사이버보안 정책의 구조적 윤리에 대한 비판적 평가: 대한민국 2025년 범부처 정보보호 종합대책 사례

이 글은 2025년 10월에 작성했던 초안을 2026년 5월 시점에서 다시 정리한 것이다.
초안의 중심 질문은 그대로다.
보안은 선한 개인에게 기대야 하는가, 아니면 선한 선택이 가능하도록 구조를 설계해야 하는가?

초록

대한민국 정부는 2025년 10월 22일, 연이은 해킹 사고와 국민 불안을 배경으로 범부처 정보보호 종합대책을 발표했다. 이 대책은 공공·금융·통신 등 1,600여 개 IT 시스템 보안점검, 정부 조사권한 강화, 징벌적 과징금 도입, 정보보호 등급제, CEO 책임 및 CISO 역할 강화, 정보보호 공시 확대, SBOM 제도화, 화이트해커 양성 등을 포함한다.

이 글은 그 대책을 단순한 보안 강화 정책으로 보지 않는다. 오히려 다음 질문을 던진다.

한국의 사이버보안 정책은 개인의 윤리에 의존하는 구조에서, 조직과 제도의 책임을 설계하는 구조로 이동하고 있는가?

이 질문을 위해 나는 빅토리아 시대 플로렌스 나이팅게일을 둘러싼 “백의의 천사” 신화와 오늘날의 “화이트해커” 담론을 비교한다. 두 서사는 전혀 다른 시대와 영역에 속하지만, 한 가지 공통점을 가진다. 제도적 실패가 개인의 헌신과 윤리로 번역되는 순간, 구조는 보이지 않게 된다.

그러나 이 글은 개인 윤리를 부정하지 않는다. 오히려 개인의 윤리적 실천이 제도 개혁을 촉발할 때, 윤리는 개인의 미덕에서 시스템의 속성으로 전환될 수 있다고 본다. 문제는 화이트해커가 필요한가가 아니다. 문제는 국가와 기업이 화이트해커의 선의 없이는 작동하지 않는 구조를 계속 유지해도 되는가이다.

1. 왜 다시 이 글을 꺼냈는가

처음 이 글을 썼을 때 나는 “화이트해커”라는 단어가 가진 이상한 밝음에 걸려 있었다. 화이트해커는 착한 해커다. 윤리적 해커다. 시스템의 취약점을 찾아내고, 악용하기 전에 신고하고, 때로는 보상보다 명예에 가까운 방식으로 움직인다.

이 표현은 듣기에 좋다. 하지만 듣기에 좋은 말은 종종 불편한 질문을 밀어낸다.

• 왜 그 취약점은 처음부터 시스템 안에 있었는가?
• 왜 조직은 취약점을 찾는 구조를 충분히 갖추지 못했는가?
• 왜 제도는 외부의 윤리적 개인에게 문제 발견을 기대하는가?
• 왜 보안 실패의 비용은 자주 개인의 헌신, 야근, 사명감, 윤리로 보상되는가?

최근 LLM의 cross-domain reasoning에 대해 정리하면서 이 글이 다시 떠올랐다. LLM이 정말 새로워지는 순간은 단순히 어떤 지식을 알고 있을 때가 아니라, 한 도메인의 문제를 다른 도메인의 언어로 다시 쓸 때다. 예를 들어 exploit 개발에서 단순히 “취약점이 있다”가 아니라, “이 exploit chain의 병목은 numeric representation과 precision loss다”라고 문제를 다시 쓰는 순간이 중요하다.

정책 글에서도 비슷하다.

표면적으로는 나이팅게일과 화이트해커는 전혀 다르다. 하나는 19세기 간호와 병원 위생의 이야기이고, 다른 하나는 21세기 사이버보안의 이야기다. 그러나 문제를 구조로 다시 쓰면 둘은 닮아 있다.

의료 체계의 실패
→ 나이팅게일 개인의 헌신과 도덕성으로 미화
→ 제도 실패가 개인 윤리의 언어로 번역됨

사이버보안 체계의 실패
→ 화이트해커 개인의 선의와 역량으로 미화
→ 조직·정책 실패가 개인 윤리의 언어로 번역됨

이 글은 바로 그 번역의 문제를 다룬다.

2. 나이팅게일 신화와 화이트해커 서사

플로렌스 나이팅게일은 흔히 “등불을 든 여인”으로 기억된다. 병상 사이를 걸으며 병사들을 돌본 헌신의 상징이다. 그러나 나이팅게일의 진짜 중요성은 단순한 헌신에 있지 않았다. 그녀는 사망률, 위생, 병원 구조, 행정 실패를 데이터로 분석했고, 제도 개혁을 요구한 인물이었다.

그런데 사회가 더 오래 기억한 이미지는 개혁가가 아니라 천사였다.

왜 그럴까?

천사는 편하다. 천사는 구조를 묻지 않는다. 천사는 제도 실패의 책임자를 찾지 않는다. 천사는 부패한 병원 행정, 열악한 위생 체계, 예산 부재, 국가의 무능을 가리지 않고 그 위에 도덕적 빛을 비춘다.

이때 개인의 헌신은 아름답지만, 동시에 위험해진다. 헌신이 구조적 실패를 가리는 장식이 될 수 있기 때문이다.

화이트해커 담론도 유사한 위험을 갖는다.

화이트해커는 분명 필요하다. 취약점을 발견하고, 공격자보다 먼저 위험을 드러내며, 보안 생태계에 중요한 역할을 한다. 그러나 정책이 화이트해커를 말할 때마다 우리는 함께 물어야 한다.

왜 조직은 자신의 취약성을 스스로 발견하고 고칠 구조를 충분히 만들지 못했는가?

화이트해커를 영웅으로 부르는 순간, 조직은 잠시 편해진다. “우리에게는 착한 해커가 필요하다”는 말은 맞지만, 그 말이 “우리는 구조를 고치지 않아도 된다”는 알리바이가 되어서는 안 된다.

3. 2025년 범부처 정보보호 종합대책: 정책은 실제로 움직이고 있다

다행히 2025년의 범부처 정보보호 종합대책은 단순히 “화이트해커를 더 키우자”에 머물지 않았다. 오히려 여러 항목에서 한국의 보안 정책이 개인 윤리 중심에서 구조적 책임 중심으로 이동하고 있음을 보여준다.

정부 발표의 핵심은 다음과 같다.

• 공공·금융·통신 등 국민 생활과 밀접한 1,600여 개 IT 시스템에 대한 보안 취약점 점검
• 통신사 등에 대한 실제 해킹 방식의 강도 높은 점검
• 해킹 정황 확보 시 기업 신고 없이도 정부가 신속히 조사할 수 있도록 조사권한 확대
• 지연 신고, 재발 방지 미이행, 반복 유출 등에 대한 과태료·과징금 상향 및 징벌적 과징금 도입 추진
• 정보보호 공시 의무 기업을 상장사 전체로 확대
• 공시 결과를 바탕으로 보안 역량 수준을 등급화해 공개하는 제도 도입
• CEO 책임과 CISO 역할 강화
• 금융·공공기관이 사용자에게 강제하던 보안 소프트웨어를 단계적으로 제한하고, MFA와 AI 기반 이상탐지로 전환
• 획일적 물리적 망분리에서 데이터 보안 중심으로 전환
• 공공 IT 시스템·제품에 대한 SBOM 제출 제도화 추진
• 차세대 보안 기업 육성 및 화이트해커 양성 체계 강화

이 변화는 작지 않다.

과거 보안 정책은 종종 사고 후 대응에 가까웠다. 사고가 발생하면 조사하고, 과징금을 부과하고, 책임자를 문책했다. 물론 그것도 필요하다. 그러나 사후 처벌만으로는 구조가 바뀌지 않는다.

2025년 대책에서 눈에 띄는 변화는 보안을 사후 사고의 문제가 아니라 경영, 공시, 조달, 공급망, 책임, 조직 구조의 문제로 다루기 시작했다는 점이다.

특히 정보보호 공시 확대와 등급제는 중요하다. 기업은 그동안 보안을 비용으로 취급해 왔다. 투자해도 티가 잘 나지 않고, 사고가 나야 부족함이 드러나는 영역이었다. 공시와 등급제는 이 비가시성을 줄이려는 시도다.

보안 투자가 외부에서 비교되고, 경영진의 책임과 연결되며, 시장의 평가 대상이 된다면 보안은 더 이상 실무자의 사명감에만 남겨진 일이 아니다. 보안은 기업의 설명 책임(accountability)이 된다.

4. 중요한 변화: “보안 담당자 책임”에서 “경영 책임”으로

내가 가장 주목하는 변화는 CEO와 CISO 책임 강화다.

보안 사고가 발생했을 때 조직은 흔히 실무자에게 책임을 묻는다. 담당자가 왜 몰랐는가. 왜 패치를 늦게 했는가. 왜 로그를 확인하지 않았는가. 왜 이상 징후를 놓쳤는가.

하지만 많은 보안 실패는 실무자의 성실성 문제가 아니다.

• 보안 예산이 충분했는가?
• CISO에게 실제 의사결정권이 있었는가?
• 보안 인력은 서비스 규모에 맞게 배치되었는가?
• 취약점 조치가 사업 일정에 밀리지 않도록 경영 구조가 설계되었는가?
• 보안 리스크가 이사회와 CEO 레벨에서 논의되었는가?
• 반복되는 취약점이 조직 학습으로 환류되었는가?

이 질문들은 실무자가 혼자 답할 수 없다.

따라서 CEO/CISO 책임 강화는 단순한 처벌 강화가 아니라, 보안을 조직 의사결정 구조 안으로 끌어올리는 장치가 되어야 한다. CISO가 책임만 지고 권한은 없는 구조라면 그것은 또 다른 희생의 서사일 뿐이다.

진짜 구조적 윤리는 다음과 같은 상태에 가깝다.

책임이 있는 곳에 권한이 있고,
권한이 있는 곳에 예산이 있으며,
예산이 있는 곳에 측정 가능한 보안 목표가 있고,
그 목표가 경영 판단과 연결되는 구조.

이 구조가 없다면 “CISO 책임 강화”는 CISO에게 더 큰 짐을 지우는 말로 끝날 수 있다.

5. 여전히 남아 있는 문제: 화이트해커 양성이라는 밝은 서사

그럼에도 이 대책에는 여전히 개인화된 브랜딩의 잔상이 남아 있다. 대표적인 것이 화이트해커 양성이다.

연 500명의 화이트해커를 양성하고, 기업 수요에 맞춘 보안 최고 전문가를 키우겠다는 방향 자체는 틀리지 않다. 한국에는 고급 보안 인력이 부족하고, 실제 공격자의 속도를 따라잡기 위해서는 전문 인력이 필요하다.

문제는 인재 양성이 구조 개혁을 대체하는 순간이다.

보안 인력을 늘리는 것은 필요하다. 하지만 다음 질문이 함께 가지 않으면 정책은 다시 개인에게 돌아간다.

• 그 화이트해커는 어떤 법적 보호를 받는가?
• 취약점을 신고했을 때 기업은 어떤 의무를 지는가?
• 취약점 제보자는 보상받는가, 아니면 명예만 받는가?
• 정부나 기업이 발견된 취약점을 구조 개선으로 환류하는 절차가 있는가?
• 화이트해커가 찾은 문제는 CISO·CEO 책임 체계와 연결되는가?
• 반복되는 취약점은 조달, 개발, 운영, 감사 기준을 바꾸는가?

이 질문들이 없다면 화이트해커는 “제도 개선의 파트너”가 아니라 “제도 실패의 완충재”가 된다.

화이트해커는 더 많이 필요하다. 그러나 그보다 더 중요한 것은 화이트해커가 발견한 취약점이 조직의 학습과 제도 변화로 이어지는 경로다.

윤리는 사람에게서 시작될 수 있다. 하지만 거기서 끝나면 안 된다.

6. 구조적 윤리란 무엇인가

나는 이 글에서 “구조적 윤리”라는 말을 다음 의미로 쓴다.

윤리는 선한 개인의 성품이 아니라, 선한 선택이 반복 가능하도록 만드는 시스템 설계다.

보안에서 개인 윤리는 중요하다. 취약점을 발견했을 때 악용하지 않고 신고하는 선택, 조직의 위험을 외면하지 않는 선택, 고객 피해를 줄이기 위해 불편한 사실을 드러내는 선택은 모두 윤리적 행위다.

하지만 개인의 윤리만으로는 지속 가능하지 않다.

선한 개인은 지친다. 떠난다. 침묵한다. 처벌을 두려워한다. 보상받지 못한다. 조직의 정치에 막힌다. 경영진의 우선순위에서 밀린다.

그래서 윤리는 구조가 되어야 한다.

구조적 윤리는 다음을 포함한다.

• 취약점 신고자 보호
• 책임 있는 공개 절차
• 버그바운티와 보상 체계
• CISO 권한 보장
• CEO와 이사회 수준의 보안 책임
• 정보보호 공시와 외부 검증
• 공급망 투명성
• 사고 조사권한과 독립적 감시
• 반복 사고에 대한 구조적 재발 방지
• 보안 인력의 지속 가능한 노동 조건

이 중 일부는 2025년 대책에 포함되어 있다. 그러나 일부는 아직 부족하다.

특히 독립적 윤리 감시, 제보자 보호, 취약점 공개의 법적 안전지대, 해커 커뮤니티와의 지속적 협치 구조는 더 선명하게 설계될 필요가 있다.

7. 정책 변화의 의미: 반쪽 전환, 그러나 중요한 전환

2025년 대책을 비판적으로 읽더라도, 그 의미를 과소평가해서는 안 된다. 정책은 실제로 움직이고 있다.

이전의 보안 담론이 “보안 담당자가 잘해야 한다”, “윤리적인 해커가 필요하다”, “기업이 자율적으로 관리해야 한다”에 가까웠다면, 이제는 조금 다르다.

정부 조사권한, 정보보호 공시, 등급제, CEO/CISO 책임, SBOM, 망분리 전환, MFA와 AI 기반 이상탐지, 공공 조달의 공급망 관리가 함께 등장한다. 이것은 보안을 개인의 태도나 기술자의 역량이 아니라, 제도와 시장, 조달과 경영의 언어로 다시 쓰려는 움직임이다.

그렇다고 이 전환이 완성된 것은 아니다.

정확한 평가는 다음에 가깝다.

한국의 보안 정책은 개인 윤리 의존에서 구조적 책임으로 이동하고 있다. 그러나 아직 완전히 전환된 것은 아니다. 구조적 장치와 개인 역량 중심 서사가 동시에 존재하는 과도기다.

나는 이 상태를 “반쪽 전환”이라고 부르고 싶다.

반쪽이라는 말은 비난이 아니다. 오히려 중요하다. 반쪽 전환은 방향이 생겼다는 뜻이다. 동시에 아직 남은 절반을 보아야 한다는 뜻이다.

8. 법률과 정치의 방향: 책임의 외주화에서 책임의 위치 지정으로

한국의 정치와 법률 정책은 사이버보안을 점점 더 “책임의 위치 지정” 문제로 다루기 시작했다.

과거에는 사고가 나면 책임이 흩어졌다. 실무자, 외주업체, 보안 솔루션, 사용자 부주의, 해커, 규제 미비가 뒤섞였다. 모두가 조금씩 책임이 있는 것처럼 보였고, 그래서 아무도 충분히 책임지지 않았다.

최근 정책 방향은 이 흐림을 줄이려 한다.

• 정부는 조사권한을 강화해 기업의 자진 신고에만 의존하지 않으려 한다.
• 기업은 정보보호 공시를 통해 투자와 인력 현황을 공개해야 하는 방향으로 간다.
• CEO와 CISO는 보안 실패를 단순한 기술 부서의 문제가 아니라 경영 책임으로 받아들여야 한다.
• 공공 조달은 SBOM을 통해 공급망의 구성요소를 묻기 시작한다.
• 망분리는 물리적 분리라는 오래된 상징에서 데이터 중심 보안으로 이동한다.

이 방향은 한마디로 이렇게 요약할 수 있다.

책임을 개인에게 묻는 방식에서,
책임이 발생하는 구조와 위치를 명확히 하는 방식으로 이동한다.

이 변화는 중요하다. 그러나 법률이 책임의 위치만 지정하고 권한·예산·보상·절차를 함께 설계하지 않으면, 책임은 다시 개인에게 떨어진다.

특히 CISO는 이 전환의 핵심이자 위험 지점이다. CISO가 CEO에게 직접 보고하고, 예산과 인력을 조정할 권한을 갖고, 보안 리스크를 사업 리스크로 번역할 수 있다면 구조적 책임이 된다. 그러나 CISO가 사고 후 책임지는 이름표로만 쓰이면, 그것은 새로운 형태의 희생 서사다.

9. 화이트해커를 다시 위치시키기

화이트해커는 영웅도, 용병도, 무료 외주 인력도 아니다. 가장 건강한 위치는 구조 개혁의 파트너다.

이를 위해서는 몇 가지 전환이 필요하다.

첫째, 취약점 제보는 선의에 기대는 행위가 아니라 제도적 절차가 되어야 한다. 신고 채널, 처리 기한, 보상 기준, 법적 면책 범위, 이의 제기 절차가 명확해야 한다.

둘째, 화이트해커의 발견은 단발성 이벤트가 아니라 조직 학습으로 연결되어야 한다. 한 취약점을 막는 데서 끝나지 않고, 왜 그 취약점이 생겼는지 개발 프로세스, 배포 구조, 테스트 체계, 조달 기준으로 되돌아가야 한다.

셋째, 화이트해커 양성 정책은 다양성과 지속 가능성을 포함해야 한다. 보안 인재를 “천재 해커” 이미지로만 만들면 커뮤니티는 좁아진다. 여성, 비전공자, 지역 인재, 운영 경험자, 정책 전문가, 개발자, 감사 인력까지 들어와야 한다. 현대 보안은 exploit만으로 움직이지 않는다. 구조를 보는 사람이 필요하다.

넷째, 보상과 보호가 필요하다. 윤리적 행위는 칭찬만으로 지속되지 않는다. 법적 위험을 줄이고, 정당한 보상을 제공하고, 기업이 불리한 제보를 억누르지 못하게 해야 한다.

화이트해커는 구조 밖의 영웅이 아니라 구조 안의 감각기관이 되어야 한다.

10. AI 시대에는 더 중요해진다

AI는 이 문제를 더 어렵게 만든다.

LLM과 자동화 도구가 취약점 탐색, 코드 분석, exploit reasoning, 로그 해석, 정책 문서 작성까지 보조하기 시작하면, 취약점을 찾는 속도는 빨라진다. 공격자도 빨라지고, 방어자도 빨라진다.

이때 국가와 기업이 여전히 “뛰어난 개인 몇 명”에게 의존한다면 구조는 더 빨리 무너진다.

AI 시대의 보안 정책은 다음을 물어야 한다.

• 취약점 발견 속도가 빨라질 때 조치 속도는 따라가는가?
• AI가 찾아낸 위험을 누가 검증하고 우선순위화하는가?
• LLM이 만든 분석 결과가 경영 의사결정으로 이어지는가?
• 보안 인력은 더 많은 경보와 더 빠른 분석 요구를 감당할 수 있는가?
• AI-assisted vulnerability discovery가 화이트해커 개인에게 더 많은 무급 검증 노동을 전가하지 않는가?

AI는 보안 인력 부족을 해결할 수도 있지만, 반대로 책임 전가를 더 세련되게 만들 수도 있다. “AI가 찾았다”, “화이트해커가 확인했다”, “CISO가 보고했다”는 말 뒤에 조직의 구조적 책임이 숨어서는 안 된다.

그래서 구조적 윤리는 AI 시대에 더 중요하다.

11. 결론: 선한 개인이 아니라, 선한 선택이 가능한 구조

사이버보안에서 사람은 중요하다. 이 말은 맞다.

그러나 그 말은 자주 잘못 쓰인다. 사람은 중요하다는 말이 실무자의 희생, 화이트해커의 선의, CISO의 책임감, 연구자의 무급 노동을 당연하게 만드는 말이 되어서는 안 된다.

더 정확히 말해야 한다.

사이버보안에서 중요한 것은 선한 개인이 아니라, 선한 선택이 반복 가능하도록 만드는 구조다.

2025년 범부처 정보보호 종합대책은 이 방향으로 움직이고 있다. 정부 조사권한, 정보보호 공시, 등급제, CEO/CISO 책임, SBOM, 망분리 전환은 모두 보안을 구조의 언어로 다시 쓰려는 시도다.

그러나 동시에 화이트해커 양성이라는 밝은 서사도 남아 있다. 그 서사가 구조 개혁의 파트너십으로 이어지면 긍정적이다. 하지만 구조 실패를 가리는 영웅담으로 소비된다면, 우리는 다시 나이팅게일 신화의 오래된 함정으로 돌아간다.

나이팅게일이 위대한 이유는 천사였기 때문이 아니다. 그녀가 구조를 보았기 때문이다.

화이트해커도 마찬가지다. 위대한 것은 선한 개인의 이미지가 아니라, 그 개인의 발견이 제도를 바꾸는 순간이다.

결국 윤리는 사람 안에만 있지 않다. 윤리는 설계된다. 예산에 들어간다. 공시에 드러난다. 권한과 책임으로 배분된다. 조달 기준에 쓰인다. 사고 조사권한으로 작동한다. 그리고 반복되는 실패를 다시 구조로 되돌려 보내는 피드백 루프가 된다.

보안은 선의로 시작될 수 있다.
하지만 선의에 머무르면 지속되지 않는다.
선의를 구조로 바꿀 때, 비로소 보안은 윤리가 된다.

요약

• 2025년 범부처 정보보호 종합대책은 한국 사이버보안 정책이 개인 윤리 의존에서 구조적 책임으로 이동하고 있음을 보여준다.
• 정부 조사권한, 정보보호 공시, 등급제, CEO/CISO 책임, SBOM, 망분리 전환은 보안을 조직과 제도의 문제로 다시 쓰는 장치다.
• 그러나 화이트해커 양성 중심의 밝은 서사는 여전히 개인 영웅주의의 위험을 갖는다.
• 화이트해커는 제도 실패의 완충재가 아니라 구조 개혁의 파트너로 위치해야 한다.
• AI 시대에는 취약점 발견 속도가 빨라지는 만큼, 개인에게 의존하지 않는 책임 구조와 검증 체계가 더 중요해진다.
• 진짜 윤리는 선한 개인을 찾는 것이 아니라, 선한 선택이 반복 가능하도록 시스템을 설계하는 것이다.

참고 자료

• 범부처 정보보호 대책 발표…해킹 정황 시 기업 신고 없어도 조사 — 대한민국 정책브리핑, 2025.10.22
• The Defiance of Florence Nightingale — Smithsonian Magazine
• Unravelling the Ethical Web: Navigating the Complexities of Hacking — London School of Cybersecurity
• What Is Ethical Hacking and How Can It Foil Cybercrime? — American Military University
• 연이은 굵직한 해킹 사고에…정부 ‘범부처 정보보호 대책’ 발표 — 바이라인네트워크, 2025.10.22
• 국가안보실 중심으로 민관 아우른다…범부처 정보보호 종합대책 발표 — 보안뉴스, 2025.10.22