전면 공개

해킹 공격을 당한 뒤에 기업이 감당해야 하는 책임 예측하기

Brian Krebs
19 February 2014

해킹을 당했다. 시스템은 정상으로 복구되었다 하더라도 진짜 문제는 지금부터이다. 주식 상장 기업이라면 법적 책임은 무엇인가? 전면 공개의 필요성과 생존의 필요성 사이에서 어떻게 균형을 잡을 것인가? 가장 어려운 결정을 내리기 위해서는 이에 대한 철저한 준비가 필요하다.

귀하의 회사가 해킹 당했다면 이제부 터 나쁜 소식들이 쏟아져 들어올 것이다. 기업 명성에 먹칠 할 위험 을 무릅쓰고 주주, 고객, 그리고 규제감독기 관에게 이 사실을 알려야 할 법적 책임을 져 야 할지도 모른다. 감추기에 급급하다 보면 더 많은 비용을 떠안아야 할 수 도 있다.

예를 들면, 미국의 경우 주식이 거래되는 기 업은 중대한 위반 사항이 있으면 반드시 미 국 증권거래위원회에 보고해야 한다. 유럽 연합이 새로 도입한 데이터 침해 통지 규제 에는 통신업체와 인터넷 서비스 제공업체가 데이터 침해를 발견하고 24시간 안에 규제 당국에 해당 내용을 보고하도록 되어 있다. 만일 고객의 개인 정보가 유출되었다면 정 보가 유출된 고객에게는 "지체 없이" 알려야 한다. 일본은 침해 사실을 보고하지 않은 기 업에게 무거운 벌금을 물리고 있다. 남미의 브라질은 모든 고객 정보를 국경 안에 보관 하도록 하는 데이터 침해 통지법 도입을 고 려하고 있다.

세계적으로 관련 법률이 엄 격해지는 추세

런던의 출판사인 피어슨(Pearson, PLC)의 55 COMPASS #1 – 2014 보안 책임자 베키 핀커드(Becky Pinkard)의 말에 따르면, 유럽연합의 옵서버 대부분은 규제 당국이 유럽 역내 전역에 적용되는 데 이터 침해 통지 규제법을 만들려는 움직임 을 보이고 있다고 생각한다. 또한 유럽연합 은 네트워크 및 정보 보안(NIS) 지시 문서라 고 하는 한층 포괄적인 규제 틀을 제안한 상 태다. 베키 핀커드는 NIS가 기업측 위원과 민간 위원으로 구성된 다양한 집단을 구성 해 의안 채택을 추진하고 있다고 말했다.

"규제 감사를 받는 유럽연합 내 모든 기업들 은 데이터 침해 통지 규제의 적용을 받을 것 이고, 준수 위반 시에는 벌금을 받을 가능성 이 많습니다. 다른 정보 보안 전문가들과 이 야기를 나눠 본 바에 의하면, 규제 적용을 받지 않는 기업은 데이터 보안 침해에 대한 보고 의무가 없습니다."

도쿄에 위치한 보안 필터 애플리케이션 제 조사 KLJ테크의 CEO 헨드릭 아드리언 (Hendrik Adrian)은 일본은 이미 엄격한 데 이터 침해 공개법을 도입해 위반 기업에게 무거운 벌금을 물리고 있다고 말했다. "여기 에 불만이 있는 개인이나 기업들은 이 문제 를 정부에 보고하고 소송을 제기할 수 있습 니다. 침해 사실을 제대로 보고한 경우에는 실제로 소송에서 100% 이깁니다. 해커는 최 대 3년 형과 10,000달러의 벌금을 물지만 침 해 당한 피해자는 원하는 액수의 피해 보상 을 요구할 수 있습니다.

“수많은 기업들이 매일 침해를 당하고 있지만, 단지 일반 대중의 부정적인 인식을 피하기 위해 해당 사실을 공개하지 않고 있습니다.”

케빈 로렌스
STACH & LIU의 선임 보안 책임자

비즈니스 자문 기업 알바레즈 앤 마살 (Alvarez & Marsal)의 브라실 지점 사이버보 안 책임자인 윌리엄 비어(William Beer)는 남미 국가 중에서는 브라질이 데이터 침해 통지법 도입을 위한 준비 작업에 착수한 것 으로 보인다고 말했다.

"이러한 계획에 큰 관심이 모아지고 있는데, 데이터 침해 통지 자체뿐만 아니라 브라질 내에서 사업 활동을 하는 기업들은 브라질 국민과 관련된 정보를 오직 브라질 내에서 만 보관해야 한다고 규정하고 있기 때문입 니다. 법안 통과 가능성이 많아 보이기는 하 지만 실제 시행에 들어갈 것인지 여부는 지 켜봐야 할 것입니다."

여론 법정

미국과 유럽에 사무실을 두고 있는 글로벌 보안 서비스 제공업체 아이오액티브의 관리 컨설턴트 윔 렘스(Wim Remes)는 침해 사실 을 숨기는 기업들은 법적 파문에 시달릴 수 있을 뿐만 아니라 여론 또한 차갑게 돌아설 수 있다고 말했다. "뻔한 내용의 해명서나 입 맛에 맞게 조작한 방송을 보고 이런 기업을 그대로 용서해 줄 사람은 어디에도 없을 것 입니다."

미국 애리조나주 피닉스에 본사를 두고 있 는 보안 컨설팅 기업 스태치 앤 류의 선임 보안 책임자인 케빈 로렌스(Kevin Lawrence)는 침해 사실을 보고하는 기업은 여전히 드물다고 지적했다. "기업이 통지 의 무를 지키지 않는 이유를 논리적으로 설명 할 수 있는 방법이 있기 마련입니다. 수많은 기업들이 매일 침해를 당하고 있지만, 단지 일반 대중의 부정적인 인식을 피하기 위해 해당 사실을 공개하지 않고 있습니다.

2013년 2월, 미국 보안업체 비트9(Bit9)는 자 사의 안티 바이러스 소프트웨어를 사용하는 고객의 컴퓨터를 노린 다단계 공격으로 네 트워크가 침해를 당했다는 사실을 공개했다. 비트9는 즉시 침해에 대한 법적 조치를 취 했고 외부 감식 팀을 고용해 조사에 나섰다. 비트9는 고객에게 이 사실을 알리기로 했다.

그렇게 해야 할 의무도 있었지만 장기적인 측면에서 기업을 보호하기 위한 목적도 있 었다.

“해당 내용을 고객 및 대중과 함께 공유하고 전면 공개함으로써 누릴 수 있는 이점이 침해 사실에 대한 부정적인 반응보다 훨씬 더 많을 것입니다.”

해리 스버들러브
비트9의 CTO

비트9의 CTO 해리 스버들러브(Harry Sverdlove)는 "법적 측면에서 보면 매우 중 요한 결정"이라고 말했다. 왜냐하면 어떤 조 사 결과가 나올지 알지 못하기 때문입니다. 만일 내부자가 있다는 결론이 나거나 또는 소송 상황에 처하게 되면, 외부 조사관을 고 용했다는 사실은 법적으로 중요하게 다뤄질 것입니다. 이 사람들이 알아낸 내용들에 대 한 반박이 한층 어려워지기 때문입니다. 특 히 외부 조사팀이 모든 규정을 준수한 경우 에는 더욱 그렇습니다."

해리 스버들러브는 기업들에게 침해 사실 공개로 인한 잠재적인 위험에만 주목하지 말라고 조언한다. "해당 내용을 고객 및 대중 과 함께 공유하고 전면 공개함으로써 나타 나는 이점이 침해 사실에 대한 부정적인 반 응보다 훨씬 더 많다는 것을 알려드리고 싶 습니다." ◆

Related resources