랜섬웨어를 비롯한 사이버 공격은 해마다 수법이 더욱 정교해지면서 기업 활동에 심각한 영향을 미치고 있습니다.
완전히 차단하는 것이 현실적으로 어려워진 가운데, “공격을 받는 것을 전제로, 어떻게 비즈니스를 멈추지 않고 복구할 것인가”라는 새로운 관점이 확산되고 있습니다.
그 중심에 있는 개념이 바로 “사이버 레질리언스(Cyber Resilience)”입니다.
이번 기사에서는 사이버 레질리언스의 기본 개념, 일본 기업을 둘러싼 환경, 그리고 전략의 새로운 방향성에 대해 다뤄보도록 하겠습니다.
사이버 레질리언스란 무엇인가
“사이버 레질리언스(Cyber Resilience)”란 사이버 공격을 받는 것을 전제로, 공격을 예방하고 탐지하며 대응하고 복구하는 능력을 종합적으로 강화하는 개념을 의미합니다.
기존 보안 대책이 “공격을 막는 것”에 초점을 맞췄다면, 사이버 레질리언스는 “공격을 받아도 비즈니스를 지속하고 신속하게 복구하는 것”을 더 중요하게 봅니다.
완전한 침입 방지가 어려운 현대 환경에서, 비즈니스 연속성을 보장하기 위한 접근 방식으로 자리 잡고 있습니다.
구체적으로는 미국 NIST가 제시하는 사이버보안 프레임워크의 “식별(Identify)·보호(Protect)·탐지(Detect)·대응(Respond)·복구(Recover)”라는 5가지 기능을 조직 전체에서 통합적으로 구축하는 방식입니다.
왜 지금 사이버 레질리언스인가
1) 랜섬웨어 피해 급증
경찰청 발표에 따르면 2025년 상반기 랜섬웨어 신고 건수는 116건으로, 반기 기준 역대 최고 수준을 기록했습니다.
피해 조직의 60% 이상이 중소기업이며, VPN 장비나 원격 데스크톱을 통한 침입이 증가하고 있습니다.
또한 IPA(정보처리추진기구)의 “정보보안 10대 위협 2025”에서도 랜섬웨어는 10년 연속 조직 부문 1위 위협으로 꼽히며, 업종과 규모를 불문하고 확산되고 있음을 보여줍니다.
2) 피해 규모의 대형화와 사회적 영향
최근 일본 내에서도 대규모 피해 사례가 이어지고 있습니다.
2024년 6월 KADOKAWA 그룹에 대한 랜섬웨어 공격에서는 동영상 서비스가 장기간 중단되며 브랜드와 실적에 큰 영향을 미쳤습니다.
또한 2025년에는 ASKUL에서도 랜섬웨어 피해가 발생해 물류 출하 능력이 일시적으로 10~20% 수준까지 감소했고, 복구에 약 1개월이 소요되었습니다.
무인양품과 아사히 그룹에서도 시스템 장애가 잇따르며 사회 인프라 전반으로 영향이 확산되고 있습니다.
3) 보안 인식과 실제 대응의 격차
Zscaler가 2025년 2월 발표한 조사에 따르면, 일본 IT 리더의 91%는 자사의 사이버 레질리언스 대응이 효과적이라고 “확신”하고 있지만,
AI를 악용한 새로운 위협에 대응하는 최신 레질리언스 전략을 실제로 도입한 조직은 37%에 불과했습니다.
즉, 인식과 현실 사이에 큰 격차가 존재하는 것으로 나타났습니다.
보안 전략의 새로운 방향
1) 공격을 전제로 한 “복구 능력”의 강화
경제산업성과 IPA가 발표한 사이버보안 경영 가이드라인 최신판에서도 랜섬웨어 피해 확대를 배경으로 “복구 능력” 강화가 핵심 과제로 제시되고 있습니다.
침입을 전제로 탐지·대응·복구까지 설계하는 레질리언스 중심 접근이 제도적으로도 명확히 자리 잡고 있습니다.
2) 깨끗한 환경에서의 복구와 에어갭 백업
클라우드 사업자를 중심으로 “업무를 멈추지 않는 구조” 구축이 진행되고 있습니다.
대표적인 방식은 다음과 같습니다.
- 논리적으로 분리된 백업(에어갭 백업): 본 운영 환경과 완전히 분리된 영역에서 백업 보호
- 깨끗한 환경에서의 복구: 감염 위험을 피하기 위해 별도 환경에서 복구 수행
- 자동 격리를 통한 확산 방지: 위협 탐지 시 해당 시스템을 자동으로 네트워크에서 분리
이러한 구조는 랜섬웨어 공격 발생 시에도 백업을 기반으로 빠르게 서비스를 재개할 수 있도록 합니다.
3) 공급망 전체 관점의 대응
또 다른 중요한 흐름은 공급망 전체에서 레질리언스를 강화하는 것입니다.
외주 개발사나 벤더를 통한 침입이 증가하면서, 단일 기업의 대응만으로는 한계가 있다는 인식이 확산되고 있습니다.
경제산업성은 2026년 3월 “사이버 인프라 사업자에게 요구되는 역할 관련 가이드라인”을 제정하여 소프트웨어 개발·공급·운영 사업자의 책임을 정리했습니다. 또한 2025년 7월 사이버보안 기본법 개정으로 정보시스템 공급자에게도 이용자의 안전 확보를 위한 지원 의무가 부여되었습니다.
4) 국제 규제 정비의 진전
EU에서는 디지털 제품 전반에 보안 대응을 의무화하는 “유럽 사이버 레질리언스 법(CRA)”이 2024년 발효되었으며, 2027년 전면 시행될 예정입니다. EU 시장과 거래하는 일본 기업도 대상이 되기 때문에 글로벌 기업은 조기 대응이 요구됩니다.
마무리
사이버 공격은 이제 “발생할까”가 아니라 “언제 발생할까”의 문제로 바뀌었습니다.
완벽한 방어를 목표로 하는 접근에서 한 단계 더 나아가, 공격을 받아도 멈추지 않고, 멈추더라도 빠르게 복구할 수 있는 체계를 구축하는 것이 기업 경쟁력과 직결됩니다.
백업 전략 재정비, 탐지·대응 자동화, 공급망 리스크 관리 등 사이버 레질리언스를 구성하는 요소는 다양합니다.
방어부터 복구까지를 하나의 체계로 설계하는 관점이 앞으로 보안 전략의 표준이 될 것입니다.
보안은 더 이상 IT 부서만의 문제가 아니라 비즈니스 연속성을 지탱하는 경영 과제입니다.
“공격 이후의 세계”까지 고려한 대비가 앞으로의 비즈니스 인재에게 중요한 핵심 역량이 될 것입니다.