인수합병이 완료된 직후의 기간은 기업 보안에 있어 가장 위험한 시기다. 여러 가지 이유로 공격자에게는 가장 효과적인 공격 시기다. 이때의 딜레마는 기업이 완충 기간을 충분히 확보할지 아니면 신규 부서의 방어 체계를 강화해야 할지다.

위험은 기술적인 부분과 심리적 부분으로 나뉜다. 보안 전문가는 몇 개월에서 1년 이상에 이르는 이 보유 기간 동안 인수된 기업의 보안 방어 기능이 거의 항상 저하된다고 지적한다.

사이버보안이 약화되는 세 가지 뚜렷한 이유는 다음과 같다.

• 새로운 보안 기술의 업그레이드 또는 구매에 대한 두려움. 관리자는 새로운 모회사가 어떤 결정을 내릴지 모르기 때문에 투자를 주저하고, 돈을 낭비하지 않으려고 한다.
• 우수한 보안 인력 이탈. 각 사업부의 최우수 인력도 함께 떠난다. 해고 우려가 있으므로 어떤 제안이라도 받아들인다. 관리진이 통합 결정이 내려질 때까지 일부 인력을 대체하는 것을 주저하면 문제가 악화된다.
• 분산된 주의력. 해고와 통합 결정이 내려질 때까지 직원은 분산되고 긴장된 상태이다. 동시에 공격자가 돈, 지적 재산권, 자격 증명을 훔치기 위해 노리는 대상이 되기 쉬운 상태다.

거대한 문제

로펌 베이커호스테틀러( BakerHostetler) 전국 디지털 위험 자문 및 사이버 보안 팀의 공동 책임자 크레이그 호프만은 화요일 발표된 2025년 데이터 보안 사고 대응 보고서를 작성하면서 이 문제가 얼마나 보안에 위험한지 깨달았다고 말했다.

보고서에서 강조된 주요 내용 중 하나는 기업 대상 와이어 사기 공격이 급증했다는 점이다. 또한 사기성 자금 이체 총액이 2023년 3,500만 달러에서 2024년 1억 900만 달러로 증가했다”라고 지적했다.

와이어 사기 증가의 상당 부분은 인수합병 후 통합 기간을 악용한 공격자로부터 비롯됐다.

호프만은 “다년 계획에 따른 통합을 진행하지 않을 것이고, 업그레이드할 때까지 운영은 계속하지만 별도로 운영하면서 기존 네트워크에 감염이 없도록 할 것’이라는 패턴을 목격했다”라고 인수 기업 임원들의 발언을 인용했다.

호프만은 인재 유출, 기술 지연, 불안하고 분산된 직원이 결합되어 공격자에게 완벽한 조건을 제공한다고 덧붙였다.

또한 AI 기반 딥페이크 공격이 사이버 범죄자 사이에서 널리 사용되고 있으며, 직원이 새로운 소유주의 경영진에 익숙하지 않다는 점을 고려할 때, 직원을 속여 사기 송금을 유도할 가능성은 매우 높다.

호프만은 “대다수 위협 행위자는 기회주의적이다. 인수된 회사 직원은 새로운 소유주가 무엇을 요구할지 기다리는 동안 기업의 지연 현상을 목격한다”라고 말했다. 그런 다음 인수된 직원이 결국 인수 회사의 도구를 사용해야 한다면 새로운 보안 도구 업그레이드나 주제를 꺼리게 된다.

전문가의 조언

전 기업 CISO를 비롯한 다양한 사이버 보안 전문가는 최근 몇 년 동안 이러한 패턴이 증가하고 있다는 데 동의했다. 그러나 해결 방법에 대해서는 의견이 분분했다.

인포 테크 리서치 그룹의 수석 사이버 보안 고문 프리츠 장 루이는 기업에 “통합을 최대한 가속화하라”라고 조언한다고 말했다. 기술 팀을 불확실한 상태로 두는 것은 위험한 제안이다.

장 루이는 “분석을 수행하는 데 시간을 할애할 여유가 없다. 가능한 한 빨리 실사 후 온보딩을 진행해야 한다. 전체적인 상황을 파악하지 못할 것을 예상해야 한다”라고 말했다.,

리바이스 스트라우스의 전 CISO 스티브 잘레우스키는 CISO로서 여러 회사의 인수 과정을 지도하면서 두 회사 사이에 강력한 방화벽을 유지해 실제로 통합이 진행되면서 여러 계획과 예산을 수립했다.

그러나 또한 새로운 위험을 정확히 관리하기 위해 100일 계획을 수립해야 했다. 잘레우스키는 “통제할 수 없는 모든 문제에 대해 책임을 어떻게 지울까? CISO는 결혼의 위험을 관리해야 한다. 더 나쁜 것은 양측이 많은 역사와 문제를 안고 두번째로 결혼한다는 점”이라고 말했다.

또 다른 전 CISO 마이클 라인스는 PWC, 트랜스유니언(TransUnion), FICO에서 사이버보안 운영을 지휘했다. 현재는 사이버보안 업체 휴리스틱 시큐리티(Heuristic Security)의 대표다.

라인스 역시 인수 후 보유 기간 동안의 사이버 보안 문제에 대해 잘 알고 있다. 라인스는 종종 인수 과정에서 보안이 뒷전으로 밀려나고, 인수에 지장을 주지 말아야 한다는 무언의 기대가 있다고 말했다. 문제가 발견되더라도, 거래를 방해할 만큼 심각한 것이어야 한다. 제가 말하려는 것은 비즈니스 이익이 거래 성사 여부를 결정한다는 것이다. 정보 보안은 종종 단순히 체크리스트의 한 항목에 불과헌 취급을 받는다.

라인스의 메시지는 항상 “모든 취약점이 수정될 때까지는 손을 대지 않는다”였다.

뷰세론 시큐리티(Beauceron Security) CEO 데이비드 샬리는 문제를 해결하기 위해 무엇보다도 더 나은 커뮤니케이션이 필요하다고 강조했다.

샬리는 “기대치에 대한 명확성이 중요하다. 기준을 설정하고 불확실성을 제거해야 한다. 불확실성과 스트레스는 공격이 성공하는 요인”이라고 말했다.

또한 패치만으로 보안 위험을 해소할 수 없다며 인수 후 커뮤니케이션에서 사람, 프로세스, 문화에 초점을 맞춰야 한다고 강조했다. 결국 IT 전환을 서두르는 것에서 오는 위험이 공격자가 할 수 있는 것보다 더 크다.
dl-itworldkorea@foundryco.com