윤리적 측면에서 SOX는 정당한가 … 악용되는 SOX 법안 폐기 논란

시행 후 3년이난 지난 SOX라 명명된 사베인즈-옥슬리법안(Sarbanes-Oxley)이 여전히 도마 위에 오르고 있다. 이제는 SOX의 유효성과 관련해서 이 법을 그들의 정보보안 프로젝트를 정당화하는데 사용해 온 이들이 대답해야 할 것이다. 

사베인즈-옥슬리법안(Sarbanes-Oxley)의 유효성에 대해 말이 많다. SOX라 명명되는 사베인즈 옥슬리 법안은 미국 회계부정 사건의 하나인 엔론 사태를 계기로 제정된 회계 보고서와 관련된 내부 감사 및 절차의 유효성을 문서화하여 증명하는것을 요구하는 법안으로 일명 기업 개혁법으로 불리는데, “과연 이 SOX가 윤리적인데 도움이 되는가”라는 문제로 시끄러운 것.

필자는 이 질문을 생각하며 예전에 들었던 대학의 철학 강좌를 회상해 보았다. 그결과 아마도 이 질문의 보다 더 현재적인 재구성은 “이것이 SOX 순응에 도움이 되는가”라는 생각이 들었다. 이에 대한 대답은 단지 윤리적 고려에만 의존하는 것이 아니라 정치적, 경제적 요인에도 해답의 열쇠가 달려 있다는 얘기다.

만약 사베인즈-옥슬리 법안의 유일한 목적이 사태의 장본인인 엔론, 타이코, 월드컴 등의 해당 업체들을 방해하는 것이라면, IT에 대해 질문 되는 모든 것들이 시간 낭비가 될 것이다. 그럼 SOX가 단순히 의회 의원들의 재선을 확실히 하기 위해 디자인된 정치적 고려라면, 그것은 더더욱 명백한 IT예산의 낭비이다. 반면 SOX의 목적이 회계 감사 업체들의 수입을 늘리기 위한 것이라면, 이것은 완전한 성공이다.

자본주의의 지난 몇 세기는 독립적으로 확인된 투명성과 지배력의 정도가 투자자와 다른 주주들에게 이익이 됨을 보여주었다. 비록 국가의 입법과 법 시행이 혼란스럽고 애매한 도구일지라도, 투명성과 지배력의 양해된 수준을 보증함에 있어 다른 매커니즘이 없는 듯하다.

대부분의 법들은 정치가들이 아무리 그것이 정교한 체 하더라도 실제로는 실험의 일종이다. 사람들이 다른 사람들의 희생으로 그들 자신을 부유하게 만들지 못하게 하는데 이런 무딘 도구를 사용함으로써, 이것이 유용한 효과를 나타내어 결점을 메우게 하는데 수년의 시간이 걸리게 된다. 이러한 지점에서 정보보안 전문가들은 SOX를 도움보다는 고민거리로 바라보고 있다.

시행 후 3년이 지났지만, SOX는 투기꾼들의 복지 프로그램으로 남아있다. 회계감사 기업들은 극단적인 조치를 요구해 SOX에 순응함을 표현하도록 재정적인 동기를 부여하였고, 현재의 상황들은 그들이 그렇게 하는 것을 가능하게 하고 있다.

그들은 쇠가 달구어졌을 때 치고 있다. 이것은 또 다른 엔론을 막기 위해 고안된 입법이 엔론이 다시 발생하도록 허락하고, 격려하기 조차 하고 있는 듯 보인다. 이러한 면은 전문가들에게 가장 직접적으로 이득을 주고 있다는 점을 생각해 볼 때 진정으로 아이러니하지 않을 수 없다.

회계감사는 게임이다. 전문가들은 말이 되든 안되든 거리를 찾아야 하는 불문율이 있다. 법인들은 종종 그 게임에 대해 그들의 열정을 보이기 위해 같이 게임을 한다.

이 작은 정치적 편법수단이 정보 보안 기구의 중심에 구식으로 자리잡고 있다.

일례로 패스워드 에이징과 같은 것이다. 패스워드 에이징이란 패스워드에 시간 개념을 도입하는 것으로 사용자가 현재 사용중인 패스워드를 사용할 수 있는 기간과 패스워드를 바꾸지 못하는 날짜 등을 추가해 사용자에게 패스워드를 강제적으로 바꾸도록 종용하는 것이다.

하지만 이런 성향은 시스템 보안을 강화하고 유지하는 데는 적합하지 않다. 이는 사용자들의 암호가 여러 방법으로 유출될 가능성이 상당히 높아서다. 특히 네트워크로 로그인해서 사용하는 경우 패스워드가 유출될 가능성이 더욱 높아진다.

이같은 패스워드 에이징은 비즈니스 실패를 방지하는데 거의 도움이 안됨에도 불구하고 정보 보안 분야에 있어 실제 경험이 없는 비숙련 회계감사관에게 어필하는 아주 단순한 방법이 되고 있다.

재무제표를 만드는 시스템에의 액세스를 컨트롤하는 것이 투명하고 문서화된 재무 보고 시스템에 관계된다는 것은 명백하다. 그러나 얼마나 많은 비즈니스 실패가 대규모 ERP 시스템 해킹 때문에 발생할 수 있는가?

SOX 제정 뒤에 논란을 빚고 있는 이같은 견해가 반드시 옳지도 그르지도 않다. 그럼에도 불구하고 문제를 제기하는 것은 컨설턴트와 소프트웨어에 수백만 달러를 쓰고 난 후에도 그 투자가 어떤 가치가 있는지에 대한 정확한 근거를 거의 가지고 있지 않다는 것이다. 만약 SOX가 비즈니스의 안정성에 있어서 명백한 증가를 보여주지 않는다면, 발상 자체가 좋지 않았던 것으로 볼 수 있기에 폐기되어야 마땅하다.

SOX에 대한 반발이 이미 시작되었다. 하지만 이러한 문제제기가 어느 정도의 코스 수정을 가져올지는 아직 예견하기에 이른감이 있다. 아직은 SOX의 발단이 왜 어떻게 진행되게 되었는지 그 진상에 대해 더 꼼꼼하게 조사되어야 한다는 말이다.

매우 많은 정보보안 프로젝트들이 의심의 여지를 남겨두고도 SOX를 위해 필수적인 것으로 정당화되었고, 그들 중 일부는 예산을 따오기 위한 냉소적 의도를 드러냈음이 SOX에 대한 보다 면밀한 조사가 이뤄지면 드러날 것이다.

<글: 제이 헤이서(Jay G. Heiser) 가트너 리서치 부사장 겸 수석 연구>  

 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>