사이버 보안에서 책임성과 투명성

김정덕 명예교수 (25.03)

책임성(Accountability)과 투명성(Transparency)은 조직과 기관에서 신뢰, 청렴성, 효과성을 증진시키는 좋은 거버넌스(Good Governance)를 구현하기 위한 두 가지 기본 원칙이다.

책임성이란 개인, 조직 또는 정부가 자신의 행동과 결정에 대해 답변할 의무를 말힌다. 즉, 행동에 대한 정보와 정당화를 제공할 수 있는 응답성(Answerability)과 행동의 기대 값에 못 미칠 경우에 대한 결과를 수용하게 하는 집행력(Enforcement)을 포함한다고 할 수 있다. 책임성을 구현하기 위해서는 첫째, 명확히 정의된 역할과 책임, 둘째, 정기적인 성과 평가 및 보고, 셋째, 문제와 갈등을 해결하기 위한 메커니즘, 넷째 부정행위나 의무 불이행에 대한 처벌을 포함한 결과물 등이 요구된다.

투명성은 조직의 운영, 결정, 성과에 대한 정보를 공개적으로 공유하는 관행을 말한다. 즉, 이해관계자에게 정확하고 완전하며 시기적절한 정보를 제공해야 하고, 조직이 정직하게 운영되는 방식을 다른 사람들이 볼 수 있고 이해할 수 있도록 해야 하며, 경영층, 직원, 대중 간의 신뢰를 조성하는 행위를 의미한다. 

이러한 책임성과 투명성은 상호 밀접하게 연관되어 있고 서로에게 긍정적 영향을 미친다. 투명성은 이해관계자가 조직과 개인에게 책임을 물을 수 있는 필요한 정보를 제공함으로써 책임성을 가능하게 하는 동시에 책임성은 열린 의사소통과 보고에 대한 기대를 만들어 투명성을 촉진하게 하는 효과가 있다.

최근 사이버보안 영역에서도 거버넌스의 중요성이 증대되고, 사이버 위험이 진화됨에 따라 조직의 보안활동에 대한 개방성을 규제기관에서 요구하게 되면서 책임성과 투명성 원칙은 강조되고 있는 상황이다.

사이버보안에서의 책임성은 구체적으로 조직과 개인이 자신의 행동, 결정, 전반적인 보안 태세에 대해 책임을 지는 의무를 말한다. 이의 구현을 위해서는 첫째, 명확한 역할(role)과 책임(responsibility)이 규정되어야 한다. 여기에서 책임(responsibility)과 책임성(accountability) 개념을 명확히 구분할 필요가 있다. 책임은 ‘누가 역할을 수행할 것인가’를 강조하는 ‘수행 책임’을 의미하는 반면, 책임성은 특정 과제/업무를 수행할 때 수행, 승인, 검토 등 조직 전체 차원에서 전반적인 책임활동을 보여줄 수 있는 ‘책임 추적성(traceability)’를 포함하는 개념이다. ‘아무도 책임지지 않는다면 아무도 수행하지 않는다’라는 명제를 명심해야 할 것이다.

두번째 요소로는 정기적인 성과 평가 및 보고 체계가 요구된다. 보안활동에 대한 성과가 개인 및 부서의 성과 평가에 적적한 크기로 반영되어야 하며, 업무에 적절한 보고체계가 확립되어야 책임성을 파악할 수 있기 때문이다. 

세번째 요소로는 보안 실패나 침해에 대한 결과를 수용할 수 있도록 객관적이고 모든 구성원이 수용가능한 상벌 체계가 보안정책에 명시되어야 한다. 잘못된 보안행위를 해도 처벌되지 않는다는 인식이 만연한다면 누구라도 올바른 보안행위를 수행하려고 하지 않기 때문이다.

사이버보안에서의 투명성은 조직의 보안 관행, 잠재적 취약점, 사고 대응 프로토콜에 대한 정보를 공개적으로 공유하는 것을 포함한다. 즉, 보안 사고와 그 영향 공개, 이해관계자에게 잠재적 위험 정보 소통, 모범 사례와 학습된 교훈 공유, 시행 중인 보안 조치에 대한 명확한 정보 제공 등이 포함된다. 

이러한 책임성과 투명성을 구현하는데 있어 주요 도전과제는 첫째, 민감한 정보 보호의 필요성과 투명성 사이의 균형, 둘째, 너무 많은 정보 공개가 공격자를 도울 수 있다는 우려, 셋째, 평판 손상과 사용자나 고객 사이의 불필요한 공황 가능성, 넷째, 사고 공개에 관한 진화하는 규제와 법적 복잡성, 다섯째, 조직 내 변화에 대한 저항, 마지막으로 빠르게 진화하는 사이버보안 위협과 기술에 대한 민첩한 대응을 들 수 있다. 

따라서 이에 대한 대응책과 모범 사례로는 첫째, 명확한 의사소통 채널과 보고 메커니즘 구현, 둘째, 책임성이 보장된 포괄적인 사고 대응 계획 개발 및 명세화, 셋째, 책임성 보장을 위한 위험 관리 활동에 대한 정기적 보고, 넷째, 책임 있는 취약점 공개 관행 참여, 다섯째, 업계 내 위협 정보 공유 및 협력, 여섯째, 조직 전체에 사이버보안 문화 조성,  조직의 사이버보안 접근 방식을 상세히 설명하는 정기적인 보안 보고서 발행 및 공지 등이 포함될 수 있다. 이러한 관행을 구현함으로써 조직은 사이버보안 노력에서 투명성과 민감성 사이의 균형을 달성하고, 민감한 정보의 강력한 보호를 유지하면서 신뢰를 조성할 수 있을 것이다