Home > 전체기사

[주말판] CISO/CIO/CDO들을 위한 이디스커버리 간단 요약

  |  입력 : 2022-10-22 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이디스커버리는 아직 많은 IT 및 데이터 담당자들에게 있어 알듯 말듯한 개념이다. 큰 개념은 알지만 막상 실제 이 디스커버리를 진행해야 할 경우에는 갑자기 막막해지는 경우가 대부분이다. 그런 상황을 위해 몇 가지 중요한 내용을 정리해 보았다.

[보안뉴스 문정후 기자] 이디스커버리(E-discovery) 기술을 보유하고 있다는 건 법적 분쟁의 소용돌이에 휘말린 상황에서 큰 강점으로 다가온다. 법무 상담 전문 회사인 엑스테로(Exterro)의 시장 분석가 팀 롤린스(Tim Rollins)는 “이디스커버리는 ‘전자 탐지(electronic discovery)’의 준말이며, 전자적인 형태로 된 정보를 모으고 보관하고 점검하여 증거로서 활용하는 것을 말한다”고 설명한다. 

[이미지 = utoimage]


누구나 TV 법정 드라마나 영화를 어느 정도 봤을 것이다. 그렇기 때문에 누군가 당신을 향해 소송의 칼을 겨누고 들어오면 무엇을 해야 하는지 대강은 알 것이다. 특히 증거의 중요성이라는 것은 여기서 강조할 필요가 없다. “어느 조직이나 법정 분쟁에 노출될 가능성을 충분히 가지고 있습니다. 평소부터 증거가 될 만한 자료들을 확보하는 습관은 꽤나 큰 도움이 됩니다. 어디선가 고소장이 날아 오더라도 당황하지 않을 수 있습니다.”

현대에는 많은 상황이 온라인 공간 혹은 사이버 공간에서 발생한다. 그렇기 때문에 증거 확보 활동은 이디스커버리라는 기술을 통해 이뤄지는 게 대부분이다. 그러나 이디스커버리를 낯설어 하는 조직들이 생각보다 많다. 이번 글을 통해 이디스커버리에 대하 반드시 알아야 할 9가지 내용을 정리하고자 한다. 일종의 벼락치기 정도의 공부는 될 수 있을 것이다.

1. 이디스커버리, 어떤 식으로 시작되는가?
보통은 이디스커버리라는 것을 평상시부터 진행하지는 않는다. 고소장을 받았거나, 누군가 우리 회사나 조직에 소송을 걸 것이라고 예상되는 상황에서 사측 변호사나 법무팀이 시작하는 것이 이디스커버리다. 일반 직원들에게는 어느 날 갑자기 법무 책임자가 전 조직에 컴퓨터에 저장된 모든 디지털 정보를 확보하고, 절대로 삭제하지 말라고 통보하는 것부터 이디스커버리가 시작된다. 뿐만 아니라 종이 문건과 음성 녹음 파일 역시 보관 대상이 된다. 

이를 증거 보존 통지라고 하는데, 이건 제안이 아니라 명령이다. 받은 사람은 반드시 따라야 한다. 보통은 법무 팀이 통지를 받은 사람들이 어떻게 대응하고 움직이는지 면밀하게 모니터링한다. 그러면서 데이터 관리 기록과 감사 증적 등을 요구할 것이다. 이 단계에서 제대로 협조하지 않는다면 법적인 처벌을 받을 수 있다.

2. 왜, 어떻게 이디스커버리 준비를 미리 해야 하는가?
현대 사회에서 기업이 소송에 걸릴 확률은 그렇지 않을 확률보다 훨씬 높고, 점점 높아지고 있기도 하다. 이건 기업이 얼마나 사업을 윤리적으로 진행하기 위해 노력하느냐와는 무관한 일이다. 지켜야 할 것들이 너무 많고, 계속해서 많아지고 있기 때문에 아무리 꼼꼼하게 규정 준수를 해도 어디 한 군데에서는 구멍이 생길 수밖에 없다. 그래서 롤린은 다음과 같이 체크리스트를 준비했다.

1) 데이터 인벤토리를 준비해야 한다. 어떤 데이터가 조직 내에 보관되어 있고, 정확히 어느 지점에 저장되어 있으며, 어떤 기술을 활용해 관리하고, 누가 그 데이터 관리를 책임지고 있는지 확실하게 알아야 한다. 
2) 정보 거버넌스 정책들이 정확하게 시행되고 있는지 확인하고 또 확인해야 한다. 정책이 최신화 되어 있는지도 확인해야 한다. 새로운 산업 표준과 국가 규정들을 반영하도록 최신화 한다.
3) 조직에서 더 이상 사용하지 않는 데이터는 빠르게 찾아내 제거해야 한다. 
4) 관련자들에게 증거 보존 통지를 발송하거나, 혹은 스스로 받아야 할 경우가 생길 때를 대비해 관련 절차를 마련하고 도입한다. 

산업이나 회사의 규모가 큰 경우 증거 보존 통지를 종종 받게 되는데, 산업이나 회사 규모가 크다고 판단된다면 다양한 법적 조치를 취할 수 있게 해 주는 기술이나 솔루션, 전문가에 투자하는 것도 나쁘지 않다. 이런 사전 준비가 정말 이디스커버리 활동이 필요하게 될 때 큰 힘이 된다.

3. 디지털 증거를 생산하고 제출하기 전, 비용 산출은 어떻게 하는가?
레드그레이브데이터(Redgrave Data)의 CEO 몰리 니콜스(Mollie Nichols)는 “법적 공방이나 증거 제시를 위해 전자 정보를 마련해 제출한다는 건 꽤나 합리적인 일이지만, 반대로 그러한 정보를 수집하고 점검하고 관리한다는 건 비용과 노력의 측면에서 부담이 클 수 있다”고 경고한다. “여기 저기서 모았기 때문에 정보의 양이 방대할 뿐만 아니라 구조도 갖추지 않아 복잡할 때가 많기 때문이죠.” 이디스커버리 관련 비용이 예상 외로 높아질 수 있다는 것이다.

그렇기 때문에 이디스커버리에 대한 비용을 어느 정도 제어할 수 있어야 한다. “가장 확실한 제어 방법은 증거가 될 만한 정보를 빠르게 찾아서 확보하고 검토할 수 있는 기술(솔루션 등)과 노하우, 전략을 갖춘 변호사를 선임하는 것입니다. 그런 변호사들은 주로 인공지능, 데이터 분석, 이디스커버리 도구들을 보유하고 있는 로펌에 소속되어 있을 가능성이 높죠. 내부에 회사 변호사나 법무 팀이 따로 있다면 그런 도구들을 구비해서 미리미리 익혀두도록 하는 것이 좋습니다.”

하지만 기술이나 도구를 사용하느냐 마냐는 문제의 표면에 불과하다. 아무리 최첨단 이디스커버리 기술을 가지고 있어도 데이터가 엉망이면 아무 소용 없다. 정확한 데이터를 무결하고 안전하게 지키는 것이 선행되어야 한다. 데이터의 라벨링과 최신화, 동기화가 빠짐없이 일어나도록 체제를 만들어 두는 것이 필수 중 필수다. 이는 사전 준비에 해당하고, 이렇게 했을 때 이디스커버리 비용을 크게 아낄 수 있게 된다.

4. 이메일만 제출하면 끝난다고? 절대 아니다
이디스커버리가 진행될 때 전문가들과 관계자들이 요구하는 건 업무용 이메일이나 각종 업무 관련 파일들만이 아니다. 소통의 범주에 해당하는 모든 것이 요구될 수 있는데, 이는 각종 양식, 거래 관련 데이터, 관계 데이터, 각종 플랫폼 사용 현황과 이력 등까지도 포함된다. 실제 겪어보면 느끼겠지만 이디스커버리가 시작됐을 때 누구하나 편하게 지나갈 수 없다. 한 사람도 빠짐없이 골머리를 앓게 된다.

이디스커버리 플랫폼인 어웨어(Aware)의 수석 데이터 보호 책임자인 브라이언 마니온(Brian Mannion)은 “과거에는 이메일 도구들을 사용해 데이터를 모으는 것만으로도 충분했었다”고 말한다. “하지만 현대 기술들이 계속해서 늘어나고 조직들이 이를 도입하면서 문제가 복잡해졌습니다. 특히 슬랙(Slack)이나 팀즈(Teams)와 같은 협업 도구들를 활용하는 사례가 크게 늘어났죠. 소통이 늘어나니 정보량 자체가 증가하고, 각 플랫폼마다 다른 포맷의 정보를 활용하니 복잡해지기까지 했고요.”

그러다 보니 아무 의미 없는 말장난 같은 대화들도 이디스커버리가 진행되는 동안 추출해 제출해야 할 일이 많아지는 중이다. 마니온은 “사건과 별 상관이 없어 보이는 데이터까지 수집하고 정리해 제출하라는 요구가 있을 수 있는데, 이건 대부분 이디스커버리 관계자들과 법조계 사람들이 기술적 복잡성의 증가 현상을 잘 이해하고 있기 때문이지, 개인 사생활을 들추기 위해서가 아님을 알아야 한다”고 설명한다.

5. 증거를 확보한다는 건 무슨 의미인가?
소통 및 통신의 내용과 문서들을 확보해 제출하라는 건, 내용을 요약해서 정리해두라는 뜻이 아니다. “원본 메시지가 제출되어야 합니다. 심지어 삭제하고 편집하기 전의 데이터들도 다 같이 내야 하죠. 이메일을 제출한다면 해당 메일에 어떤 파일이 첨부되었고, 어떤 이미지가 붙어 있었으며, 상대방과 어떤 말을 주고받았는지까지 다 동반되어야 합니다. 그러면서도 입사한 이후 수년 동안 주고받은 모든 메일을 다 제출하지는 않아야 하죠. 사건과 관련된 원본 메시지를 골라낼 수 있어야 합니다. 제출하라는 명령을 받고 그걸 이행한다는 건 사실 대단히 높은 기술력을 요합니다.” 마니온의 설명이다.

또 한 가지, 사건과 관련된 정보를 빨리 찾아냈다면, 그 정보의 맥락이 될 만한 정보들까지도 수집할 수 있어야 한다. SNS로 나눈 대화를 제출해야 한다면, 그 대화와 관련된 주변 정보들까지도 중요한 단서가 될 수 있기 때문이다. “대화에 참여한 사람이 누구였는지, 어떤 채널이나 소통 플랫폼에서 대화가 이뤄졌는지, 어떤 문서나 파일이 교환됐는지 등 여러 정보가 관여되어 있을 겁니다. 그리고 중요한 대화의 앞뒤에 어떤 내용의 이야기를 나눴는지도 중요하죠. 맥락을 무시하고 특정 단어나 문장만 빼서 추출하는 건 매우 위험합니다.”

6. 고급 검색 도구의 중요성
SEO와 키워드 검색은 꽤나 유용한 검색 기술이지만, 이디스커버리와 같은 임무를 수행할 때에는 한없이 부족하다. 이디스커버리 전문가 다니엘 골드(Daniel Gold)는 “검토해야 할 문서와 정보의 분량이 방대하다는 말로도 부족할 정도이기 때문에 검색을 잘 하는 것이 그 어느 때보다 중요하다”고 강조한다. “키워드로 검색하는 것 외에도 많은 검색 기술이 존재하는데, 사람들이 그걸 잘 모르죠. 미리 그런 기술들을 알아보고 갖춘다면 큰 도움이 될 겁니다.”

다급한 상황에서 뭔가를 허둥지둥 찾다보면 키워드 검색을 통해 얻어낼 수 있는 게 거의 없다고 골드는 경고한다. “괜찮은 검색 기술을 활용하면 키워드 검색을 통해서는 절대 찾아낼 수 없었던 것도 비교적 간단히 발견됩니다. 하지만 여기에도 한 가지 기억해야 할 게 있습니다. 문서들이 평소에도 올바로 관리되어 있어야 한다는 겁니다. 분류와 항목화, 권한 설정, 마킹, 라벨링 등을 미루고 파일 이름만 붙인다면 나중에 찾아낼 수가 없어요. 평소에 정보를 분류만 잘 해도 많은 시간을 벌 수 있습니다.”

7. 이디스커버리 전문 팀을 고용해야 하는 이유는?
여태까지는 이디스커버리를 직접 수행해야 할 때 도움이 될 만한 항목들을 열거했다. 하지만 그게 말처럼 쉽다면 이디스커버리라는 산업이 존재하지 않았을 것이다. 이디스커버리 전문 업체 헤이스택아이디(HaystackID)의 글로벌 프라이버시 및 포렌식, 데이터 보호 책임자 크리스 월(Chris Wall)은 이디스커버리 전문 업체에 의뢰해 일을 맡겼을 때 보통 다음과 같은 서비스를 받을 수 있다고 한다.

1) 전자 데이터의 수집과 확보
2) 데이터 처리(수집된 데이터를 특정 항목으로 분류하고 걸러내는 일)
3) 사법기관이나 변호사들이 접근할 수 있도록 처리된 데이터를 호스팅
4) 인공지능 등 다양한 최신 기술들을 통한 데이터 분석
5) 제출해야 되는 데이터인지 아닌지, 어떤 법적 보호를 받을 수 있는지 점검
6) 적절한 제3자에게 데이터 제출 및 법정에서 활용

8. 이디스커버리, 어떻게 마무리 되나?
어찌 저찌 이디스커버리 절차가 완료됐다고 하더라도 아직 할 일이 남아 있다. 제출의 과정이 진행되면서 생산한 문서와 정보들을 정리, 보관, 폐기하는 것이다. 상황에 따라서 여기에는 여러 가지 제약이나 약속된 규정이 있을 수 있다. 심지어 정보 전송의 방법마저도 규정에 따라 정해질 수도 있다. “그래서 안심을 미리 하면 안 됩니다. 마무리 단계에서 뭔가를 어길 수도 있거든요. 실제로 그런 사례들이 없지 않습니다.” 골드의 설명이다. 

“이디스커버리도 결국은 정보를 분석하고 정리해 안전하게 어디론가 넘기는 행위를 말합니다. 정보를 모으고, 정리하고, 넘기고, 폐기하는 모든 과정에 규정들이 존재하는 게 보통입니다. 끝까지 정신을 차려야 하고, 어느 과정 하나 소홀히 해서는 안 됩니다.”

글 : 팜 베이커(Pam Baker), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)