이 글은 AI 시대 한국 보안 거버넌스 시리즈의 4편입니다. 앞선 글들이 문제, 정체 구조, 적응 능력 지표를 다뤘다면, 이 글은 정책기관이 먼저 움직이지 않아도 시장이 어떻게 거버넌스를 끌고 갈 수 있는지를 다룹니다.
정책만이 변화를 만드는 것은 아니다
시리즈의 앞선 글들은 같은 질문으로 수렴했다. 한국 보안 거버넌스는 왜 정체되는가, 그리고 그 균형은 무엇으로 흔들릴 수 있는가.
많은 논의는 여기서 자동으로 정책 담당자만 바라본다. 하지만 그건 지나치게 좁은 시야일 수 있다. 변화는 꼭 정책기관만이 만들지 않는다. 오히려 어떤 경우에는 시장 행위자가 더 강한 변화를 만든다.
왜 시장이 더 강할 수 있는가
거버넌스 행위자들은 주로 권한 게임을 한다. 누가 주도권을 가지는가, 누가 영역을 양보하는가, 누가 책임을 지는가가 핵심이다.
반면 시장 행위자들은 비용 게임을 한다.
- 사고가 나면 보험료가 오른다.
- 고객사는 더 엄격한 요구사항을 건다.
- 투자자는 운영 리스크를 할인한다.
- 공급망 평가는 새로운 기준을 들이민다.
권한 게임에는 강한 행위자도 비용 게임에는 약하다. 그래서 변화는 때때로 당위보다 가격표를 통해 더 빨리 들어온다.
외부 행위자 1: 보험
사이버 보험이 본격화되면 중요한 질문이 바뀐다.
- 이 기업은 ISMS-P가 있는가?
- 가 아니라,
- 이 기업은 새 위험에 얼마나 빨리 반응하는가?
보험사는 사고 확률과 손실 규모를 줄이는 신호를 원한다. 적응 능력 지표가 보험 모델에 들어가면, 기업은 더 이상 인증서만으로 충분하다고 말하기 어렵다.
외부 행위자 2: 고객사와 공급망
많은 기업은 이미 협력사에 보안 요구사항을 부과한다. 지금은 인증서 제출이 중심일 수 있지만, 시간이 지나면 질문은 달라질 수 있다.
- 최근 고위험 취약점 대응 시간은 얼마였는가?
- 재탐색 체계가 있는가?
- 긴급 임시 완화 절차가 있는가?
- AI 기반 분석을 쓰더라도 검증 절차가 있는가?
이 질문이 고객사의 조달 문서에 들어가는 순간, 적응 능력은 추상 개념이 아니라 계약 요건이 된다.
외부 행위자 3: 평가 서비스와 등급 시장
해외에는 이미 BitSight, SecurityScorecard 같은 보안 등급 시장이 존재한다. 이 모델의 핵심은 단순하다. 기업의 보안 상태를 하나의 신호로 압축해 외부 시장에 제공하는 것이다.
한국에서도 유사한 흐름은 충분히 가능하다. 특히 AI 기반 분석 도구가 발전하면, 공개 자산·노출 서비스·취약 패턴·반응 속도를 조합한 새로운 평가 모델이 등장할 수 있다.
이게 왜 중요한가. 정부가 인정하지 않아도 시장이 먼저 신호를 소비할 수 있기 때문이다.
다만 처음부터 외부 공개 등급을 무리하게 만들 필요는 없다. 외부에서 기업을 점수화하는 모델은 법적·평판 리스크가 크다. 현실적인 출발점은 기업 내부에서 자기 조직의 MTTA, MTTP, MTRS를 측정하게 돕는 비공개 적응 능력 진단 도구다.
외부 행위자 4: 보안 SaaS와 데이터 표준
플랫폼은 종종 정책보다 먼저 표준을 만든다. 어떤 보안 SaaS가 많은 고객을 확보하면, 그 플랫폼이 제공하는 대시보드와 기준이 사실상 업계의 운영 표준처럼 작동할 수 있다.
- 어떤 경고를 중요하게 보는가
- 어떤 시간을 빠르다고 보는가
- 어떤 검증 절차를 최소선으로 보는가
이런 것들이 소프트웨어 안에 박히면, 표준은 문서보다 제품 안에서 먼저 작동한다.
신흥 행위자가 변화의 동력이 될 수 있는가
여기서 한 가지 단서를 더 단다. 거버넌스 안에서 새로 권한이 커지는 행위자 — 새로 영역을 잡거나 신설된 기관 — 도 변화의 동력이 될 수 있다. 그러나 동력이 있다고 해서 그 방향이 우리가 원하는 방향과 일치한다는 보장은 없다. 신흥 행위자는 보통 새 가드레일을 추가하는 쪽으로 움직인다. 그쪽이 영역 확장에 가장 빠른 길이기 때문이다. 가드레일을 더 깔면 거버넌스는 복잡해지지만 적응력은 늘지 않는다.
그래서 시장 행위자가 더 강한 지렛대가 될 수 있다. 보험·고객·공급망·투자자는 새 항목을 추가하기보다 기존 행동에 비용을 매기는 쪽으로 움직인다. 이 비용이 표준 준수의 면책 효과를 약화시키고 자율 판단의 개인 손실을 보전해 주면, 균형 이동에 필요한 인센티브 정렬이 비로소 시작된다.
그러면 정부는 필요 없는가
그렇지 않다. 정책은 여전히 중요하다. 다만 순서가 항상 “정책 → 시장”일 필요는 없다. 때로는 반대다.
- 연구자와 실무자가 언어를 만든다.
- 현장이 지표와 템플릿을 만든다.
- 시장이 그 지표에 비용을 매긴다.
- 정책기관이 뒤따라 제도를 정리한다.
즉, 정책은 변화를 시작하는 유일한 출발점이 아니라, 이미 움직이기 시작한 변화의 추격자가 될 수 있다.
자본주의의 냉정한 힘
이 점이 중요한 이유는 명확하다. 거버넌스 구조 안의 행위자들은 좋은 글과 좋은 당위만으로 잘 움직이지 않는다. 하지만 비용이 붙으면 다르게 행동한다.
- 보험료가 올라가면 CFO가 움직인다.
- 고객사가 요구하면 영업 조직이 움직인다.
- 공급망 기준이 바뀌면 협력사가 움직인다.
- 투자자가 질문하면 경영진이 움직인다.
그래서 균형을 깨는 가장 강한 메시지는 종종 “이게 옳다”가 아니라 **“이걸 하지 않으면 비싸다”**다.
현실적인 시작점
그렇다면 현실적으로 어디서 시작할 수 있을까.
1. 공개 가능한 최소 지표 제안
MTTA, MTTP, MTRS 같은 최소 지표를 먼저 제안하고, 업계 평균 또는 예시 템플릿을 공유한다.
2. 공급망 요구사항의 시범 적용
한두 곳의 민간 기업이 협력사 평가에 적응 능력 질문을 넣기 시작하면, 작은 변화가 확산될 수 있다.
3. 보험·투자·감사와 연결
이 지표들이 단순 내부 관리용이 아니라 외부 이해관계자와 연결되기 시작하면, 거버넌스는 문서가 아니라 시장에서 압박을 받게 된다.
4. 나중에 정책이 흡수
정책기관은 이 흐름을 보고 나중에 제도로 편입할 수 있다. 그때는 변화가 이미 추상적 주장이 아니라, 시장에서 검증된 신호가 된다.
이 시리즈의 결론
이 시리즈는 네 가지 주장을 단계적으로 쌓아왔다.
- 한국 보안 거버넌스는 AI 시대에 잘못된 방향으로 가속되고 있다.
- 그 이유는 무능보다 다행위자 균형에 가깝다.
- 따라서 적응 능력을 측정하는 지표와 템플릿이 필요하다.
- 그리고 그 변화는 정책기관만이 아니라 시장 행위자도 만들 수 있다.
결국 핵심은 하나다.
변화는 당위로만 오지 않는다. 비용과 신호와 시장을 타고 들어온다.
그래서 적응 능력의 언어를 만드는 일은 단순한 정책 토론이 아니다. 그것은 미래의 시장을 먼저 정의하는 일이기도 하다.