2026년 4월 4일 토요일

연구실에서 시장으로 — 차미선 대표가 걷는 재생의료의 길

"좋은 기술이 왜 산업으로 이어지지 못하는가." 이 물음 하나가 한 연구자를 창업가로 바꾸었다. 메디팹 차미선 대표의 이야기는 단순한 성공 스토리가 아니다. 그것은 과학과 시장 사이의 거리를 스스로 좁혀온 퍼스트무버의 사유다.

1. 연구자의 눈으로 시장을 본다는 것

부산대와 서울대에서 연구자로 살아온 차미선 대표에게 창업은 어쩌면 낯선 선택이었다. 하지만 그는 실험실 안에서 해답을 찾는 대신, 기술이 세상과 만나는 접점을 직접 만들겠다고 결심했다. 그 출발점은 단순한 사업 아이디어가 아니었다. "왜 이렇게 좋은 기술이 산업으로 이어지지 못하는가"라는 깊은 문제의식이었다.

그가 주목한 것은 키토산과 탈세포기질(dECM)이라는 두 가지 소재였다. 수용성 키토산 플랫폼 키토젠(Chitogen™), 탈세포기질 기반 리젠트릭스(Regentrix™), 두 기술을 결합한 키토제닉스(Chitogenix™)—이 세 가지 핵심 기술 위에 그는 단일 제품이 아니라 '재생 플랫폼'이라는 개념 자체를 설계했다.

"실행이 전략을 이긴다. 시장이 곧 실험실이다." — 차미선, 메디팹 대표

이 원칙은 추상적 구호가 아니었다. 스킨케어 브랜드 레스노베(Lesnove)로 시장에 먼저 진입하고, 두피 재생 의료기기 인증을 획득하며 탈모 시장으로 확장하고, 이제 서울대병원과 함께 골관절염 치료제 국가 과제를 진행하는 — 이 모든 과정이 하나의 일관된 플랫폼 전략의 실행이었다.

성장 4단계

  • 1단계: 부산대·서울대 연구 기반, 기술의 산업화 문제의식으로 메디팹 설립
  • 2단계: 키토젠·리젠트릭스·키토제닉스 플랫폼 완성, LTG 기술로 시술 편의성 확대
  • 3단계: 스킨케어→탈모→관절재생까지 플랫폼 확장, 2024년 매출 100억 달성
  • 4단계: 누적 290억 투자 유치(시리즈B 238억 포함), 2027~2028 코스닥 상장 목표

핵심 수치

  • 누적 투자 유치 290억 (시리즈B 238억 포함)
  • 2026년 매출 목표 300억 (2024년 100억 대비 3배 성장)
  • 코스닥 상장 목표 2027~2028년 (임상·인허가 기반 검증 우선)

2. 차미선 대표 리더십의 세 가지 얼굴

차미선 대표의 리더십은 '연구자 출신 CEO'라는 단순한 수식어로 요약되지 않는다. 오히려 그의 특별함은 연구자의 엄밀함과 창업가의 실행력이 공존한다는 점에 있다.

① 기술-제품-매출-재투자 구조를 직접 설계한다

외부 전략가에게 맡기지 않는다. 핵심 기술에서 시장 진입 전략, 매출 구조, 재투자 사이클까지 — 연구자 출신답게 전체 시스템을 스스로 이해하고 설계한다. 이것이 메디팹이 단일 제품 기업이 아닌 '재생 플랫폼 기업'으로 성장할 수 있었던 이유다.

② 조직의 체질을 바꾸는 리더

연구개발 중심에서 시장 중심 조직으로의 체질 개선 — 이것은 선언으로 되는 일이 아니다. 차 대표는 "시장이 곧 실험실"이라는 원칙을 내부 문화로 정착시키며, 속도보다 검증을 우선하는 균형 감각을 유지한다. 상장도 빠른 출구보다 임상·인허가 기반 신뢰 확보를 먼저 선택한 것이 그 증거다.

③ 노화의 패러다임 자체를 재정의한다

경쟁사가 '외형 개선'을 말할 때, 차 대표는 '인체의 재생 능력 활성화'를 말한다. 미용에서 재생으로, 재생에서 치료제로 — 이 방향성 자체가 이미 시장을 창출하는 리더십이다. "100년 가는 글로벌 재생의료·항노화 기업"이라는 비전은 허황된 구호가 아니라 플랫폼 전략의 논리적 귀결이다.

3. 다른 경영자들에게 주는 세 가지 메시지

차미선 대표의 여정에서 우리가 배울 수 있는 것은 단순히 '재생의료'라는 업종에 한정되지 않는다. 업종을 초월해 적용 가능한 경영 사유가 그 안에 있다.

A. 문제의식이 곧 비즈니스 모델이다

"좋은 기술이 산업으로 이어지지 못한다"는 순수한 문제의식이 창업의 씨앗이 되었다. 많은 경영자가 시장 기회를 찾으려 하지만, 차 대표는 시장의 구조적 결함을 먼저 보았다. 불편함과 모순이 보이는 곳에 진짜 기회가 있다.

B. 플랫폼을 팔아라, 제품을 팔지 마라

메디팹의 경쟁력은 특정 제품이 아니라 키토젠·리젠트릭스라는 재생 플랫폼에서 나온다. 스킨케어, 탈모, 관절 재생 — 세 개의 다른 시장이 하나의 플랫폼으로 연결된다. 제품을 팔면 시장이 하나지만, 플랫폼을 구축하면 시장이 확장된다.

C. 속도보다 검증, 검증 위에 속도

상장을 서두르지 않고 임상과 인허가로 신뢰 기반을 먼저 쌓는 판단 — 이것이 단기 지표에 쫓기는 경영과 100년 기업을 지향하는 경영의 차이다. 그러나 검증이 완료된 영역에서는 빠르게 확장한다. 균형 감각이 리더십의 핵심이다.

마치며

차미선 대표는 재생의료라는 새로운 언어를 시장에 가르치고 있다. 연구실에서 출발한 문제의식이 290억의 투자로, 세 개의 시장 진입으로, 그리고 글로벌 항노화 기업이라는 비전으로 구체화되는 과정 — 그것은 단순한 창업 성공담이 아니라, 지식과 실행 사이의 거리를 스스로 좁혀온 한 사람의 깊은 사유다.

퍼스트무버는 가장 빠른 사람이 아니라, 아직 존재하지 않는 시장을 먼저 상상하는 사람이다.


시간: 댓글 없음:
라벨:

2026년 4월 3일 금요일

Fastenal Company의 안전 우수성을 향한 여정: 준수를 넘어 문화로

안전 문화는 사고가 만드는 것이 아니라, 사고가 나기 전에 스스로 바꾸는 결단이 만든다.

산업안전 분야에서 가장 흔히 반복되는 실수는 '사고가 나야 바뀐다'는 사후 대응 논리에 갇히는 것이다. 미국 산업용 부품 유통 기업 Fastenal Company는 이 논리를 정면으로 거부했다. 중대 사고가 없었음에도 2013년 스스로 안전 체계를 전면 재검토하며 규제 준수(Compliance) 중심에서 직원 보호 중심의 문화 전환을 선언한 것이다. 이 자발적 혁신의 여정은 2021년 미국 산업안전 전문 매체 EHS Today로부터 '미국에서 가장 안전한 기업(America's Safest Companies)' 중 하나로 공식 인정받는 결과로 이어졌다. 본 글은 Fastenal의 안전 프로그램 구조와 수상 의미를 분석하고, 한국 건설업이 참고해야 할 실무적 함의를 도출한다.

1. 프로그램의 구조: Big 4 Journey와 국제 표준의 결합

Fastenal 안전 혁신의 핵심은 위험의 우선순위화다. Safety Leadership Conference(SLC) 참여를 계기로 자체 사고 데이터를 심층 분석한 결과, 중대 부상의 대부분이 네 가지 작업 유형에서 발생한다는 사실을 규명했다. 이른바 'Big 4'로 명명된 이 항목은 락아웃/태그아웃(에너지 차단), 고소 작업, 동력 산업용 트럭 운용, 트레일러 고정이다.

2018년 시작된 'Big 4 Journey' 프로그램은 이 네 영역에 자원과 교육을 집중 투입하는 방식으로 설계되었다. 결과는 명확했다. 중대 부상 건수, 고중증 보험 청구, 규제 위반 사건이 모두 감소했다. 이후 Fastenal은 여기서 멈추지 않고 ISO 14001(환경경영시스템)과 ISO 45001(산업안전보건경영시스템)을 기반으로 내부 EHS(Environment, Health & Safety) 시스템을 체계화했다. 개별 프로그램의 성공을 국제 표준 프레임워크로 제도화함으로써 지속 가능성을 확보한 것이다.

2. 수상의 의미: EHS Today 'America's Safest Companies'

EHS Today의 '미국에서 가장 안전한 기업' 인증은 단순한 사고율 통계가 아닌, 안전 문화의 성숙도를 종합 평가하는 기준으로 알려져 있다. Fastenal이 2021년 이 인증을 받은 것은 두 가지 측면에서 주목할 만하다.

첫째, 출발점이 위기가 아니었다는 점이다. 대부분의 기업이 중대 사고나 규제 제재 이후 안전 투자를 확대하는 반면, Fastenal은 사전적·자발적 전환을 선택했다. 이는 안전을 비용이 아닌 경영 전략으로 내재화했음을 의미한다.

둘째, 수상이 종착점이 아니라는 점이다. Fastenal은 2025년 Safety Leadership Conference에서 지금까지의 여정과 향후 안전 전략을 발표할 예정이다. 외부 인정 이후에도 개선을 지속하는 이 태도 자체가 안전 문화의 본질을 보여준다.

3. 한국 건설업에 대한 함의

한국 건설업은 여전히 OECD 국가 중 산업재해 사망률 최상위권에 머물러 있다. 중대재해처벌법 시행(2022년) 이후 안전 투자가 늘었으나, 상당수 기업이 법적 리스크 회피 차원의 대응에 집중하는 경향이 있다. Fastenal의 사례는 이 지점에서 세 가지 실무적 시사점을 제공한다.

첫 번째는 위험의 선택과 집중이다. Fastenal이 수천 건의 데이터를 분석해 'Big 4'를 도출했듯, 한국 건설 현장도 기업별·현장별 사고 데이터를 정밀 분석해 핵심 위험 유형을 규명하고 자원을 집중 배분해야 한다. 추락, 끼임, 충돌 등 반복 유형에 대한 선제적 집중 관리가 실질적 효과를 낼 수 있다.

두 번째는 국제 표준의 내재화다. ISO 45001 인증 취득 자체에 그치는 것이 아니라, 해당 프레임워크를 현장 운영 시스템과 연계해 실질적 관리 도구로 작동시키는 것이 핵심이다.

세 번째는 문화 전환의 자발성이다. 규제 대응형 안전 투자는 규제가 바뀌면 흔들린다. Fastenal이 보여준 것처럼, 경영진이 사고 발생 이전에 스스로 체계를 점검하고 개선을 선언하는 자발적 리더십이 안전 문화의 지속 가능성을 결정한다.

참고 자료

본 글은 EHS Today 및 Safety Leadership Conference(SLC) 공개 자료를 바탕으로 작성되었으며, Fastenal Company의 공식 ESG·EHS 보고 내용을 참조했다.

#산업안전 #안전문화 #Fastenal #EHS #중대재해처벌법 #건설안전 #ISO45001 #BigFourJourney #SafetyLeadership #한국건설업 #IndustrialSafety #SafetyExcellence #AmericasSafestCompanies #EHSToday #안전경영


시간: 댓글 없음:
라벨: ,

건설 현장의 안전 패러다임 전환: 스마트 PPE에서 클라우드 EHS까지

중대재해처벌법 시대에 건설 안전의 경쟁력은 장비의 수준이 아니라 데이터를 생산하고 입증하는 체계의 완결성에서 결정된다.

중대재해처벌법 시대의 건설 안전: 기술이 '사후 대응'을 끝낸다

AWP Safety EHS 부사장 라이언 도빈스(Ryan Dobbins)가 미국 EHS 전문 매체 EHS Today에 기고한 분석(2025)은, 스마트 PPE부터 클라우드 기반 EHS 플랫폼까지 5가지 핵심 기술이 건설 현장의 안전 패러다임을 어떻게 바꾸고 있는지를 실무 관점에서 정리한다. 도빈스는 미국 33개 주와 캐나다 4개 주에서 연간 100만 개 이상의 작업 구역을 관리하는 AWP Safety의 안전 총괄로서, 이 글에 현장 기반의 높은 신뢰도를 부여한다. 한국 건설 산업은 지금 중대재해처벌법이라는 강력한 규제 압박 아래에 있다. 이 5가지 기술은 단순한 장비 도입의 문제가 아니라, 법적 의무 이행과 실질적 사고 예방을 동시에 달성하는 전략적 수단으로 읽혀야 한다.

  1. 중대재해처벌법이 요구하는 것: '경영자 책임'의 입증 구조

2022년 시행된 중대재해처벌법은 건설 현장에서 사망 사고가 발생할 경우, 경영책임자에게 1년 이상의 징역형을 부과할 수 있도록 규정한다. 핵심은 처벌 자체보다 '안전 의무 이행의 사전 입증'에 있다. 법원과 고용노동부는 기업이 위험을 인지하고 있었는가, 그리고 그에 대응한 체계적 조치를 취했는가를 판단 기준으로 삼는다. 이 지점에서 기술의 역할이 결정적으로 달라진다. 직관과 경험에 의존한 구두 안전 관리는 법적 증거 능력이 없다. 반면 데이터로 기록되고 클라우드에 저장된 안전 관리 이력은, 기업이 의무를 성실히 이행했음을 입증하는 실질적 근거가 된다.

  1. 5가지 기술의 전략적 재해석: 규제 대응 도구로서의 가치

도빈스가 제시한 5가지 기술 각각은 중대재해처벌법 대응 맥락에서 구체적인 기능을 수행한다.

스마트 PPE(헬멧, 조끼, 웨어러블 센서)는 GPS·근접 센서·생체신호 모니터링을 통합해 제한구역 무단 접근, 장비 충돌 위험, 낙상·열사병 징후를 실시간으로 감지한다. 한국 건설 현장의 현실을 고려하면 이 기술의 의미는 더욱 선명해진다. 60대 이상 고령 작업자 비중이 빠르게 증가하는 상황에서, 웨어러블 기반 열사병·낙상 조기 경보는 인명 보호와 경영자 의무 이행이라는 두 가지 목표를 동시에 충족한다. 고용노동부가 스마트 안전장비 도입에 보조금을 지원하는 정책 방향과도 자연스럽게 연계된다.

코칭 가능한 카메라(대시캠·장비 카메라)는 급제동, 과속, 산만 운전 등 위험 행동을 자동 감지하고 영상 기반 피드백을 생성한다. 한국 건설의 구조적 문제인 다단계 하도급 환경에서 이 기술의 가치는 특히 크다. 하도급별 안전 수준 편차를 "누가 교육했는가"가 아닌 "무엇이 실제로 발생했는가"라는 객관적 데이터로 관리할 수 있기 때문이다. 사고 발생 시 원청사의 관리·감독 의무 이행 여부를 입증하는 증거 자료로도 기능한다.

연결된 콘·바리케이드(Connected Cones)는 충돌·이동·속도 초과 등 현장 통제 장비의 상태를 실시간으로 모니터링한다. 도심지 도로점용 공사나 지하철 인근 공사처럼 차량·보행자·장비가 동시에 얽히는 고밀도 환경에서 특히 적합하다. 위험 발생 즉시 알림을 전송해 현장 관리자가 실시간으로 대응할 수 있는 체계를 만든다.

클라우드 기반 EHS 플랫폼은 점검, 근접 사고, 교육, 시정조치 데이터를 실시간으로 통합·공유한다. 중대재해처벌법 대응에서 이 플랫폼이 갖는 의미는 결정적이다. 전국 혹은 해외에 분산된 복수 현장을 동시에 운영하는 한국 대형 건설사에게, 클라우드 기반 데이터 통합은 본사 경영책임자가 각 현장의 안전 상태를 실시간으로 파악하고 지시할 수 있는 거버넌스 구조를 실현한다. 종이 보고서의 지연과 은폐 가능성을 제거하고, 안전 관리 체계의 작동 여부를 언제든지 입증 가능한 형태로 유지한다.

현장 마이크로러닝(3~5분 모바일 교육 모듈)은 공기 단축 압박이 심한 한국 건설 현장에서 현실적인 교육 대안이다. 장시간 집합 교육이 어려운 환경에서도 작업 전 안전회의(TBM)와 자연스럽게 결합할 수 있으며, 날씨 변화나 신규 하도급 투입처럼 당일 발생하는 위험에 즉각 대응하는 교육을 제공한다. 한국 건설 현장에서 비중이 높아지고 있는 외국인 근로자를 위한 다국어 콘텐츠 제공도 가능하다.

  1. 데이터가 없으면 면책도 없다: 기술 도입의 본질적 의미

중대재해처벌법 시행 이후 한국 건설 기업들이 공통적으로 직면하는 딜레마가 있다. 안전 관리를 강화하고 싶지만, 어디서부터 시작해야 하는지, 무엇을 갖춰야 법적으로 충분한지 기준이 불명확하다는 것이다. 이 5가지 기술은 그 불명확성을 해소하는 실마리를 제공한다. 공통점은 하나다. 모두 데이터를 생산하고 기록하며 공유한다. 안전 의무 이행의 핵심이 '사전 인지와 체계적 대응'에 있다면, 그 증거는 결국 데이터에서 나온다. 기술 도입은 장비의 문제가 아니라 증거 생산 체계의 구축이다. 스마트 PPE가 감지한 위험 데이터, 카메라가 기록한 행동 이력, 클라우드 플랫폼에 저장된 점검·교육·시정조치 내역은 모두 법정에서 제출 가능한 자료가 된다.

  1. 전략적 우선순위: 한국 건설사의 도입 경로

모든 기술을 동시에 도입하는 것은 현실적이지 않다. 규제 대응과 사고 예방 효과를 동시에 극대화하는 순서를 설정해야 한다. 우선 클라우드 기반 EHS 플랫폼의 도입이 기반이 된다. 나머지 기술에서 생성되는 데이터를 수렴하고 분석하는 플랫폼 없이는, 개별 장비의 효과가 파편화된 채 법적 증거 능력을 갖추기 어렵다. 그 위에 고령 인력 비중이 높은 현장에는 스마트 PPE를, 하도급 구조가 복잡한 현장에는 코칭 카메라를 우선 배치하는 방식이 효율적이다. 마이크로러닝은 어느 현장에서도 즉시 실행 가능한 낮은 진입 비용의 수단으로, 초기 교육 체계 구축에 활용할 수 있다.

#건설안전 #중대재해처벌법 #스마트안전 #EHS #스마트PPE #클라우드EHS #마이크로러닝 #안전기술 #건설리스크 #사전예방안전 #ConstructionSafety #SmartPPE #EHSTechnology #WorkplaceSafety #CloudEHS #CriticalAccidentPrevention #SafetyCompliance #KoreanConstruction


시간: 댓글 없음:
라벨:

CEO의 말이 조직을 움직이는 알고리즘이 될 때

기업 커뮤니케이션 분야에서 25년을 일해온 더심플렉시티 김지은 대표가 DBR(동아비즈니스리뷰)에 기고한 글이 주목할 만한 시각을 제시한다. 제목은 「CEO 메시지, 목표 상충하거나 모호해선 안 돼」. 글의 핵심 주장은 단순하지만 날카롭다. CEO의 언어는 구호가 아니라 의사결정의 알고리즘이어야 한다는 것이다.

말이 알고리즘이 된다는 것의 의미

우리는 흔히 리더십을 비전과 방향성의 문제로 이해한다. 그러나 김지은 대표는 그 비전이 구성원에게 어떤 언어로 전달되는가에 주목한다. 구성원이 매 순간 CEO에게 확인을 요청하지 않고도 동일한 결론에 도달할 수 있다면, 그 조직은 CEO의 메시지를 내재화한 것이다. 반대로 구성원이 같은 상황에서 제각각 다른 판단을 내린다면, 리더의 메시지가 '구호'에 머물고 있다는 신호다.

조직의 실행력은 결국 해석의 일관성에서 비롯된다. 그리고 해석의 일관성은 언어의 명확성에서 온다.

상충하는 목표가 조직을 마비시킨다

이 글에서 가장 실용적인 통찰 중 하나는 목표 충돌의 위험성에 관한 것이다. 많은 CEO들이 "성장을 추구하되 수익성도 지켜라"는 식의 메시지를 동시에 전달한다. 언뜻 균형 잡혀 보이지만, 실제 현장에서 이 두 기준이 충돌하는 순간—예산 배분, 신사업 투자, 인력 결정—구성원은 선택 기준이 없어 결정을 미루거나 책임을 회피하게 된다.

GE가 FastWorks 방법론을 도입할 당시, 기존의 품질 기준과 새로운 속도 중심 기준이 현장에서 충돌했다. 이때 어떤 기준이 우선하는지 명시되지 않으면 조직은 갈등하다 멈춘다. 우선순위의 명시는 선택이 아니라 리더의 책임이다.

'고해상도 언어'라는 개념

김지은 대표가 제안하는 핵심 개념은 '고해상도 언어'다. "강화하겠습니다", "혁신을 추진하겠습니다", "적극 검토하겠습니다"—이 단어들은 서로 다른 사람이 읽으면 서로 다른 행동을 유발한다. 그것은 언어가 아니라 소음이다.

반면 "이 항목은 다음 분기 예산에서 제외한다", "24시간 내 초안을 제출한다", "A안을 중단하고 B안으로 전환한다"는 해석의 여지를 남기지 않는다. 구체성은 마이크로매니징이 아니다. 결과의 기준을 명확히 하는 것이다.

아마존이 파워포인트 대신 6페이지 분량의 서술형 내러티브 메모를 회의 문화로 채택한 이유도 같은 맥락에 있다. 불릿 포인트는 생략을 허용하지만, 완전한 문장은 사고의 허점을 드러낸다. 언어의 해상도를 조직 문화로 제도화한 사례다.

3문장으로 설계하는 위기 메시지

기고문은 위기 상황에서 즉각 활용 가능한 메시지 구조도 제안한다. 이른바 '3문장 원칙'이다.

첫째, 현재 판단—지금 우리가 직면한 현실은 무엇인가. 둘째, 선택 기준—가치가 충돌할 때 무엇을 우선하고 무엇을 내려놓는가. 셋째, 다음 행동—누가, 무엇을, 언제까지 하는가.

버진애틀랜틱은 코로나19 초기 대규모 구조조정을 단행하면서, 혼란스러운 상황에서도 이 구조에 가까운 방식으로 직원들과 소통했다. 감정적 호소보다 판단 근거와 다음 행동을 명확히 전달한 커뮤니케이션이 신뢰를 유지하는 데 기여했다는 평가를 받는다.

CEO 메시지를 점검하는 5가지 질문

김지은 대표는 자신의 메시지가 기준인지 슬로건인지를 가늠할 수 있는 점검 항목도 제시한다.

이 메시지는 무엇을 하지 않을지 명시하는가. 충돌 상황에서 선택 기준이 있는가. 측정 가능한 동사와 기한이 포함되어 있는가. 책임 주체가 분명한가. 대상, 주체, 기한이 한 문장으로 압축되는가.

이 다섯 질문에 명확히 답할 수 없다면, 그 메시지는 실행의 도구가 아닌 장식에 가깝다.

에델만, 케첨, 월트디즈니, SC제일은행을 거쳐 현재 더심플렉시티를 운영하며 대기업과 스타트업의 커뮤니케이션을 설계해온 김지은 대표의 이번 기고는, 리더십을 언어의 문제로 환원하는 드문 시도다. 전략이 아무리 정교해도 그것이 구성원의 언어로 번역되지 않으면 실행은 일어나지 않는다. CEO의 말이 조직의 알고리즘이 되는 순간, 리더는 비로소 자리를 비워도 되는 존재가 된다.


시간: 댓글 없음:
라벨:

2026년 4월 2일 목요일

미국 인터넷 범죄 통계가 드러낸 사이버 리스크의 새로운 지형

사이버 범죄의 진화는 빈도의 문제가 아니라 규모의 문제이며, 한국 금융산업이 대비해야 할 위협의 중심은 시스템 해킹이 아니라 AI 기반 금융 기만이다.

보험연구원(Insurance Research Institute)이 최근 발간한 보고서 『미국 인터넷 범죄 피해 현황과 보험산업의 대응』(김혜란 연구원, 디지털금융연구실)은 미국 연방수사국(FBI) 인터넷범죄신고센터(IC3)의 2024년 연간 통계를 분석하며 사이버 범죄 피해의 구조적 변화와 보험산업의 대응 방향을 제시하고 있다. 보고서가 담아낸 숫자는 단순한 통계를 넘어, 디지털 경제 전반이 직면한 리스크의 질적 전환을 보여준다.

  1. 빈도가 아니라 규모가 달라졌다

2024년 미국의 인터넷 범죄 신고 건수는 859,532건으로, 최근 5년 평균(연 83만 건) 대비 완만한 증가에 그쳤다. 그러나 피해액은 166억 달러로 역대 최대치를 기록했다. 2020년 피해액이 41억 달러였음을 감안하면, 불과 4년 만에 4배 이상 증가한 것이다. 이 수치가 전달하는 핵심 메시지는 명확하다. 사이버 범죄는 더 자주 발생하는 것이 아니라, 한 번 발생할 때 더 많은 돈을 빼앗아가는 방식으로 진화하고 있다는 점이다.

범죄 유형별로 보면, 이 변화의 성격이 더욱 뚜렷해진다. 전통적으로 주목받던 해킹·랜섬웨어 등 사이버 공격은 26만 건에 피해액 15.7억 달러 수준이었다. 반면 금융 관련 사이버 사기는 33만 건이었음에도 피해액은 137억 달러로 전체의 83%를 차지했다. 사이버 범죄의 무게중심이 시스템 침해에서 금융 기만으로 이동했음을 보여주는 대목이다.

  1. 세 가지 피해 진원지: 투자사기, 고령층, 암호화폐

피해 구조를 더 깊이 들여다보면 세 가지 진원지가 뚜렷하게 부각된다.

첫째, 투자사기다. 2024년 투자사기 피해액은 65.7억 달러로 단일 범죄 유형 중 가장 큰 비중을 차지했으며, 이 수치는 3년간 2배 이상 증가한 것이다. 기업 이메일 침해(BEC)가 27.7억 달러, 기술지원 사기가 14.6억 달러, 개인정보 침해가 14.5억 달러로 그 뒤를 이었다.

둘째, 고령층 피해의 폭발적 증가다. 60세 이상 피해자의 신고 건수는 147,127건으로 전년 대비 46% 증가했으며, 피해액은 약 48억 달러로 전체의 42%를 차지했다. 전년 대비 증가율도 43%에 달했다. 기술지원 사기와 가족 위기를 사칭한 음성 사기가 주요 수법으로 보고됐다. 고령층은 디지털 금융 환경에 대한 이해가 상대적으로 낮고, AI 기반 딥페이크·음성 합성 기술에 취약한 구조적 특성을 지닌다.

셋째, 암호화폐가 범죄 인프라로 고착화되고 있다는 점이다. 암호화폐 기반 범죄 피해액은 93억 달러에 달했으며, 이 중 고령층 피해만 28억 달러를 초과했다. 투자사기·로맨스 사기·피싱이 암호화폐와 결합하면서 국경 간 자금 이동이 용이해졌고, 신고는 200개국 이상에서 접수됐다. 주요 송금 목적지로는 홍콩, 베트남, 멕시코가 지목됐다.

  1. 보험산업의 대응: 특약 확대와 보장 압축의 동시 진행

사이버 리스크의 확대는 보험산업에도 구조적 변화를 강요하고 있다. 보고서는 일부 보험회사가 사이버 보험에 AI 기반 신원 사칭 보장을 특약으로 추가하는 한편, 일부는 하위 한도(Sub-limit) 또는 면책조항을 도입하고 있다고 밝혔다. 미국 인슈어테크 기업 Coalition이 딥페이크 대응 보증 조항을 신설한 것이 대표적 사례다.

보험사들의 대응 방향은 두 갈래로 나뉜다. 한편으로는 보장 범위를 넓혀 AI 기반 사기, 딥페이크 피해 등 신종 리스크를 커버하는 방향으로 상품을 고도화하고 있다. 다른 한편으로는 보험료 인상, 자기부담금 상향, 약관 내 하위 한도 설정, 보안 유지 의무 위반 시 면책조항 적용 등 리스크 관리를 강화하고 있다. 의료·금융 분야의 규제 강화는 기업의 사이버 보험 수요를 끌어올리는 구조적 요인으로 작용하고 있어, 시장 성장 자체는 지속될 전망이다.

  1. 한국 기업과 금융산업에 주는 함의

미국의 이 같은 추세는 한국 시장과 무관하지 않다. 몇 가지 측면에서 한국 기업과 금융산업이 주목해야 할 지점이 있다.

우선, 금융 사이버 사기의 위협 수준이다. 한국 역시 보이스피싱, 투자사기, 기업 이메일 침해(BEC) 피해가 증가하고 있으며, AI 기반 음성·영상 합성 기술의 확산으로 사기 수법이 정교해지고 있다. 미국에서 확인된 '빈도 완만·규모 급증' 패턴이 한국에서도 재현될 가능성이 높다.

다음으로, 고령층 보호 체계의 정비다. 한국은 세계에서 가장 빠른 속도로 고령화가 진행되는 국가 중 하나다. 디지털 금융 접근성 확대와 고령층 사이버 범죄 피해 증가가 동시에 진행되는 구조 속에서, 금융기관과 보험사의 고령층 맞춤형 사기 탐지·예방 시스템 구축이 시급한 과제로 부상한다.

마지막으로, 국내 사이버 보험 시장의 성숙도다. 한국의 사이버 보험 시장은 아직 초기 단계에 머물러 있으며, 대기업 중심의 가입 구조가 지배적이다. 미국에서 AI 신원 사칭 보장이 특약으로 추가되는 흐름은, 국내 보험사들이 딥페이크·보이스피싱 연동 리스크를 제도화된 보장 상품으로 흡수하는 방향을 선제적으로 검토해야 함을 시사한다. 중소기업과 금융 취약계층을 포괄하는 사이버 보험의 저변 확대 없이는, 리스크가 사회 전체에 무방비 상태로 축적될 수 있다.

  1. 결론: 사이버 리스크는 이제 거시 리스크다

166억 달러라는 숫자는 단순히 피해 규모가 커졌다는 의미가 아니다. 그것은 사이버 범죄가 금융 시스템, 고령 인구, 암호화폐 인프라와 맞물려 거시적 리스크로 전환되고 있음을 보여주는 지표다. 보험산업의 대응이 보장 확대와 보장 압축을 동시에 추구하는 모순적 구조를 취하는 것은, 리스크의 불확실성이 그만큼 크다는 반증이기도 하다. 한국 금융산업과 기업 모두, 이 전환의 신호를 경쟁력 재편의 계기로 삼아야 할 시점이다.

#사이버범죄 #인터넷범죄 #사이버보험 #금융사기 #투자사기 #보이스피싱 #딥페이크 #암호화폐사기 #고령층피해 #보험연구원 #IC3 #FBI #사이버리스크 #기업리스크관리 #ESG리스크 #한국금융 #디지털금융보안


시간: 댓글 없음:
라벨:

AI는 이제 '관리 대상'이다 — 글로벌 AI 거버넌스의 새로운 기준선

AI를 잘 쓰는 기업보다, AI를 잘 통제하는 기업이 시장의 신뢰를 얻는 시대가 왔다.

영국 재무보고위원회(FRC)의 감사 가이드라인과 미국 캘리포니아 주정부의 공공조달 규정을 분석한 복수의 정책 브리핑에 따르면, 2025년을 전후해 AI 규제의 무게중심이 결정적으로 이동하고 있다. 개발 단계의 안전성 확보에 집중하던 초기 규제 논의에서 벗어나, 이제 각국 정부는 AI가 실제로 사용되는 현장 — 감사 업무, 공공 계약, 조달 절차 — 에서의 책임 소재를 명확히 하는 방향으로 나아가고 있다.

  1. 감사 현장에 들어온 규제: FRC의 AI 가이드라인

영국 FRC는 회계법인이 생성형·에이전트형 AI를 감사 업무에 활용할 경우, AI가 산출한 판단과 결과물까지 감사 책임 범위에 포함된다고 명시했다. AI는 단순한 효율화 도구가 아니라, 인간 감사인이 검토하고 통제해야 할 감독 대상으로 규정된 것이다. 독립성과 신뢰성을 훼손하지 않는 범위에서만 사용이 허용된다는 조건은, 사실상 AI 활용의 상한선을 제도적으로 설정한 것으로 해석된다. 전문가 책임이 AI의 판단에 의해 희석될 수 없다는 원칙이 처음으로 감사 기준에 명문화된 사례다.

  1. 조달 시장의 진입 조건으로 부상한 AI 거버넌스: 캘리포니아의 선택

캘리포니아 주정부는 공공 조달에 참여하려는 기업에 AI 오남용 방지 체계 구축을 계약 조건으로 의무화했다. 불법 콘텐츠 생성 방지, 알고리즘 편향 통제, 시민권 침해 방지 등 내부 통제 시스템을 갖추지 않으면 공공 계약 자체가 차단된다. AI 생성 이미지와 영상에 대한 워터마크 의무화와 향후 도입 예정인 공급업체 인증 제도는, AI 거버넌스 수준이 기업의 시장 접근성을 좌우하는 경쟁 변수로 전환되고 있음을 보여준다.

  1. 한국 기업에 주는 함의

두 사례의 공통점은 규제가 'AI 자체'가 아니라 'AI를 사용하는 조직의 책임 구조'를 겨냥하고 있다는 점이다. 한국 기업, 특히 글로벌 감사·컨설팅 서비스를 제공하거나 해외 공공 조달 시장에 진출하려는 기업은 이 변화를 기술 문제가 아닌 거버넌스 문제로 접근해야 한다. AI 도입 여부보다 AI 통제 체계의 완성도가 계약 수주와 신뢰 확보의 기준이 되는 시대가 이미 시작됐다. 국내에서도 금융감독원과 조달청 등 규제 기관이 유사한 방향으로 기준을 강화할 가능성을 배제할 수 없으며, 선제적 내부 통제 체계 정비가 요구된다.

#AI거버넌스 #AI규제 #FRC #캘리포니아AI규정 #감사AI #공공조달 #AI책임 #ESG #기업리스크 #한국기업 #디지털전환


시간: 댓글 없음:
라벨:

2026년 3월 30일 월요일

데이터를 훔치고 협박하다 — 브랜드를 겨냥한 '사이버 공격'

나이키 데이터 유출 사태: 제조 기밀을 겨냥한 사이버 공격의 새로운 국면

글로벌 스포츠 브랜드 나이키가 대규모 사이버 공격으로 인해 전례 없는 보안 위기에 직면했다. 보안 업계의 추적 결과 이번 공격의 배후에는 '월드리크스(WorldLeaks)'라는 신생 해킹 조직이 있는 것으로 확인되었으며, 사건의 성격과 규모는 현대 기업이 마주한 사이버 위협의 질적 변화를 보여주는 사례로 주목받고 있다.

  1. 랜섬웨어에서 '데이터 갈취'로 — 공격 방식의 전환

월드리크스는 과거 악명 높았던 랜섬웨어 조직 헌터스 인터내셔널(Hunters International)의 재브랜드화 그룹이거나 그 후계 조직일 것으로 보안 전문가들은 분석하고 있다. 이들의 수법은 기존 랜섬웨어와 구별된다. 시스템을 암호화해 운영을 마비시키는 대신, 데이터를 선제적으로 탈취한 뒤 이를 공개하겠다고 위협하는 '데이터 중심 갈취' 방식을 택했다. 피해 기업 입장에서는 시스템 복구보다 데이터 확산 차단이 더 긴박한 과제가 되는 구조다.

  1. 유출 데이터의 실체 — 고객 정보가 아닌 제조 기밀

해커 측이 확보했다고 주장하는 데이터는 약 1.4TB, 파일 수로는 18만 8천여 개에 달한다. 다행히 현재까지의 조사에서 고객 결제 정보나 개인 민감정보의 대규모 유출 정황은 확인되지 않았다. 문제는 오히려 그 반대편에 있다. 유출된 파일 디렉토리에는 여성 스포츠웨어, 남성 스포츠웨어, 공장 교육 리소스, 의류 제조 공정 등 제품 설계와 생산 기술의 핵심이 되는 내부 자료가 포함된 것으로 파악되었다. 이 자료들이 외부로 유통될 경우 경쟁사에 설계 기밀이 넘어가거나 정교한 위조품 제작에 악용될 수 있어, 나이키의 브랜드 가치와 시장 지위에 장기적 손상이 불가피하다.

  1. 침투 경로 — 공급망이 뚫린 지점

조사 과정에서 이번 침해가 나이키 내부 핵심 시스템의 단일 취약점보다는 공급망 인프라의 패치되지 않은 연결 고리를 통해 이루어졌을 가능성이 유력하게 제기되고 있다. 나이키와 연결된 수백 개의 제3자 공급업체, 물류 파트너, 소매업체 가운데 보안이 취약한 접점이 공격 통로가 된 것으로 보이며, 전문가들은 인증되지 않은 API 게이트웨이나 내부 파일 공유 시스템의 설정 오류가 결정적 원인이었을 것으로 보고 있다. 이는 이번 사태가 나이키 단독의 내부 보안 문제가 아닌, 글로벌 공급망 전체의 구조적 취약성에서 비롯된 사건임을 의미한다.

  1. 나이키의 대응과 현재 경과

나이키는 사건 발생 직후 소비자 프라이버시와 데이터 보안을 최우선으로 여기며 사이버 보안 사고를 적극 조사 중이라는 공식 입장을 내놓았다. 그러나 현재까지 구체적인 사실 관계나 피해 범위에 대한 추가 공개는 이루어지지 않고 있다. 주목할 만한 정황은 따로 있다. 월드리크스의 다크웹 사이트에서 나이키 관련 데이터 목록이 일시적으로 삭제된 사실이 포착되면서, 보안 업계 일각에서는 나이키가 데이터 확산을 막기 위해 해커 측과 비공개 협상을 진행 중이거나 이미 대가를 지불했을 가능성을 제기하고 있다. 정밀 포렌식 조사는 현재도 계속되고 있으며, 내부 설계 파일의 일부가 이미 유포되었을 가능성은 배제되지 않고 있다.

  1. 한국 기업에 주는 함의

이번 사태는 한국 제조·공급망 기업에도 직접적인 시사점을 던진다. 나이키를 포함한 글로벌 스포츠 브랜드의 OEM·ODM 파트너로 참여하는 한국 의류·소재 기업들은 자사 시스템이 글로벌 공급망 네트워크에 연결되어 있다는 사실 자체가 잠재적 공격 진입점이 될 수 있음을 직시해야 한다. 해커들은 방어가 가장 취약한 연결 고리를 노린다. 대기업의 보안 수준이 아무리 높아도, 협력사의 API 설정 오류 하나가 전체 공급망을 위험에 빠뜨릴 수 있다는 이번 사건의 교훈은 한국 중견·중소 제조기업에도 예외 없이 적용된다. 제3자 보안 감사, 접근 권한 최소화 원칙, 공급망 파트너 대상 보안 가이드라인 정비가 선택이 아닌 경영 필수 과제로 자리 잡아야 할 시점이다.

한 줄 인사이트: 이제 사이버 공격의 표적은 고객 데이터가 아닌 기업의 제조 기밀과 공급망 연결망이며, 가장 약한 협력사 하나가 글로벌 브랜드 전체의 문을 열어주는 열쇠가 된다.

#나이키 #데이터유출 #사이버보안 #공급망보안 #랜섬웨어 #월드리크스 #지식재산권 #제조기밀 #정보보안 #한국기업보안 #OEM #글로벌공급망


시간: 댓글 없음:
라벨:
피드 구독하기: 덧글 (Atom)
  • 관리가 잘 되던 회사도 안전이 부실해질 수 있는 이유
    수익성 좋은 회사가 왜 — 안전에는 구멍이 있었나 2026년 3월 20일, 대전 대덕구 문평동 · 화재로 인한 참사의 구조적 분석 먼저, 이 회사는 어떤 곳이었나 A자동차부품은 1953년에 설립된, 70년이 넘는 역사를 가진 자동차·선박용 엔진 밸브 ...