Home > 전체기사

보안 사고 대처의 새로운 트렌드, “법 전문가부터 찾아라!”

  |  입력 : 2022-01-11 16:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안 사고가 터져서 중요한 데이터가 해커의 손에 넘어갔을 때, 기업들은 전화기를 들고 보안 업체에 연락하지 않는다. 이제는 로펌이나, 평소 친한 변호사들에게 먼저 도움을 요청한다. 정말 무서운 건 해커가 아니라 벌금과 고객들이기 때문이다.

[보안뉴스 문가용 기자] 데이터 침해 사고에 대처하는 기업들의 방식이 조금씩 바뀌는 중이다. 사건 대응 팀 혹은 보안 전문 기업들에 먼저 전화를 하는 게 아니라 외부 법률 자문이나 변호사에게 먼저 연락을 하는 경우가 늘어나고 있다고 한다. 이 때문에 법적인 대응에는 조금 더 빨라지지만, 기술적 대응에는 한 발 늦는 불상사가 생겨나고 있다. 법적 테두리 안에서 보안 침해 사고 조사가 이뤄지는 기업이 늘어나는 것이 최근 눈에 띄는 흐름이다.

[이미지 = utoimage]


한 때 보안 사고 피해 기업들의 사랑을 받던 보험사들도 최근 들어 비슷한 소리를 하기 시작했다. 기업들이 데이터 침해 사고가 발생하면 외부 변호사들에게 일 처리를 맡기기 시작했다는 것이다. 터프츠대학교의 사이버 보안 정책 부교수인 조세핀 울프(Josephine Wolff)는 “기술 자문을 구하는 경우보다 법적 자문을 요청하는 기업들이 빠르게 늘고 있고, 때문에 이런 현상을 다른 동료 전문가들고 함께 조사했다”고 말한다.

“최근 보안 사고는 대부분 정보 유출을 동반하고 있죠. 그것도 개인정보가 대다수 엮여 있습니다. 그러다 보니 기업들이 집단 소송에 걸리는 경우가 많아졌습니다. 해킹을 당하고서 발생하는 피해의 상당 부분이 법적인 비용과 벌금에서 나오는 형국이니, 기업들이 법적인 부분부터 검토를 할 수밖에 없습니다. 누군가는 법적으로 회피할 방법을 모색한다고 볼 수도 있지만, 소송이 걸릴 걸 알고 미리 대비하는 것을 좋지 않다고만 볼 수는 없습니다.”

결국 보안 유출 사고에 적응하는 기업들의 방식에 변화가 있다는 건, 사이버 보안 사고에 대한 사회적 대응 체계가 변하고 있다는 것과 같은 뜻이다. 지금은 ‘기술적으로 100% 막을 수 없으니’ 기업들에 법적 책임을 묻는 시대라고 볼 수 있다. 그리고 한 때 각광 받았던 보험 상품들로는 이 ‘법적 책임’이라는 리스크를 온전히 해소할 수가 없다는 게 기업들의 현재 결론이라고 보인다.

그렇다고 사이버 보험 시장이 죽어간다는 건 아니다. 오히려 이쪽 분야도 성장세를 이어가고 있다. 다만 지난 해 사이버 보험 상품의 가격이 일제히 오르다시피 했기 때문에 기업들 입장에서는 한 번 더 생각하게 된 것으로 보인다. 눈에 띄는 건 ‘악성 침해’와 ‘의도치 않은 실수로 인한 노출’이라는 항목이다. 보험 시장 분석 업체인 어드바이즌(Advisen)에 의하면 이 두 가지 유형에 속하는 보험금 청구 사례가 지난 해 각각 18%씩 늘어났다고 한다. 랜섬웨어로 인한 청구 사례는 전년도 대비 150%나 증가했고 말이다. 보험사가 가격을 올릴 수밖에 없는 상황인 것이다.

어드바이즌의 부회장인 짐 블린(Jim Blinn)에 의하면 “랜섬웨어 공격이 너무 거세서 보험 업계가 가격을 올리면서 규정을 보다 빡빡하게 바꿀 수밖에 없었다”고 한다. “보험사의 입장에서 지난 해를 보면 날마다 사고가 터지고 길거리가 피로 낭자한 것과 같습니다. 생명 보험에 가입한 고객들이 한꺼번에 다 사망한 것과 같달까요. 보험은 ‘나쁜 일이 한꺼번에 일어나지 않을 것’이라는 전제 하에 형성된 산업이에요. 그런데 그 전제가 랜섬웨어로 부정된 것이죠. 보험사도 작년 한 해 적잖은 손해를 봤습니다.”

법적 자문을 먼저 구하고, 보험 상품에 대한 의존도가 떨어지고 있다는 이 두 가지 흐름은 결국 기업들이(피해자 기업이나 보험사나 마찬가지로) 사이버 공격에 의한 충격을 굉장히 걱정하고 있다는 걸 뜻한다. 사이버 보안 회사인 크라우드스트라이크(CrowdStrike)의 경우 최근 보고서를 통해 “보안 회사들의 ‘사건 대응 요청’ 절반(49%)이 법률 회사들로부터 들어온다”고 증언하기도 했다.

그러나 이런 현상에는 큰 단점이 하나 있다. 기업이 집단 소송에 대하여는 든든하게 대비할 수 있지만, 침해 사건과 관련된 데이터를 모으는 데에 장애가 생겨버린다는 것이다. 법률 자문을 고용함으로써 법적 가림막이 하나 생겨버리는데, 이는 기술적으로 사고를 조사하고 범인을 추적해야 하는 입장에서는 갑자기 필요한 데이터를 원활히 구할 수 없게 하는 장벽이 하나 나타나는 것과 같다.

울프는 “외부 로펌이 조사를 맡게 되면 공격자의 페이로드나, 그 페이로드가 있을 것으로 의심되는 파일 혹은 시스템을 제3자(보안 업체)에 넘길 수 없게 되는 경우가 많다”고 지적한다. “왜냐하면 로펌은 소송과 관련하여 사건을 바라보기 때문입니다. 소송에서 자신이 변호를 맡은 고객사가 불리할 것으로 보인다면, 그러한 시스템을 연구와 분석 자료로서 넘길 수 없죠. 오히려 숨기면 숨겼지. 그러니 기술적 분석이 원활치 않게 됩니다.”

울프는 “보안 업계의 존재가치는 사건이 터졌을 때 경위를 파악함으로써 다음에 비슷한 사고를 겪지 않게 하고, 그래서 산업 전체 혹은 공동체 전체를 보다 안전하게 만드는 것”이라며 “특정 개인이나 회사 하나를 보호하기 위한 법률 전문가들이 사건을 맡았을 때 충돌할 수밖에 없게 된다”고 말한다. 그러면서 “기업들이 자꾸만 변호사들을 먼저 선택하면 보안 업계가 본연의 가치를 추구할 수 없게 된다”고 주장하기도 했다.

그러나 이걸 기업들 탓으로 몰아가는 건 아니다. 사건 파악과 보고 등의 행정적 처리는 갈수록 복잡해지고, 벌금도 점점 높아지고 있어, 법률 전문가를 고용할 수밖에 없는 게 기업들의 입장인 것은 사실이니까 말이다. 게다가 GDPR과 CCPA 등과 같이 복잡하고 광범위한 규정이 새로 생겼고, 앞으로 여러 나라에서 비슷한 규정들이 생길 것이며, 따라서 이런 모든 규정들을 위반하지 않고 사업을 하려는 사람들의 입장에서 법률 전문가는 매우 귀중한 존재다. 이는 자연스러운 흐름일 수밖에 없다.

블린 역시 “기업들이 법률 자문에 더 의존하게 되는 것에는 이유가 있다”고 말한다. “기술적으로만 대처하다가 갑자기 소송에 걸리면 그 손해를 누가 알아서 최소화 해 주는 게 아니죠. 스스로를 지키기 위해서는, 갈수록 복잡해지고 엄격해지는 법에 대해 잘 아는 누군가의 도움을 필요로 할 수밖에 없습니다.”

울프는 “당분간 보안 업계가 이런 상황을 잘 인지한 상태에서 기술적 조사를 이뤄가야 할 것”이라고 권고한다. “아직 정답은 없습니다. 또한 기업들이 얼마나 더 법률 전문가에 의존하게 될지도 예측할 수 없고요. 지금으로서 예측이 가능한 건, 보안 전문가들이 앞으로 사건을 조사하려면 점점 더 많은 법적인 관문을 통과해야 할 것이라는 겁니다. 이에 대한 대책을 학계와 업계가 마련하는 것도 중요한 과제입니다.”

3줄 요약
1. 보안 사고 후, 기업들은 법률 전문가들에게 도움을 청하고 있음.
2. 사이버 보안 업체와 보험 업체는 조금씩 후순위로 밀려나는 중.
3. 앞으로 보안 사고 조사 시, 변호사들의 지휘 아래 하게 되는 경우가 많아질 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)