[디지털타임스 미래포럼] 박세준 대표, 공격적 보안… 현실적인 ESG 검증법

ESG 내 사이버보안 중요성 강조 모의해킹 등 공격적 보안 주문 “서류·인증 넘어 실제 역량 키워야” 박세준 티오리 대표 박세준 티오리 대표는 “이제 ESG는 약속을 넘어 증명이 필요한 시대”라면서 “보고서와 인증서만으로는 ESG를 뒷받침할 사이버보안 역량을 검증할 수 없다”고 말했다. 그는 “정책이 얼마나 잘 수립됐는지가 아니라 실제 공격을 얼마나 잘 막아내느냐가 성패를 가른다”고 지적했다. 티오리가 해법으로 제시하는 것은 ‘공격적 보안’(offensive security)이다. 그는 “공격자 관점의 모의해킹이 ESG를 검증하는 가장 현실적인 방법”이라고 강조했다. 시나리오 기반 위협 모델링, 레드팀 침투 테스트, 취약점 점검 등을 통해 ‘정책 유효성’이 아니라 ‘방어 현실성’을 입증하는 것이다. 이로써 각 요소별 ESG 영향도와 그에 따른 조치의 투자수익률(ROI)까지 도출하는 게 목표다. 사회(S) 영역에선 개인식별정보(PII) 접근·추출 차단율, 데이터 암호화 범위, 탐지·대응 시간, 사고 시 고객 영향 등을 확인한다. 지배구조(G) 영역에선 백업 무결성과 복구 목표(RTO·RPO) 달성률, 임원·이사회 보고 리드타임, 규제·공시 대응 능력 등을 지표로 삼는다. 박 대표는 액티브디렉터리(AD) 장악과 파일서버 암호화로 인한 영향과 이후 대응·복구 과정을 점검하는 시나리오도 제시했다. 박 대표는 “악의적 해커들은 예고하고 공격하지 않으며, 알려진 방법으로만 침투하지 않는다”면서 “모의해킹이 ESG 검증의 유일한 실전도구”라고 설명했다. 이어, “보안투자는 ESG 가치를 증명하는 투자”라며 “공격적 보안은 리스크를 객관적으로 측정하는 최적의 도구”라고 부연했다. 박 대표는 최고정보보호책임자(CISO)의 역할 변화도 주문했다. 그는 “취약점 50건, 패치율 90% 같은 기술 지표는 이사회에 와닿지 않는다”며 “고객 데이터 리스크를 몇 건 제거해 기업가치 하락 리스크를 몇 억원 방어했다는 식으로 번역할 수 있어야 한다”고 덧붙였다. 팽동현 기자 dhp@dt.co.kr