[넋두리 3] 14. 정보보안과 법감정

애매모호함과의 동거

  기업이나 기관에 속한 정보보안조직이 보안업무를 수행하는 데 있어 가장 많이 참고하는 자료가 보안과 관련해 여러 법률에서 요구하는 내용인 컴플라이언스 관련 자료들이다. 다른 부서들이 요청하는 업무들이 대체로 "혹시 법적 혹은 기술적으로 문제가 있는지?"를 물어보는 형태의 회신을 요구하는 경우이고, 그중 상당수는 고객과 관련되어 "개인정보 보호법" 위반 가능성 여부를 확인하고자 하는 목적을 가지고 있기 때문이다. 

  정보보안이라는 큰 영역의 관점에서 보면 기업이 어느 산업분류에 속하던 적용되는 보안의 기본 개념과 보안기술에는 차이가 없다고 할 수 있다. 물론 약간의 형태적 변형은 있을 수 있으나 금융권에 적용되는 보안기술과 쇼핑몰에 적용되는 보안기술의 핵심은 같다는 것이다. 이는 해커의 해킹기술과 보안업체의 방어기술이 동일한 것과 같은 이치이다. 따라서 IT기술과 보안기술의 기반을 제대로 이해하고 있다면 어느 산업분야이건 업무파악에 시간이 필요할 뿐 기술적 부분의 수행은 장애가 되지 않는다. 

  그런데 법을 이해하고 한 걸음 더 나아가 타 부서의 요청 또는 질문에 법에 기반한 회신을 주는 것은 IT의 영역과는 다른 문제이다. 대체로 IT는 명확하고 분명해 이해하면 되지만, 법은 다소 모호하고 몇 번을 읽어도 분명하지 않은 경우가 많기 때문이다. 게다가 조문에 대한 정확한 해석과 정의는 실제 사고사례에 대해 법정에서 판사의 판결이 나와야만 결정되게 된다. 변호사들이 기존 판결사례인 판례를 중시하는 이유가 여기에 있다. 또 보안 관련 법들은 매년 검토와 개정이 반복되고 있어 어떤 내용이 어떻게 개정되는지 지속적으로 살펴보는 것도 필요하다. 모호하고 분명하지 않은 법. 정보보안조직은 법과 친해질 필요가 있다. 그럼 어떻게 해야 법과 친해질 수 있을까? 나름 오랜 보안분야 업무경험을 통해 얻은 경험을 토대로 몇 가지 방안을 설명해 보도록 하겠다. 

  우선, 법에서 정보보안분야에 사용하는 법률용어에 익숙해져야 한다. 일상에서 흔히 사용하는 말도 법률에서는 의미하는 바가 다를 수 있기 때문으로 이용자와 사용자가 대표적이다. 영어로 번역한다면 모두 USER로 번역되는 우리말이다. 하지만 개인정보 보호법에서 이용자와 사용자의 의미는 다르다. 짧게 설명하면 이용자는 고객, 사용자는 임직원으로 이해하면 쉽다. 보안업계에서 근무하는 종사자나 분야 담당기자들도 정확한 정의를 구분하지 못하고 혼용하는 경우가 아직도 확인되고 있을 정도이다. 아 다르고 어 다르다고 정확한 의미가 무엇인지 이해하고 용어 사용에 익숙해지는 것이 필요하다.

  법률용어에 어느 정도 익숙해지고 나면 다음은 법조문에 대한 해석에 익숙해져야 한다. 때론 함축적이면서 모호하기까지 한 법조문의 내용은 그 의미를 이해하기 쉽지 않은 경우가 왕왕 있기 때문인데, 이는 법을 전문적으로 공부한 변호사들에게도 쉽지 않은 일이기도 하다. 따라서 법조문의 내용을 실제 사례에 비추어 어떻게 대입할 수 있을지에 대해 검토하는 것이 좋다. 다양한 사례들에서 각각의 경우에 하나의 법조문이 어떻게 적용되는지를 이해하는 것이 중요하기 때문이다. 

  다양한 상황들 각각에 법조문을 대입해 보는 과정에 대해 나는 “법감정을 익힌다”라고 표현하고 있다. 정보보안조직이 경험할 수 있는 각종 침해사고 및 유출사고 또는 돌발상황들에 대해 관련 법률에서 어떻게 판단할지 알고 있거나 예측할 수 있어야 미리 대비할 수 있기 때문이다. 나의 경우 법감정을 익히기 위해 여러 법률사무소에서 제공하는 판례정보와 Q&A 사례들을 검색하여 꾸준히 읽어보는 방법을 사용했는데 다른 분들께도 이 방법을 권장한다.

  마지막으로 인적 네트워크를 통한 자문단을 구성하는 것이 좋다. 법의 특징은 함축성과 모호성을 가지고 있다는 것이다. 특정 사례에만 맞추어 법조문을 정의하면 유사하거나 비슷한 다른 사례에 범용적으로 적용될 수 없음을 방지하기 위한 불가피한 선택이다. 이러한 특징으로 인해 어떻게 해석하느냐에 따라 때로는 A로도 때로는 B로도 해석의 결과가 달라지는 경우가 생겨나게 된다. 즉, 법을 바라보는(해석하는) 사람의 생각과 의견에 따라 달라질 수 있는 것이다.

  이 상황은 정보보안조직에도 영향을 미친다. 보안 관리자가 정보보안 법률과 관련해 경험할 수 있는 일 중 하나가 같은 법조문에 대해 보안전문가 간에도 다른 의견과 해석이 나오는 경우를 경험하는 것이다. 분명 내 생각에 A라고 판단했는데 다른 전문가는 B라고 하는 것이다. 법률의 모호성이라는 특징을 생각하면 누가 맞고 누가 틀리냐를 논하기는 어렵다. A 일수도 B 일수도 혹은 A와 B 모두일 수도 있다. 하지만 보안 관리자는 둘 중의 하나를 선택하는 결정을 해야만 하고, 이러한 경우를 대비한 대책을 구비하고 있어야 한다.

  그에 대한 방안으로 고려할 수 있는 가장 좋은 방법이 오랜 경험을 갖춘 보안 전문가들로 구성된 자신만의 자문단을 구성하는 것이다. 한두 사람의 해석에 의존해서는 어느 한쪽에 치우친 편견에 빠질 수 있으므로, 자신만의 자문단을 통한 집단지성의 판단을 참고할 수 있다면 혹 잘못된 해석으로 발생할 수 있는 위험을 상당히 감소시키는 효과를 기대할 수 있다. 더불어 다수의 전문가들 의견을 참고했다는 명분은 덤이다.