
개인정보 유출 사고 대응업체 비용,
최저가보다 먼저 봐야 할 계약 기준
개인정보 유출 사고가 의심되면 마음은 복구 버튼부터 누르라고 재촉합니다. 그러나 서둘러 서버를 초기화하거나 로그를 정리하면, 유출 경로와 피해 범위를 밝힐 단서까지 함께 사라질 수 있습니다.
대응업체 견적은 정찰제 상품처럼 단순하지 않습니다. 분석할 서버와 계정 수, 클라우드 로그의 상태, 현장 출동 여부, 야간 대응, 디지털 포렌식, 신고 지원, 법률 검토가 한 겹씩 더해지면서 비용이 달라집니다.
따라서 총액만 비교하면 싼 견적이 아니라 비어 있는 견적을 고를 수 있습니다. 같은 이름의 ‘사고 대응’ 서비스라도 어떤 업체는 원인 분석까지만 하고, 다른 업체는 공격 차단과 계정 정리, 보고서 작성까지 포함합니다.
이 글에서는 비용이 결정되는 구조부터 업체 유형, 72시간 통지·신고 기준, 견적서의 숨은 제외 항목, 세 업체를 같은 조건으로 비교하는 방법까지 차분히 정리합니다.
좋은 업체는 공포를 파는 대신, 확인된 사실과 아직 모르는 영역을 분리해 설명합니다. 🔐
한눈에 보기
- 이 글이 필요한 사람: 개인정보 유출이 의심되지만 내부 인력만으로 원인과 범위를 확정하기 어려운 중소기업 대표, 개인정보 보호책임자, 전산 담당자
- 해결하는 문제: 대응업체 비용이 달라지는 이유, 적합한 업체 유형, 견적서 누락 항목, 계약 전 질문을 구분합니다.
- 읽은 뒤 할 수 있는 일: 동일한 조건의 견적요청서를 세 업체에 보내고, 착수 시간과 조사 범위, 추가 비용을 같은 표에서 비교할 수 있습니다.
목차

계약서를 찾기 전에 먼저 지켜야 할 안전선
읽기 전에 확인하세요
이 글은 대한민국의 일반적인 개인정보 유출 사고 대응과 업체 비교를 돕기 위한 정보입니다. 실제 통지·신고 의무와 법적 책임은 유출된 정보, 인원, 경로, 인지 시점, 업종별 규제에 따라 달라질 수 있습니다. 시스템을 변경하거나 증거를 수집하기 전에는 보안 전문가와 변호사, 개인정보보호위원회 또는 한국인터넷진흥원의 최신 안내를 함께 확인하세요.
지금 해도 되는 조치와 멈춰야 할 조치
공격이 진행 중이라면 피해 시스템을 네트워크에서 격리하고, 관리자 계정과 외부 접속 경로를 통제해야 합니다. 다만 격리는 곧바로 전원을 끄거나 디스크를 초기화하라는 뜻이 아닙니다.
사고 대응에서는 서비스 복구와 증거 보존이 서로 다른 작업입니다. 복구를 서두르다가 메모리 정보, 접속 기록, 임시 파일과 공격자의 흔적을 없애면 유출 범위 산정이 더 어려워질 수 있습니다.
- 사고 인지 시각과 최초 발견자를 기록합니다.
- 현재 접속 중인 관리자와 변경된 설정을 기록합니다.
- 로그 보관 기간과 자동 삭제 예정 시각을 확인합니다.
- 삭제, 포맷, 재설치, 공장 초기화는 담당 책임자의 승인 전까지 중단합니다.
- 모든 조치의 실행자, 실행 시각, 실행 이유를 시간순으로 남깁니다.
기술업체가 법률 판단까지 대신할 수는 없습니다
보안업체는 어떤 계정이 침해됐는지, 어떤 로그에서 외부 전송 흔적이 발견됐는지, 몇 명의 정보가 영향을 받았을 가능성이 있는지를 분석할 수 있습니다. 그러나 그 사실이 법률상 통지·신고 대상인지, 문안에 어떤 표현을 써야 하는지는 별도의 법적 검토가 필요할 수 있습니다.
수사나 손해배상 분쟁이 예상된다면 조사 범위와 증거 수집 방식부터 변호사와 조율하는 편이 안전합니다. 보험에 가입한 회사라면 임의로 업체를 선임하기 전에 사고 통지 기한, 사전 승인, 지정업체 이용 조건도 확인해야 합니다.
전자우편 계정에서 시작된 사고라면 회사 이메일 계정 탈취 초기 대응 절차를 함께 확인해 세션 폐기, 전달 규칙 점검, 인증정보 재설정 순서를 정리할 수 있습니다.
개인정보 유출 대응업체 비용을 결정하는 여섯 가지
개인정보 유출 대응에는 공통된 정찰요금표가 없습니다. 짧은 원격 진단으로 끝나는 사건과 여러 서버·클라우드·전자우편 계정을 동시에 조사하는 사건은 투입 인력과 분석 시간이 전혀 다르기 때문입니다.
실무에서는 제한적인 원격 확인이 비교적 작은 예산으로 시작될 수 있지만, 정식 디지털 포렌식과 현장 대응은 수백만 원 단위에서 수천만 원 단위로 커질 수 있습니다. 다수 사업장, 장기간 로그, 대규모 고객 통지, 상주 인력, 법률·홍보 지원까지 포함되면 별도 프로젝트 예산이 필요할 수 있습니다.
비용을 읽는 공식
예상 총액은 대체로 긴급 착수비, 증거 수집·보존비, 분석 인력 공수, 현장·야간 할증, 보고서 작성비, 신고·통지 지원비, 복구·재발 방지비를 합해 계산합니다. 견적서에 이 항목이 나뉘어 있지 않다면 총액의 의미부터 다시 물어보세요.
1. 분석 대상 시스템과 계정 수
서버 한 대라고 해도 웹 서버, 데이터베이스, 백업 저장소, 관리자 PC, 방화벽과 클라우드 계정까지 연결되어 있을 수 있습니다. 공격 경로를 따라가려면 처음 예상한 장비보다 조사 대상이 늘어나는 일이 흔합니다.
견적을 받을 때는 서버 수만 적지 말고 운영체제, 저장 용량, 가상 서버 여부, 데이터베이스 종류, 관리자 단말, 전자우편과 협업 서비스까지 구분해야 합니다. 저장 용량이 크거나 암호화된 데이터가 많으면 수집과 분석 시간이 늘어날 수 있습니다.
2. 원격 대응과 현장 출동의 차이
초기 로그 확인과 계정 점검은 원격으로 가능한 경우가 있습니다. 반면 장비 반출이 어렵거나 망 분리 환경, 내부자 유출, 랜섬웨어 확산, 대량의 물리 장비가 관련된 사고라면 현장 인력이 필요합니다.
현장 대응에는 이동 시간, 출장비, 장비 운반, 현장 대기와 보안 절차가 더해집니다. 야간이나 휴일에 즉시 출동해야 한다면 별도의 긴급 할증이 적용되는지 확인해야 합니다.
3. 클라우드와 서비스형 소프트웨어 로그
아마존웹서비스, 마이크로소프트 애저, 구글 클라우드와 같은 클라우드 환경은 물리 서버를 복제하는 방식만으로 조사하기 어렵습니다. 접속 권한, 감사 로그, 저장소 접근 기록, 인증 토큰, 가상 서버 스냅샷을 함께 분석해야 합니다.
전자우편, 고객관리, 파일 공유와 협업 서비스도 각각 로그 보존 기간과 내보내기 방식이 다릅니다. 필요한 로그가 유료 요금제에서만 제공되거나 이미 보존 기간을 넘겼다면 분석 범위와 신뢰도에 영향을 줄 수 있습니다.
4. 분석 목적과 산출물의 수준
서비스 복구가 목적이라면 악성 파일 제거와 취약점 차단이 중심이 될 수 있습니다. 반면 개인정보 유출 인원 산정, 형사고소, 보험 청구, 감독기관 제출이 목적이라면 원본 보존과 분석 근거, 상세한 시간대별 기록이 필요합니다.
| 대응 수준 | 주요 범위 | 비용이 커지는 요인 | 적합한 상황 |
|---|---|---|---|
| 제한형 초기 진단 | 원격 인터뷰, 핵심 로그 확인, 긴급 차단 권고 | 야간 착수, 로그 수집 지원 | 유출 여부가 불분명하고 범위가 작은 경우 |
| 표준 침해 대응 | 원인 분석, 시스템 수집, 계정 점검, 복구 권고, 보고서 | 서버·계정 증가, 현장 출동, 클라우드 분석 | 외부 침입과 개인정보 접근 정황이 있는 경우 |
| 확장형 포렌식 대응 | 법적 증거 절차, 다수 장비 분석, 유출 인원 산정, 기관·법무 협업 | 상주 인력, 장기 분석, 다크웹·악성코드 분석, 통지 지원 | 수사·소송·대규모 통지 가능성이 있는 경우 |
견적이 만들어지는 일곱 조각
접수 후 분석 시작 시간
장비 복제와 로그 보존
투입 인원과 작업 일수
출장과 야간·휴일 할증
기술·경영진·기관용 산출물
문안과 신고 자료 지원
백도어 제거와 재발 방지
첫 견적서에서 빠지기 쉬운 비용 항목
처음 받은 견적이 낮아 보이는 이유는 반드시 효율적이어서가 아닙니다. 분석 범위가 좁거나 복구, 보고서, 증거 저장과 추가 장비가 제외돼 있을 수 있습니다.
원인 분석과 실제 차단·복구는 별도일 수 있습니다
“침해사고 분석”이라는 한 줄만으로는 공격자 세션 폐기, 악성 계정 삭제, 전달 규칙 제거, 취약점 수정, 서버 재구축이 포함되는지 알 수 없습니다. 분석 결과를 받았는데 실제 조치는 내부 담당자가 해야 하는 계약도 있습니다.
특히 공격이 계속 진행 중이라면 조사와 차단의 책임자를 명확하게 정해야 합니다. 업체가 조치를 직접 실행하는지, 권고안만 제공하는지, 실행 후 정상화 검증까지 하는지를 구분하세요.
증거 저장장치와 장기 보관료
원본 장비의 복제본을 만드는 데 필요한 저장장치, 암호화 보관 공간, 봉인과 운송, 일정 기간 이후의 추가 보관료가 별도로 청구될 수 있습니다. 데이터 용량이 크면 저장 비용도 무시하기 어렵습니다.
계약서에는 누가 복제본을 소유하는지, 어디에 보관하는지, 접근 권한은 누구에게 있는지, 보관 종료 후 어떤 방식으로 삭제하는지가 적혀 있어야 합니다.
보고서가 한 종류라고 생각하면 생기는 오차
중간 상황보고, 기술팀용 상세 보고서, 경영진용 요약본, 개인정보 유출 신고에 첨부할 자료, 보험사 제출자료와 수사기관 제출자료는 목적과 깊이가 다릅니다.
최종 보고서에 분석 대상, 수집 방법, 확인된 사실, 판단 근거, 미확인 영역, 공격 시간대, 영향받은 정보, 재발 방지 조치가 포함되는지 확인하세요. 구두 설명만 제공되는 저가 견적은 나중에 문서가 필요해졌을 때 추가 비용이 생길 수 있습니다.
견적서에서 찾아야 할 문장
“포함”이라는 표현보다 “서버 몇 대, 계정 몇 개, 인력 며칠, 보고서 몇 종, 보관 기간 몇 개월”처럼 수량과 조건이 적힌 문장을 찾으세요. 범위가 숫자로 정의돼야 추가 비용도 예측할 수 있습니다.
- 부가가치세와 출장비가 총액에 포함돼 있는가
- 야간·휴일·긴급 출동 할증 기준이 적혀 있는가
- 추가 서버, 계정, 저장 용량의 단가가 명시돼 있는가
- 재수집과 재분석 비용이 발생하는 조건이 적혀 있는가
- 증거 복제본 보관 기간과 연장 비용이 명확한가
- 최종 보고서 수정 횟수와 추가 설명회의 범위가 정해져 있는가
- 복구 실행과 정상화 확인이 포함돼 있는가
- 악성코드 분석과 외부 유출 흔적 조사가 별도 항목인가
사고 유형에 맞는 대응업체를 고르는 방법
한 업체가 모든 분야를 맡는 방식이 편리할 수 있지만, 편리함이 곧 전문성을 뜻하지는 않습니다. 사고의 핵심이 외부 해킹인지, 내부자 유출인지, 통지·신고 판단인지에 따라 주도 업체가 달라져야 합니다.
침해사고 대응 전문업체가 먼저 필요한 경우
웹셸, 랜섬웨어, 관리자 계정 탈취, 원격 접속 악용처럼 외부 공격이 의심되면 침해사고 대응 경험이 많은 업체가 중심이 되는 편이 적합합니다. 공격 경로를 찾고 현재 접속을 차단하며 피해 시스템을 정상화하는 능력이 핵심입니다.
디지털 포렌식 전문업체가 중심이 되는 경우
퇴직자나 내부 직원에 의한 자료 반출, 이동식 저장장치 사용, 파일 삭제, 메신저와 개인 전자우편 전송이 의심된다면 디지털 포렌식 절차가 중요합니다. 누가 언제 어떤 자료에 접근했는지뿐 아니라 증거 수집 과정의 적법성과 보존 상태도 검토해야 합니다.
법률·개인정보 컨설팅이 함께 필요한 경우
유출 대상과 인원이 어느 정도 확인됐거나 고객 통지, 감독기관 신고, 손해배상 가능성이 문제라면 변호사와 개인정보 보호 전문가의 역할이 커집니다. 기술업체가 만든 사실관계를 바탕으로 법적 의무와 대외 문안을 검토하는 구조가 효율적입니다.
사고 이후 관제업체까지 바로 계약해야 하는 경우
백도어가 남아 있을 가능성이 있거나 내부에서 지속적으로 이상 징후를 감시할 인력이 없다면 보안관제 또는 관리형 탐지·대응 서비스를 검토할 수 있습니다. 다만 사고 조사 계약과 장기 관제 계약은 목적과 기간이 다르므로 견적을 분리하는 편이 좋습니다.
| 업체 유형 | 잘하는 일 | 별도 확인이 필요한 영역 | 우선 검토할 상황 |
|---|---|---|---|
| 침해사고 대응업체 | 공격 경로 분석, 차단, 악성코드 제거, 복구 지원 | 법률 판단, 증거 제출 형식 | 공격이 진행 중이거나 외부 침입 흔적이 있는 경우 |
| 디지털 포렌식업체 | 원본 보존, 삭제 데이터 분석, 행위자와 시간대 규명 | 서비스 복구와 장기 관제 | 내부자 유출이나 소송 가능성이 있는 경우 |
| 개인정보 컨설팅업체 | 영향 범위 정리, 통지·신고 자료, 관리체계 개선 | 고난도 악성코드와 시스템 복구 | 유출 정보와 대상자 산정이 필요한 경우 |
| 법무법인·변호사 | 법적 의무 판단, 조사 대응, 분쟁 전략, 문안 검토 | 직접적인 시스템 분석 | 통지·신고·수사·손해배상 문제가 있는 경우 |
| 보안관제·관리형 탐지업체 | 지속 감시, 경보 분석, 재침입 탐지 | 과거 사고의 상세 포렌식 | 사고 이후 상시 감시 체계가 필요한 경우 |
쇼핑몰 관리자 계정이 침해된 경우에는 고객 개인정보뿐 아니라 결제 설정, 주문정보, 외부 연동 도구까지 확인해야 합니다. 관련 초기 점검은 쇼핑몰 관리자 계정 해킹 대응 순서에서 별도로 확인할 수 있습니다.
72시간 안에 업체가 실제로 해줘야 하는 일
2026년 7월 기준 개인정보가 유출됐음을 알게 된 개인정보처리자는 원칙적으로 72시간 이내에 정보주체에게 법정 사항을 알려야 합니다. 긴급한 차단·회수 조치가 필요하거나 부득이한 사유가 있는 경우의 처리 방식은 구체적인 사실관계에 따라 달라질 수 있습니다.
감독기관 신고는 모든 사고에 같은 기준으로 적용되는 것이 아닙니다. 1천 명 이상의 개인정보, 민감정보 또는 고유식별정보, 개인정보처리시스템 등에 대한 외부의 불법 접근으로 인한 유출 등은 72시간 이내 신고 대상이 될 수 있습니다.
구체적인 유출 항목이나 인원을 아직 확인하지 못했더라도, 현시점까지 확인된 사실을 먼저 신고하고 추가 확인 내용을 보완하는 절차가 가능할 수 있습니다. “조사가 끝날 때까지 아무것도 하지 않는다”는 접근은 시간 위험을 키웁니다.
72시간은 업체를 고르는 시간이 아닙니다
72시간 기준은 사고 발생일보다 조직이 유출 사실을 알게 된 시점과 연결될 수 있습니다. 업체 선정이 늦어졌다는 이유만으로 시계가 멈추지는 않으므로, 계약 협상과 별개로 인지 시각과 확인된 사실을 기록하세요.
계약 전에도 받아야 할 긴급 지침
- 공격자 접속을 차단하되 증거를 훼손하지 않는 격리 방법
- 로그 자동 삭제와 덮어쓰기를 중단하는 방법
- 변경하면 안 되는 장비와 계정 목록
- 클라우드 감사 로그와 전자우편 로그를 보존하는 방법
- 직원에게 전달할 내부 보안 공지의 범위
- 통지·신고 판단에 필요한 최소 자료 목록
유출 사실과 단순 침입 흔적을 구분해야 합니다
로그인 실패나 악성 파일 발견만으로 실제 개인정보 유출을 곧바로 확정할 수는 없습니다. 반대로 외부 전송 로그가 없다는 이유만으로 유출 가능성을 배제하기도 어렵습니다.
업체는 확인된 접근 기록, 외부 전송 정황, 공격자가 열람할 수 있었던 정보, 로그가 없어 판단할 수 없는 영역을 나눠 설명해야 합니다. 단정적인 한 문장보다 근거와 불확실성을 함께 제시하는 보고서가 더 쓸모 있습니다.
실제 적용 사례: 낮은 견적이 두 번의 조사가 된 이유
직원 20명 규모의 온라인 판매회사가 새벽에 관리자 계정의 이상 접속을 발견했습니다. 첫 업체는 웹 서버 한 대만 원격으로 확인하고 악성 파일을 삭제하는 조건으로 빠른 견적을 제시했습니다. 회사는 서비스를 살리는 일이 먼저라고 판단해 그날 바로 계약했습니다.
며칠 뒤 고객 문의가 이어졌지만 첫 보고서에는 전자우편 계정, 주문 데이터베이스, 클라우드 저장소와 관리자 PC 분석이 포함돼 있지 않았습니다. 어떤 개인정보가 몇 명에게 영향을 받았는지 계산할 근거도 부족했습니다.
결국 회사는 다른 업체와 다시 계약해 서버와 계정을 처음부터 수집했습니다. 이미 일부 로그의 보존 기간이 지나 분석 범위는 더 좁아졌고, 첫 번째 비용은 복구비였을 뿐 사고 규명비가 아니었다는 사실을 뒤늦게 알게 됐습니다.
이 사례의 교훈은 비싼 업체를 고르라는 것이 아닙니다. 지금 필요한 것이 서비스 복구인지, 유출 범위 산정인지, 법적 증거 확보인지 먼저 적어야 같은 목적의 견적을 비교할 수 있다는 뜻입니다.
대응업체 선택 기준 여덟 가지
회사 규모보다 사고의 특성에 맞는 역량을 확인해야 합니다. 유명한 업체인지보다 누가 언제 투입되고, 어떤 시스템을 분석하며, 무엇을 문서로 남기는지가 더 직접적인 판단 기준입니다.
착수 속도와 담당 인력을 함께 확인하세요
“24시간 대응 가능”이라는 문구만으로는 부족합니다. 접수 후 첫 회의, 원격 접속, 현장 도착, 책임 분석가 배정까지 각각 얼마나 걸리는지 물어보세요.
영업 담당자의 답변이 아니라 실제 프로젝트 책임자와 분석 인력의 경력, 투입 비율, 교대 방식도 확인해야 합니다. 계약 후 대부분의 업무가 하도급으로 넘어가는지 역시 중요한 질문입니다.
유사 사고 경험은 업종보다 공격 방식으로 보세요
같은 쇼핑몰 사고라도 웹셸 침입, 전자우편 탈취, 내부자 반출, 외부 개발업체 계정 악용은 분석 방법이 다릅니다. 회사 이름을 공개할 수 없는 경우라도 유사 사건의 조사 범위와 산출물 예시를 익명으로 설명해 달라고 요청할 수 있습니다.
증거 관리 절차를 구체적인 단어로 확인하세요
- 원본 장비를 변경하지 않고 수집하는 절차가 있는가
- 수집 파일의 동일성을 확인할 해시값을 기록하는가
- 누가 언제 증거를 인수·인계했는지 남기는가
- 분석용 복제본과 원본을 분리하는가
- 접근 권한과 반출 기록을 관리하는가
- 조사 종료 후 반환·보관·삭제 절차가 정해져 있는가
조금 더 깊이 알고 싶다면
해시값은 수집한 파일이나 저장매체의 내용을 일정한 계산 방식으로 요약한 식별값입니다. 수집 당시와 분석 이후의 해시값이 같다면 그 사이에 내용이 바뀌지 않았는지 확인하는 근거로 활용할 수 있습니다.
다만 해시값 하나만 있다고 모든 증거 문제가 해결되는 것은 아닙니다. 누가 어떤 권한으로 수집했는지, 원본이 어디에 보관됐는지, 분석 과정에서 어떤 도구와 절차를 사용했는지까지 기록돼야 조사 결과의 신뢰도가 높아집니다.
보고서가 의사결정에 사용할 수 있는 형태인지 보세요
좋은 보고서는 기술 용어만 늘어놓지 않습니다. 경영진은 현재 위험과 필요한 결정을, 전산팀은 제거할 계정과 취약점을, 개인정보 보호책임자는 영향을 받은 정보와 인원을 찾을 수 있어야 합니다.
- 계약 후 실제 분석을 시작하는 데 걸리는 시간을 확인합니다.
- 유사 공격 방식의 수행 경험을 확인합니다.
- 서버·네트워크·클라우드·전자우편을 함께 볼 수 있는지 확인합니다.
- 원본 보존, 해시값, 작업 기록과 인수인계 절차를 확인합니다.
- 유출 항목·인원·기간을 산정하는 방법을 확인합니다.
- 경영진용·기술팀용·기관 제출용 보고서 범위를 확인합니다.
- 변호사·보험사·홍보 담당자와 협업할 수 있는지 확인합니다.
- 추가 비용이 발생하는 조건을 계약서에 명시합니다.

세 업체 견적을 같은 조건으로 비교하는 표
업체마다 서로 다른 설명자료를 보내면 견적이 달라지는 것이 당연합니다. 먼저 한 장짜리 사고 개요를 만들고 같은 자료를 같은 시각에 보내야 비교가 공정해집니다.
견적 요청 전에 준비할 자료
- 최초 발견 일시와 발견 경위
- 사고가 시작됐을 것으로 추정되는 기간
- 영향이 의심되는 서버, PC, 계정과 클라우드 서비스
- 처리하는 개인정보의 종류와 대략적인 인원
- 현재까지 시행한 격리, 비밀번호 변경, 복구 조치
- 로그 보존 기간과 현재 확보된 로그 종류
- 서비스 중단 여부와 업무 정상화 목표 시각
- 통지·신고, 보험 청구, 수사 또는 소송 가능성
총액보다 항목별 책임을 비교하세요
| 비교 항목 | 업체에 요청할 답변 | 경고 신호 |
|---|---|---|
| 착수 시간 | 계약 후 원격·현장 분석 시작 시각 | “최대한 빨리”처럼 시각이 없는 답변 |
| 조사 범위 | 서버·PC·계정·클라우드별 수량 | “전체 시스템”처럼 대상이 불명확한 표현 |
| 긴급 차단 | 직접 실행, 공동 실행, 권고만 제공 중 어느 방식인지 | 분석만 하고 진행 중인 공격은 다루지 않음 |
| 증거 보존 | 복제, 해시, 인수인계, 보관 기간 | 원본 장비에 바로 분석 도구를 설치함 |
| 유출 범위 | 항목·인원·기간 산정 방법과 한계 | 근거 없이 유출이 없다고 단정함 |
| 보고서 | 중간·최종·기관용 보고서와 납기 | 구두 설명만 제공하거나 견본이 없음 |
| 추가 비용 | 장비당, 인력일당, 출장·야간·재분석 단가 | 추가 과금 조건을 계약 후 정한다고 함 |
| 복구 검증 | 백도어 제거와 재침입 여부 확인 범위 | 악성 파일 삭제 후 즉시 종료함 |
| 법률·보험 협업 | 변호사와 보험사에 제공할 자료 범위 | 기술업체가 법적 신고 의무를 단독으로 확정함 |
| 비밀유지 | 자료 접근자, 하도급, 해외 전송 여부 | 하도급 업체와 데이터 보관 장소를 밝히지 않음 |
비용을 아끼는 가장 현실적인 방법
조사 대상을 무리하게 줄이는 대신, 1단계 긴급 진단과 2단계 정식 분석을 분리해 견적받으세요. 첫 단계의 결과에 따라 조사 범위를 넓히되, 확대 조건과 단가를 처음 계약서에 미리 적는 방식이 예산 통제에 유리합니다.
계약 전 업체에 물어볼 열두 가지
- 오늘 계약하면 실제 분석은 언제 시작됩니까?
- 우리 사고에서 반드시 조사해야 할 시스템은 무엇입니까?
- 현재 견적에서 제외된 시스템과 업무는 무엇입니까?
- 추가 장비가 발견되면 어떤 단가가 적용됩니까?
- 원본 장비와 로그를 어떤 방식으로 보존합니까?
- 공격 차단과 복구를 직접 실행합니까?
- 유출 정보와 인원은 어떤 근거로 계산합니까?
- 확인할 수 없는 영역은 보고서에 어떻게 표시합니까?
- 중간 보고와 최종 보고는 언제 받을 수 있습니까?
- 기관 제출용 자료와 고객 통지 자료가 포함됩니까?
- 하도급 인력이 투입되며 자료가 외부로 이동합니까?
- 계약 종료 후 증거와 회사 자료는 언제, 어떻게 삭제합니까?
값싼 계약이 비싼 재작업으로 바뀌는 실수
총액만 보고 업무 범위를 비교하지 않는 실수
한 업체는 원격 로그 분석만, 다른 업체는 현장 수집과 복구까지 포함했는데 총액만 나란히 놓으면 비교 자체가 성립하지 않습니다. 견적서를 원격 진단, 증거 수집, 분석, 차단·복구, 보고서, 신고 지원으로 다시 나눠 적으세요.
시스템을 초기화한 뒤 포렌식을 요청하는 실수
초기화는 빠른 복구에 도움이 될 수 있지만 원인과 범위를 밝힐 단서를 없앨 수 있습니다. 원본을 보존하거나 필요한 수집을 마친 뒤 복구할 장비와 즉시 재구축할 장비를 분리해야 합니다.
유출 인원을 성급하게 줄이는 실수
로그가 불완전한 상황에서 “확인된 인원만 유출됐다”고 단정하면 나중에 추가 사실이 발견됐을 때 신고와 통지를 다시 검토해야 할 수 있습니다. 확인된 대상, 잠재적 영향 범위, 현재 확인할 수 없는 범위를 분리해 기록하세요.
보안업체에 법률 판단까지 맡기는 실수
기술업체의 임무는 사실을 정확하게 밝히는 것입니다. 통지 의무, 문안, 개인정보 보호법 적용, 손해배상 위험은 변호사와 개인정보 보호 담당자가 기술적 사실을 바탕으로 검토하는 구조가 안전합니다.
| 흔한 선택 | 나중에 생길 수 있는 문제 | 더 안전한 대안 |
|---|---|---|
| 가장 낮은 총액으로 즉시 계약 | 분석 범위 누락과 반복 계약 | 동일한 업무 범위표로 세 업체 비교 |
| 서버를 먼저 초기화 | 접속 기록과 악성 흔적 소실 | 격리 후 필요한 증거를 보존하고 복구 |
| 유출 인원을 임의로 축소 | 통지·신고 재검토와 정정 가능성 | 확정·추정·미확인 범위를 분리 |
| 원인 분석만 계약 | 백도어와 취약점이 남아 재침입 | 차단·복구·검증 범위를 별도로 명시 |
| 보고서를 나중에 요청 | 추가 비용과 납기 지연 | 보고서 종류와 제출일을 계약서에 포함 |
자체 대응을 멈추고 전문가를 불러야 할 신호
직원 한 명의 비밀번호 변경처럼 내부에서 처리할 수 있는 일도 있습니다. 그러나 아래 신호가 보인다면 “조금 더 지켜보자”는 판단이 피해와 조사 비용을 함께 키울 수 있습니다.
관리자와 백업까지 침해된 정황
- 도메인 관리자, 클라우드 최고관리자 또는 전자우편 전역관리자 계정이 사용됐습니다.
- 백업 서버나 백업 계정에 접근한 흔적이 있습니다.
- 다중인증 설정, 복구 전자우편, 보안키가 변경됐습니다.
- 감사 로그 또는 보안 프로그램이 비활성화됐습니다.
- 여러 서버에서 같은 악성 계정이나 프로그램이 발견됐습니다.
민감도가 높은 개인정보가 포함된 경우
주민등록번호, 여권번호, 운전면허번호와 같은 고유식별정보나 건강정보, 생체정보 등 민감정보가 관련됐다면 소수 인원이라도 신고와 피해 예방 조치를 신중하게 검토해야 합니다.
수사·언론·고객 문의가 이미 시작된 경우
경찰, 감독기관, 고객, 거래처 또는 언론에서 사실 확인을 요청했다면 기술 분석과 대외 답변이 서로 어긋나지 않게 관리해야 합니다. 확인되지 않은 사실을 추측해 답하거나 담당자마다 다른 숫자를 제공하지 않도록 단일 대응 창구를 정하세요.
즉시 전문 대응을 검토할 신호
공격자가 현재도 접속 중이거나 랜섬웨어가 확산되는 경우, 로그가 삭제된 경우, 내부자 유출이 의심되는 경우, 다수 고객의 민감정보가 관련된 경우, 감독기관·수사기관 문의가 시작된 경우에는 자체 조치만으로 결론을 내리지 마세요.
금융회사, 의료기관, 공공기관과 같이 별도의 감독 체계나 보고 절차가 적용되는 조직은 일반 개인정보 유출 신고만 확인해서는 부족할 수 있습니다. 담당 감독기관과 업권별 규정, 내부 사고 대응 규정을 함께 검토해야 합니다.
한국인터넷진흥원이 공개한 사고 대응 자료는 내부 절차와 준비 항목을 정리하는 데 참고할 수 있습니다. 다만 공개 매뉴얼은 개별 회사의 법적 판단이나 포렌식 조사 결과를 대신하지 않습니다.
자주 묻는 질문
개인정보 유출 대응업체는 사고 당일 바로 계약해야 하나요?
공격이 진행 중이거나 로그가 곧 삭제될 상황이라면 긴급 지원을 빠르게 시작할 필요가 있습니다. 다만 급하다는 이유로 전체 계약을 한 번에 확정할 필요는 없습니다. 우선 긴급 격리와 로그 보존, 초기 범위 확인을 위한 단기 계약을 체결하고 결과에 따라 정식 분석 범위를 확장하는 방식을 검토할 수 있습니다.
서버 한 대만 조사하면 비용이 많이 줄어드나요?
물리적인 장비 수가 줄면 수집 공수는 줄어들 수 있습니다. 그러나 공격자가 전자우편, 관리자 PC, 클라우드 계정과 데이터베이스를 거쳤다면 서버 한 대만 조사해서는 사고 범위를 설명하기 어렵습니다. 비용을 줄이기 전에 공격 경로상 반드시 확인해야 할 시스템을 먼저 정해야 합니다.
유출이 확정되지 않아도 포렌식 업체를 불러야 하나요?
모든 의심 정황에 정식 포렌식이 필요한 것은 아닙니다. 단일 계정의 로그인 실패처럼 내부 로그로 충분히 설명할 수 있다면 자체 점검으로 시작할 수 있습니다. 반면 관리자 권한 사용, 외부 전송, 로그 삭제, 민감정보 접근 정황이 있거나 내부 인력으로 사실관계를 구분하기 어렵다면 초기 진단을 받는 편이 안전합니다.
1천 명 미만의 개인정보가 유출돼도 통지해야 하나요?
1천 명 기준은 감독기관 신고 요건 중 하나와 관련되며, 정보주체 통지 의무를 단순히 면제하는 기준으로 이해해서는 안 됩니다. 유출된 정보의 종류와 경로, 인지 시점, 피해 가능성을 종합해 통지와 신고를 각각 검토해야 합니다.
클라우드 로그가 부족하면 유출 인원을 어떻게 계산하나요?
확인 가능한 접속 기록, 내려받기 기록, 데이터베이스 질의, 저장소 권한, 공격자가 접근할 수 있었던 테이블과 파일 범위를 조합해 산정합니다. 정확한 인원을 확정할 수 없다면 확인된 최소 범위와 잠재적 최대 범위, 판단할 수 없는 영역을 분리해 보고하는 방법을 검토해야 합니다.
보안업체와 법무법인을 동시에 선임해야 하나요?
소규모 사고까지 항상 동시에 선임할 필요는 없습니다. 다만 민감정보가 포함됐거나 고객 통지, 감독기관 조사, 보험 청구, 형사고소와 손해배상 가능성이 있다면 기술 조사와 법률 검토를 초기에 연결하는 편이 효율적일 수 있습니다.
사이버보험으로 대응업체 비용을 보상받을 수 있나요?
보장 여부는 보험약관, 자기부담금, 보장 사고, 사고 통지 기한과 업체 선정 절차에 따라 달라집니다. 보험사 승인 없이 임의로 업체를 선임하면 비용의 일부가 인정되지 않을 수 있으므로, 긴급 조치를 진행하면서도 보험사 사고 접수와 지정업체 조건을 확인해야 합니다.
업체의 최종 보고서를 법원이나 수사기관에 제출할 수 있나요?
제출 자체는 가능할 수 있지만 보고서가 곧바로 법적 증거로 인정된다고 단정할 수는 없습니다. 수집 권한, 원본 보존, 해시값, 인수인계, 분석 도구와 절차, 작성자의 전문성 등을 종합적으로 검토해야 하므로 소송이나 형사 절차가 예상된다면 조사 시작 전에 변호사와 상의하세요.
사고 대응과 재발 방지 컨설팅을 같은 업체에 맡겨도 되나요?
사고의 맥락을 이미 알고 있다는 장점은 있습니다. 다만 조사 결과의 객관성과 장기 솔루션 판매가 섞이지 않도록 사고 대응 계약과 개선·관제 계약을 분리해 비교하는 편이 좋습니다. 개선안에는 우선순위, 예상 비용, 대체 방법과 내부에서 직접 수행할 수 있는 항목이 함께 제시돼야 합니다.
지금 15분 안에 작성할 1페이지 견적요청서
지금 필요한 것은 업체 목록을 오래 들여다보는 일이 아니라, 모든 후보에게 동일하게 보낼 사고 개요 한 장입니다. 아래 항목을 빈 문서에 옮겨 적고 모르는 내용에는 추측 대신 “확인 중”이라고 표시하세요.
- 인지 시각: 누가 언제 어떤 이상을 발견했는지 적습니다.
- 현재 상태: 공격 진행, 서비스 중단, 격리 여부를 적습니다.
- 의심 대상: 서버, PC, 관리자 계정, 클라우드와 전자우편을 나열합니다.
- 개인정보: 처리 항목과 대략적인 정보주체 수를 적습니다.
- 수행 조치: 비밀번호 변경, 네트워크 차단, 복구 작업을 시간순으로 적습니다.
- 필요 업무: 긴급 차단, 포렌식, 유출 범위 산정, 보고서, 신고 지원을 구분합니다.
- 요청 답변: 착수 가능 시각, 투입 인력, 포함 범위, 제외 항목, 추가 단가를 요청합니다.
- 주의 문구: 원본 장비 초기화와 로그 삭제는 책임자 승인 전까지 중단한다고 적습니다.
완성한 문서를 최소 세 업체에 같은 조건으로 보내세요. 가장 낮은 숫자에 동그라미를 치기보다, 가장 빠르게 착수하면서도 조사 대상과 제외 항목을 구체적으로 설명한 업체부터 남기면 됩니다.
사고 대응 계약은 불안을 잠재우는 영수증이 아니라, 확인되지 않은 영역을 하나씩 줄여 가는 작업 지도입니다. 첫 질문은 “얼마입니까?”보다 “이 금액으로 어디까지 확인할 수 있습니까?”가 되어야 합니다.
최종 검토: 2026-07