brunch

You can make anything
by writing

C.S.Lewis

[넋두리] 3. 타산지석, 사고에서 배운다

S사 개인정보 유출사고의 교훈

  그때 당시로서는 보안업계 담당자에게 조차 다소 낯설었던 용어인 APT 공격으로 3500만 명이라는 대규모 고객정보가 유출되었던 2011년 S사 침해사고포털 서비스 업계에서 지금의 K사와 당당히 2위 자리를 겨루며 승승장구하고 있던 회사와 직원들에게까지 큰 상처를 안기며 장기간 진행되었던 사고 관련 소송이 2018년 7월 12일 마무리되었다대법원 1부에서 행해진 최종 3차 판결에서 S사가 승소하면서 기업의 생사까지 좌우했던 국민적 사건의 진행이 일단락된 것이다.


  사고의 여파는 컸다한참 성장하고 있던 기업의 성장세가 둔화되고대규모 고객의 이탈로 매출 규모 역시 가파르게 감소했으며진행하던 그리고 계획했던 많은 사업들이 중지되거나 취소되는 불운을 겪어야 했다. 수많은 민사소송이 진행 중이었으므로 만약 패소했다면 그 후유증으로 엄청난 추가 배상금액 부담까지 각오해야 했던 사고기업의 운명이 걸린 사고에서 S사가 최종 승소할 수 있었던 이유는 무엇일까그 승소의 배경에는 항시 해킹의 위험에 노출되어 있는 기업들이 반면교사로 삼아 명심해야 할 두 가지 중요한 조건이 포함되어 있다.


   첫째, S사는 법에서 요구하는 보안 요구사항을 충실히 이행하고 있었다소송 전 과정에 걸쳐 S사는 초지일관 보안 관련 법 규정 요구사항을 지켜왔음을 주장했고그 증거자료들을 제시함으로써 자신들의 노력을 증명하려고 노력했다.

  (개인)정보보안과 관련되어 우리나라의 법들은 기업이나 기관이 지켜야 할 요구사항을 상당히 구체적으로 명시하고 있다이는 다시 말해 해당 요구사항들을 충실히 만족하는 경우 법을 잘 지키는 모범적 활동을 하고 있다는 반증이 됨을 뜻하며사고 발생 시 법적인 책임은 피해 갈 수 있는 방어막 역할을 하게 됨을 의미한다

  이렇듯 법에서 요구하는 기준을 전문용어로 선관주의 의무(선량한 관리자의 주의 의무)”라고 표현한다기업이 선관주의 의무를 충실히 수행한다는 것은 각종 침해사고에 대비한 최소한의 필수요건인 셈이다.


   둘째사고 당시 S사는 동종업계보다 앞서는 보안 수준을 갖추고 있었다보안 분야의 전문 솔루션 도입부터 보안조직의 정보보호활동까지 당시 동종업계 및 타 기업들에 비해 오히려 앞서는 수준의 투자가 이루어지고 있었기 때문이다.

  여기서 주목할 점은 판결을 담당하는 법관들은 IT 및 보안의 전문가가 아니라는 것이다따라서 보안 침해사고의 경우 스스로 가진 지식을 통해 판결하기보다 여러 경로에서 수집한 자료와 의견을 참고하여 판결하게 된다관련 분야 전문가의 의견을 수렴하거나 유사한 사업을 수행하는 동종업계 기업들의 정보보호 현황 등을 판결에 참고하게 되는 것이다.

  이러한 기준이 법에 구체적으로 명시되어 있지 않다고 하더라도동종업계 기업들이 대부분 만족하는 조건(특정 보안제품의 도입이나 주기적 점검 활동 등)에 미달하는 부분이 확인된다면보안에 취약하거나 정보보안 활동이 미흡하다고 판단할 수 있다만약 미달되는 경우가 확인된다면 판결에 불리한 요소로 작용할 수 있다따라서 항상 동종업계의 보안현황을 잘 관찰하는 것이 필요하다. 타 기업들보다 앞서 나가지는 못해도 최소한 뒤처지지 않도록 노력하는 것이 침해사고에 대비한 최소한의 필수요건 중 하나이다.


   이 두 가지 조건을 충분히 만족하고 있다면 해킹으로 대규모 개인정보 유출이라는 최악의 상황에 직면하더라도 기업을 방어하기 위한 한 가지 구명줄은 확보하고 있다고 볼 수 있다이 구명줄은 사고와 관련된 각종 행정소송과 민사소송에 활용할 수 있다.

  그러나 많은 기업들은 보안과 관련된 법 요구사항이 너무 많고 까다롭다고 한 목소리를 내면서 경기가 조금만 나빠져도 먼저 보안예산을 줄이고 보안인력을 줄이기를 주저하지 않는다보안을 기업경영의 필수 요건으로 보지 않고 선택 요건으로 보고 있기 때문이다.

  하지만 그 법을 지키는 것이 예기치 못한 급박한 상황에서 기업의 구명줄이 될 수도 있음을 고려하면 기업들의 원성이 엄살로 느껴지는 것은 왜일까? 혹시 기업들은 자신에게는 고객정보 유출과 같은 대형 IT침해사고가 발생하지 않을 것이라는 자신감이 있는 것일까?


  IT침해사고는 일어날 수도 있고 일어나지 않을 수도 있다하지만 잊어서는 안 될 것이 있다같은 사고가 발생하더라도 그에 따른 결과가 모든 기업에게 같지는 않을 것이라는 것을그것이 준비된 자와 준비되지 않은 자의 차이다.



이전 02화 [넋두리] 2. 위기엔 대도무문(大道無問) 하라
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari