[2026 과기부 업무보고] 매출의 최대 3%… 보안은 비용이 아니라 ‘존립 조건’이 됐다

[메타X(MetaX)] 정부가 사이버 보안 정책의 기조를 근본적으로 바꾼다. 2026년부터 보안 사고를 반복하거나 대응을 소홀히 한 기업에는 매출액의 최대 3%에 달하는 징벌적 과징금을 부과하고, CEO의 보안 책임을 법령으로 명문화하겠다는 계획이다. 정보보호 공시 의무는 전 상장사로 확대된다.

이는 단순한 처벌 강화가 아니다. 정부는 “보안은 선택이 아니라 기업 경영의 핵심 가치”라는 메시지를 제도화했다. 문제는 기업들이 이 변화에 실제로 준비돼 있는가다.

‘사고 이후 대응’에서 ‘사고 이전 책임’으로

그동안 국내 사이버 보안 정책은 사고 발생 이후의 수습과 권고에 머무는 경우가 많았다. 그러나 최근 통신·플랫폼 기업에서 연이어 발생한 대규모 해킹 사고는 기존 대응 체계의 한계를 드러냈다. 정부는 이를 계기로 사고 발생 여부가 아니라, 사고를 예방하지 못한 책임을 묻는 방향으로 정책을 전환했다.

이제 기업은 “해킹을 당했다”는 사실만으로 면책될 수 없다. 보안 투자, 인력 배치, 사고 대응 체계가 충분했는지가 법적 판단의 핵심이 된다.

CEO 책임 명문화, 이사회까지 올라온 보안

이번 정책의 핵심은 최고경영자 책임이다. 정부는 CEO가 주요 IT 자산의 식별·관리, 정보보호 예산과 인력 편성, 이사회 보고까지 책임지도록 법령에 명시할 계획이다.

이는 보안을 IT 부서의 문제가 아니라 경영 의사결정의 영역으로 끌어올리는 조치다. 보안 사고는 더 이상 실무자의 실수가 아니라, 경영 판단의 결과로 해석된다. 기업 지배구조 전반에 영향을 미칠 수밖에 없다.

징벌적 과징금, 대기업만의 문제일까

매출의 3%라는 숫자는 대기업에게는 수천억 원대의 리스크다. 그러나 중견·중소기업에게는 존립을 위협하는 수준이다. 문제는 이들 기업이 대기업과 같은 수준의 보안 투자와 인력을 갖추기 어렵다는 점이다.

정부는 보안 공시 확대와 함께 보안 역량 강화를 유도하겠다고 밝혔지만, 보안 격차가 곧 시장 퇴출로 이어질 가능성도 커졌다. 보안이 약한 기업은 고객과 투자자의 선택을 받지 못하는 구조가 만들어진다.

형식적 인증의 시대는 끝났다

정부는 ISMS 등 기존 인증 제도의 실효성도 강화하겠다고 밝혔다. 현장 조사 중심으로 점검을 강화하고, 중대한 위반 시 인증 취소까지 검토한다는 방침이다.

이는 ‘인증을 받기 위한 보안’에서 ‘실제 작동하는 보안’으로의 전환을 의미한다. 서류 중심, 체크리스트 중심의 형식적 보안 체계는 더 이상 통하지 않는다. 실제 사고 대응 능력과 내부 통제가 핵심 평가 기준이 된다.

보안은 비용이 아니라 경쟁력이다

이번 정책 변화는 기업에 부담이자 기회다. 보안을 비용으로만 인식하는 기업에게는 징벌적 과징금 시대가 치명적일 수 있다. 반대로 보안을 신뢰와 브랜드 가치의 요소로 인식하는 기업에게는 경쟁 우위가 될 수 있다.

보안 투자는 더 이상 ‘사고가 나면 하는 것’이 아니다. 사고가 나지 않도록 설계하는 것이 기업 경영의 기본 조건이 됐다.

준비의 기준은 ‘기술’이 아니라 ‘체계’

기업이 지금 점검해야 할 것은 단순한 보안 솔루션 도입 여부가 아니다.
① 이사회와 경영진이 보안을 이해하고 있는가
② 사고 발생 시 즉각 대응 가능한 조직과 권한이 있는가
③ 보안 투자와 인력이 지속적으로 유지·점검되고 있는가

징벌적 과징금 시대의 보안 경쟁력은 기술이 아니라 조직과 체계의 문제다.

사이버 보안은 이제 기업의 방패가 아니라 기업을 평가하는 잣대가 됐다. 보안을 준비하지 않은 기업은 시장에서 살아남기 어렵다.

[ⓒ META-X. 무단전재-재배포 금지]