AI, 클라우드, 디지털 전환이 가속화되면서 기업의 데이터 의존도가 높아지고 있다. 이에 따라 사이버 공격이 단순한 IT 장애나 보안 사고를 넘어, 기업의 재무 성과와 투자자 신뢰에 직접적인 영향을 미치는 구조로 변하고 있다.

AI 기반 데이터 보안 및 레질리언스 전문기업 코헤시티(Cohesity)가 발표한 글로벌 조사 결과에 따르면, 국내 상장사 58%가 사이버 공격 이후 실적 전망이나 재무 가이던스를 수정한 것으로 나타났다. 이는 사이버 위협이 기술 부문을 넘어 이사회와 경영계획, 장기 재무전략까지 흔들고 있음을 보여준다.

사이버 공격의 여파, 기술 복구 넘어 재무 의사결정으로 확산

조사에 따르면 국내 기업의 72%, 글로벌 기업의 76%가 사이버 공격으로 인해 실질적인 피해를 입었다고 응답했다. 여기서 실질적 피해는 재정적 손실, 고객 이탈, 평판 훼손, 운영 중단 등 측정 가능한 손실을 포함한다.

국내 상장사 58%(글로벌 70%)는 공격 이후 실적 전망 또는 재무 가이던스를 수정했고, 68%는 주가가 하락한 것으로 조사됐다. 비상장사 74%(글로벌 73%)는 복구 및 보완 예산을 마련하기 위해 혁신과 성장 예산을 감축했으며, 95%(글로벌 92%)는 벌금, 소송 등 규제적 제재를 경험했다.

코헤시티의 산제이 푸넨(Sanjay Poonen) 사장 겸 CEO는 “이번 조사 결과는 사이버 공격이 조직의 모든 요소에 영향을 미치며, 단순 복구를 넘어 경영과 재무 전반에 파급력을 미치고 있음을 보여준다.”며 “이제 사이버 레질리언스는 기술 문제가 아니라 기업의 재무 성과와 직결되는 핵심 요소로 인식되어야 한다.”고 말했다.

코헤시티 코리아 이상훈 지사장은 “사이버공격은 최근 몇 년 사이 기업이 감당하기 어려운 대재난 수준으로 발전했다.”며 “국내 기업들은 여전히 레질리언스 성숙도가 낮은 단계에 머물러 있으며, 철저한 복구 및 예방 중심의 관리 체계가 장기 경쟁력의 필수 요소”라고 강조했다.

조사는 또한 사이버 공격이 실적 전망 공시 이상의 광범위한 영향을 미친다는 점을 보여준다. 상장사 중 일부만이 공식적으로 재무 조정을 공시했지만, 응답자 대부분은 실제 피해가 공시된 범위를 넘어 훨씬 더 큰 재정적·운영적 압박을 초래한다고 인식했다. 이는 제한된 공시 의무, 투자자의 협소한 중대성(materiality) 기준, 그리고 브랜드 신뢰도나 생산성 저하 등 무형 손실을 과소평가하는 경향이 원인으로 분석됐다.

이번 연구 결과는 기업들이 사이버 리스크를 평가하는 관점이 변화하고 있음을 보여준다. 예방과 탐지는 여전히 중요하지만, 차별화의 핵심은 얼마나 신속하고 완전하게 대응·복구할 수 있는지, 그리고 리더십이 사후 시장, 규제기관, 고객에게 신뢰를 회복할 수 있는지에 달려 있다는 분석이다.

국내 응답자의 49%(글로벌 47%)는 자사의 레질리언스 전략이 충분히 성숙했다고 답했지만, 실제로는 여전히 가시적인 재정적·운영적 피해가 발생하고 있는 것으로 나타났다.

생성AI의 빠른 확산, 리스크 관리 역량을 앞지른다

조사는 또 다른 위험 요인으로 생성형 AI의 급격한 확산을 지적했다. 국내 응답자의 86%(글로벌 81%)는 “생성형 AI의 발전 속도가 자사 리스크 대응 능력을 앞서가고 있다”고 우려했다. 기업들은 AI를 업무 전반에 통합하면서 탐지, 대응, 복구 역량을 강화할 수 있는 잠재력을 인정하면서도, 그 속도를 관리하기 어려워하고 있다.

푸넨 CEO는 “조직들은 AI 발전과 보안 사이의 역설에 직면해 있다.”며 “AI는 비즈니스 운영의 거의 모든 측면을 바꾸고 있지만, 대부분의 리더들은 도입 속도가 위험 감내 수준을 초과한다고 느끼고 있다.”고 말했다. 그는 또한 “신뢰할 수 있고 보호된 AI 대응형 데이터(AI-ready data)가 앞으로의 혁신과 책임 있는 AI 구현을 위한 핵심 기반이 될 것”이라고 덧붙였다.

코헤시티는 이번 조사를 통해 사이버 레질리언스가 단순한 기술 과제가 아닌 경영지표로 자리 잡고 있음을 강조했다. 기업의 재무 건전성과 리더십 신뢰는 사이버 레질리언스 수준에 의해 좌우되며, 위기 발생 시 얼마나 신속하게 복구하고 이해관계자의 신뢰를 유지할 수 있는지가 경쟁력을 결정한다는 것이다.

이번 조사에는 국내 약 200개 기업을 포함한 전 세계 3200명의 IT 및 보안 리더가 참여했다. 응답 기업은 대한민국, 미국, 브라질, 영국, 독일, 프랑스, UAE, 호주, 일본, 인도, 싱가포르 등 11개국의 공공 및 민간 부문 조직으로, 직원 1000명 이상 규모의 기업이 포함됐다. 

미국국립표준기술연구소(NIST)는 사이버 레질리언스를 “사이버 자원을 사용하는 시스템이 공격이나 침해에 직면했을 때 예측, 견딤, 복구, 적응할 수 있는 능력”으로 정의한다. 코헤시티는 이번 연구를 통해 이 정의가 이제 기술 부문을 넘어 기업의 장기 재무전략과 지속가능한 성장의 핵심 기준으로 확장되고 있음을 보여주었다.