밀의 실제 유출을 인지하였습니다. 그러나 이 수치는 ‘인지된’ 유출에 한정됩니다. 탐지되지 않은 유출까지 포함할 경우, 실제 피해 규모는 이를 상당히 상회할 것으로 판단됩니다.

유출 경로는 외부 사이버 공격 36.6%, 내부 직원 규제 미준수 32.6%, 금전적 동기의 내부자 행위 31.5%로 거의 균등하게 분포하고 있습니다. 세 경로가 등간격으로 수렴한다는 사실은, 이것이 특정 취약점의 문제가 아니라 리스크 구조 전체의 문제임을 시사합니다.

② 경영진과 보안 현장의 인식 단층 — 가장 치명적인 취약점

이번 조사에서 주목해야 할 핵심 발견은 데이터보다 조직 내부의 인식 격차에 있습니다. 경영진은 내부 인적 요인을 위협으로 낮게 평가하는 반면, 보안 현장은 인사 갈등, 장기 근속자의 권한 남용, 조직 문화의 이완을 주요 리스크로 지목합니다.

이 간극은 단순한 정보 비대칭이 아닙니다. 보안을 IT 부서의 전문 영역으로 위임한 결과, 경영 의사결정 수준에서 리스크가 통제되지 않는 거버넌스 공백이 구조화되고 있는 것입니다.

③ 생성형 AI — 생산성 도구이자 무음(無音)의 유출 경로

종사자 52%의 기업이 AI 관련 사내 규정을 보유하고 있으나, 사용 허용(25.8%)과 사용 제한(26.2%)이 사실상 동률로 나뉘어 있습니다. 이는 전략적 판단이 아니라 정책적 혼란의 상태를 반영합니다.

생성형 AI 기반 유출은 기존 위협과 본질적으로 다른 세 가지 특성을 가집니다.

  • 비가시성(Invisibility): 기밀 데이터를 외부 AI 서비스 프롬프트에 입력하는 행위는 기존 DLP(Data Loss Prevention) 체계로 포착하기 어렵습니다.
  • 의도의 희석(Intent Dilution): 업무 효율을 위한 선의의 행위가 실질적 유출로 귀결될 수 있습니다. 고의와 과실의 경계가 흐릿해집니다.
  • 규제의 후행성(Regulatory Lag): 기술의 확산 속도는 제도의 형성 속도를 구조적으로 앞서며, 그 간극이 유출의 공간이 됩니다.

④ 공급망 보안 — 대기업을 노리는 우회로

원격근무·클라우드 확산 이후 두드러지는 패턴은 공급망을 통한 간접 침투입니다. 직접 공략이 어려운 대기업의 전산망을 향해, 보안 역량이 상대적으로 취약한 하청업체와 협력사가 경유지로 활용되고 있습니다. 리스크 관리의 경계는 이제 자사 내부 시스템을 넘어 공급망 전체로 확장되어야 합니다.

보험 및 리스크 파이낸싱 시사점

영업비밀 유출은 손해보험 포트폴리오 설계에서도 구조적 재검토를 요구합니다.

사이버 보험(Cyber Liability) 은 외부 공격에 의한 데이터 침해를 주된 담보 대상으로 설계된 경우가 많아, 내부자에 의한 유출에서는 담보 공백(Coverage Gap) 이 발생하기 쉬운 영역입니다. 내부자 위협 관련 손실은 기업범죄보험(Crime Policy) 또는 Employee Dishonesty 담보와 연계 검토가 필요하나, 영업비밀의 경제적 가치를 보험 손해로 입증하는 과정은 클레임과 소송 모두에서 복잡한 전선을 형성합니다.

AI 관련 유출의 경우, 고의·과실의 경계 불명확성이 보험 적용 여부와 면책 판단에서 새로운 쟁점으로 부상할 것으로 전망됩니다.

리스크 관리 권고사항

01 거버넌스 재정립 — 보안을 IT 이슈에서 경영 아젠다로 격상하고, 이사회 수준의 리스크 감독 체계를 구축하십시오.

02 AI 보안 정책 명문화 — 생성형 AI 사용에 관한 허용 범위, 금지 데이터 유형, 위반 시 처리 기준을 명확히 규정하십시오.

03 공급망 보안 평가 확대 — 제3자 협력사의 보안 수준을 계약 및 정기 평가 체계 안으로 통합하십시오.

04 보험 포트폴리오 점검 — 사이버 보험과 기업범죄보험의 담보 구조를 대조하여 내부자 위협 관련 공백을 파악하고 보완하십시오.

05 탐지 체계 고도화 — DLP 솔루션을 AI 환경에 맞게 갱신하고, 이상 행동 탐지(UEBA) 도입을 검토하십시오.

맺음말

디지털 전환의 가속화는 생산성과 취약성을 동시에 증폭시킵니다. 가장 정교한 보안 시스템도 경영진의 관심이 닿지 않는 곳에서는 작동하지 않습니다. 영업비밀 보호는 기술의 문제이기 이전에, 거버넌스와 조직 문화의 문제입니다.