• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업보안담당자, 보안사고 어디까지 책임져야 하나? 2012.05.11

고의성 없는 한 실무자 처벌은 과도하다는 지적 많아

보안전문가 양성 및 기업 보안인력 채용에 부정적 영향 미칠 듯  


[보안뉴스 김태형] 지난해 넥슨 메이플스토리 해킹을 통한 회원 개인정보 유출사건은 개인정보보호법의 본격 시행에 따라 보안업계에 시사하는 바가 매우 크다.


특히, 최근 넥슨 대표이사가 이번 사건과 관련해 불구속 입건됐으며, 이와 함께 넥슨의 개인정보보호 책임자, 정보보안팀장이 정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 에 따라 불구속 입건된 것으로 알려졌다.


이에 대해 보안종사자 대부분은 고의성 없는 해킹사건에 대해 해당 기업의 실무담당자까지 법적 책임을 물어 처벌을 받는 것은 과도하다는 지적이 나오고 있다.


특히, 기업에서 해킹 등 보안사고가 발생했을 때 개인정보보호책임자 외에 어느 선까지 책임을 져야 하는지가 논란이 되고 있다. 보통 대기업의 경우 CISO가, 중소기업의 경우 대표이사가 개인정보보호책임자를 겸임하고 있는 경우가 대부분이기 때문에 사고 발생시 처벌대상은 임원급이 되어야 한다는 게 보안전문가들의 입장이다.


넥슨의 경우와 같이 보안사고 발생시 해당 기업의 대표를 비롯해 보안실무자까지 모두 처벌을 받게 되면 기업에서 보안을 책임지고 있는 보안담당자들은 기업의 보안담당자로 일하는 것에 대해 부정적인 영향을 미칠 수 밖에 없다는 것. 그렇게 되면 보안전문가들이 기업의 보안실무자에서 보안전문 기업으로 이직해 보안 컨설팅이나 보안 시스템 구축 등의 업무를 선호할 수 있다는 얘기다. 실제 그러한 움직임들도 나타나고 있다.  


이와 관련 보안전략연구소 박나룡 소장은 “한 기업에 보안사고가 발생했고 그 원인이 실제 보안업무와 관련해 미흡한 보안투자로 인해 기술적·관리적 조치가 제대로 이루어지지 않아 발생한 사건이라면 이에 책임이 있는 임원급에서 처벌을 받아야 할 것”이라고 말했다.


또한, 그는 “보안실무자급의 경우 고의성 유무를 판단해서 해당 실무자의 고의성이 밝혀졌을 때는 실무자들도 처벌을 받아야 한다”면서도 “넥슨 사건의 경우 아직 구체적으로 밝혀지지는 않았지만 보안실무자의 단순한 실수나 업무미숙으로 인한 것이라면 사고가 발생한 것에 대해서까지 처벌을 받는 것은 과한 측면이 있다”고 설명했다.


즉, 사고 발생만으로 법률을 엄격히 적용해 보안실무자급을 무조건 처벌한다면 보안 분야 전반에 부정적인 영향을 미친다는 것. 좋은 인재들이 보안 분야를 기피하는 상황이 발생한다는 것이 그의 견해다.


또한, SK컴즈의 강은성 상무는 “보안은 무언가를 지킨다는 것에 보람을 느낄 수 있지만 보안실무자의 입장에서 보면 양벌규정과 같은 제도는 사기를 떨어뜨릴 수 있다”며, “사고가 발생했다고 보안실무자를 무조건 처벌하기보다는 사건을 통해 이득을 취한 사람이나 관리감독을 제대로 하지 않아 발생한 사고에 대해서만 처벌을 하는 방향으로 변화되었으면 한다”고 말했다.


고의성이 없는 보안사고에 기업의 보안실무자가 법적 책임을 지는 부분과 관련해서 법률사무소 민후의 김경환 변호사는 “개인정보보호법 제73조 제1항, 제29호 등을 살펴보면 기본적으로 고의범 처벌 규정으로 되어 있지만, 관할관청이 제정한 ‘안전성 확보조치 기준 고시’의 기준이 불명확하고 구체적이지 않은 점 때문에 사실상 과실범까지 처벌할 수 있게 되어 있다”고 설명했다.


또한, 그는 “‘안전성 확보조치 기준 고시’을 세부적으로 규정하게 되면 과실범까지 처벌되는 사례가 줄어들 수 있지만 세부적인 고시 규정은 다양한 처지에 있는 기업에 부담이 될 수도 있고 빠르게 변화하는 보안기술 때문에 관할 관청에서도 부담으로 작용할 수 있다”고 덧붙였다.


이는 어느 정도의 과실범 처벌은 불가피하지만 ‘안전성 확보조치 기준 고시’를 좀 더 연구·보완함으로써 억울한 과실범이 부당하게 처벌되는 상황은 방지할 필요성이 있다는 것이다.  


또한, 법적인 책임을 어느 선까지 물어야 하는지에 대해 김 변호사는 “개인정보보호책임자, 보안담당자 등 실무자에게 의무를 부과하고 그 의무를 다하지 않았을 때 법적 책임을 묻는 것은 불가피하다. 다만 실무자가 의무를 다하지 못한 경우는 두 가지로 나누어 볼 수 있다”고 설명했다.

 

그에 따르면 CEO가 충분한 예산을 지원했음에도 불구하고 실무자가 보안을 게을리한 경우, CEO가 충분한 예산을 지원하지 않아서 실무자가 부득이 보안을 제대로 할 수 없었던 경우로 보았을 때 전자는 실무자에 대한 처벌이 주가 되어야 할 것이고, 후자는 CEO에 대해 법적 책임을 부과함으로써 부당한 상황을 차단할 수 있을 것이라는 얘기다.  


즉, 보안담당자에 대한 처벌 강화로 인해 보안담당자의 이직이 심각해지고 보안 분야 전체에 악영향을 미칠 수도 있기 때문에 이러한 세부적인 검토 과정을 통해 부당한 상황을 최소화할 수 있다는 설명이다.  


보안이라는 것은 보안담당자의 노력만으로 이루어지는 것이 결코 아니다. 결국 회사내 의사결정자의 협조와 적극적인 지원이 필요하기 때문에 제반사항을 고려해야 하는 것이다. 무조건적인 처벌이 아니라 보안담당자의 책임 소재를 면밀히 따지고, 책임 범위의 부담을 줄여 보안업무에 매진할 수 있도록 제반환경을 마련하는 일이 무엇보다 중요할 것으로 보인다.  

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>