brunch

브런치북 보안쟁이의 넋두리 03화

라이킷 6 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by 임홍철의 Insight 있는 삶 Dec 01. 2020

[넋두리] 3. 타산지석, 사고에서 배운다

S사 개인정보 유출사고의 교훈

그때 당시로서는 보안업계 담당자에게 조차 다소 낯설었던 용어인 APT 공격으로 3500만 명이라는 대규모 고객정보가 유출되었던 2011년 S사 침해사고. 포털 서비스 업계에서 지금의 K사와 당당히 2위 자리를 겨루며 승승장구하고 있던 회사와 직원들에게까지 큰 상처를 안기며 장기간 진행되었던 사고 관련 소송이 2018년 7월 12일 마무리되었다. 대법원 1부에서 행해진 최종 3차 판결에서 S사가 승소하면서 기업의 생사까지 좌우했던 국민적 사건의 진행이 일단락된 것이다.

사고의 여파는 컸다. 한참 성장하고 있던 기업의 성장세가 둔화되고, 대규모 고객의 이탈로 매출 규모 역시 가파르게 감소했으며, 진행하던 그리고 계획했던 많은 사업들이 중지되거나 취소되는 불운을 겪어야 했다. 수많은 민사소송이 진행 중이었으므로 만약 패소했다면 그 후유증으로 엄청난 추가 배상금액 부담까지 각오해야 했던 사고. 기업의 운명이 걸린 사고에서 S사가 최종 승소할 수 있었던 이유는 무엇일까? 그 승소의 배경에는 항시 해킹의 위험에 노출되어 있는 기업들이 반면교사로 삼아 명심해야 할 두 가지 중요한 조건이 포함되어 있다.

첫째, S사는 법에서 요구하는 보안 요구사항을 충실히 이행하고 있었다. 소송 전 과정에 걸쳐 S사는 초지일관 보안 관련 법 규정 요구사항을 지켜왔음을 주장했고, 그 증거자료들을 제시함으로써 자신들의 노력을 증명하려고 노력했다.

(개인)정보보안과 관련되어 우리나라의 법들은 기업이나 기관이 지켜야 할 요구사항을 상당히 구체적으로 명시하고 있다. 이는 다시 말해 해당 요구사항들을 충실히 만족하는 경우 법을 잘 지키는 모범적 활동을 하고 있다는 반증이 됨을 뜻하며, 사고 발생 시 법적인 책임은 피해 갈 수 있는 방어막 역할을 하게 됨을 의미한다.

이렇듯 법에서 요구하는 기준을 전문용어로 “선관주의 의무(선량한 관리자의 주의 의무)”라고 표현한다. 즉, 기업이 선관주의 의무를 충실히 수행한다는 것은 각종 침해사고에 대비한 최소한의 필수요건인 셈이다.

둘째, 사고 당시 S사는 동종업계보다 앞서는 보안 수준을 갖추고 있었다. 보안 분야의 전문 솔루션 도입부터 보안조직의 정보보호활동까지 당시 동종업계 및 타 기업들에 비해 오히려 앞서는 수준의 투자가 이루어지고 있었기 때문이다.

여기서 주목할 점은 판결을 담당하는 법관들은 IT 및 보안의 전문가가 아니라는 것이다. 따라서 보안 침해사고의 경우 스스로 가진 지식을 통해 판결하기보다 여러 경로에서 수집한 자료와 의견을 참고하여 판결하게 된다. 관련 분야 전문가의 의견을 수렴하거나 유사한 사업을 수행하는 동종업계 기업들의 정보보호 현황 등을 판결에 참고하게 되는 것이다.

이러한 기준이 법에 구체적으로 명시되어 있지 않다고 하더라도, 동종업계 기업들이 대부분 만족하는 조건(특정 보안제품의 도입이나 주기적 점검 활동 등)에 미달하는 부분이 확인된다면, 보안에 취약하거나 정보보안 활동이 미흡하다고 판단할 수 있다. 만약 미달되는 경우가 확인된다면 판결에 불리한 요소로 작용할 수 있다. 따라서 항상 동종업계의 보안현황을 잘 관찰하는 것이 필요하다. 타 기업들보다 앞서 나가지는 못해도 최소한 뒤처지지 않도록 노력하는 것이 침해사고에 대비한 최소한의 필수요건 중 하나이다.

이 두 가지 조건을 충분히 만족하고 있다면 해킹으로 대규모 개인정보 유출이라는 최악의 상황에 직면하더라도 기업을 방어하기 위한 한 가지 구명줄은 확보하고 있다고 볼 수 있다. 이 구명줄은 사고와 관련된 각종 행정소송과 민사소송에 활용할 수 있다.

그러나 많은 기업들은 보안과 관련된 법 요구사항이 너무 많고 까다롭다고 한 목소리를 내면서 경기가 조금만 나빠져도 먼저 보안예산을 줄이고 보안인력을 줄이기를 주저하지 않는다. 보안을 기업경영의 필수 요건으로 보지 않고 선택 요건으로 보고 있기 때문이다.

하지만 그 법을 지키는 것이 예기치 못한 급박한 상황에서 기업의 구명줄이 될 수도 있음을 고려하면 기업들의 원성이 엄살로 느껴지는 것은 왜일까? 혹시 기업들은 자신에게는 고객정보 유출과 같은 대형 IT침해사고가 발생하지 않을 것이라는 자신감이 있는 것일까?

IT침해사고는 일어날 수도 있고 일어나지 않을 수도 있다. 하지만 잊어서는 안 될 것이 있다. 같은 사고가 발생하더라도 그에 따른 결과가 모든 기업에게 같지는 않을 것이라는 것을. 그것이 준비된 자와 준비되지 않은 자의 차이다.

keyword

Brunch Book

보안쟁이의 넋두리

보안쟁이의 넋두리 임홍철의 Insight 있는 삶

brunch book

전체 목차 보기 (총 18화)

임홍철의 Insight 있는 삶 IT 분야 크리에이터 소속 정보보안 직업 강연자

IT와 보안전문가. IT업무를 평생의 생업으로 삼고 살아가고 있습니다. IT 기술로 만드는 사람의, 사람에 의한, 사람을 위한 세상을 실현하고자 합니다.

구독자 114

이전 02화 [넋두리] 2. 위기엔 대도무문(大道無問) 하라 [넋두리] 4. 진주 목걸이를 한 돼지 다음 04화

brunch book

$magazine.title

현재 글은 이 브런치북에
소속되어 있습니다.

작품 선택

키워드 선택 0 / 3 0

댓글여부

댓글 쓰기 허용 afliean

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari