보안은 “사건이 터지면 어떤 법적 절차를 밟나?” 조사하고
법은 “사건이 터지면 어떤 기술적인 조치가 취해지나?” 조사하고

[보안뉴스 문가용] 변호사와 보안 전문가의 공통점은 어딜 봐도 위험요소들만 보인다는 것이다. 변호사로 사회생활을 시작해 점차 정보보안으로 옮겨온, 특이하다면 특이한 경력을 가진 필자는 이 두 전문 분야가 점점 더 서로를 보완하는 쪽으로 흘러가는 움직임에 민감한데, 요즘 들어 이런 움직임이 늘어나고 있어 팁도 제공할 겸 글을 쓰게 되었다.


사실 정보보안과 법은 우리 삶에 만연한 것들이다. 만연하다보니 둘이 격렬한 충돌을 일으킬 때가 종종 있는데 요즘은 점점 서로를 보완하는 쪽으로 맞춰져가는 분위기이다. 그래서 소위 말하는 윈윈 효과가 자주 목격되곤 한다. 법과 정보보안 모두에 몸담아본 경험자로서, ‘원래 이랬어야 했어’라는 생각이 절로 든다.

법과 정보보안은 주로 사고가 터졌을 때 법정에서 만나는 게 보통이다. 해킹을 당해 고객과 직원 정보를 다수 노출시킬 수밖에 없었던 회사가 곧이어 각종 소송에 휘말리는 경우를 우린 너무나 많이 봐왔다. 게다가 이런 건들이 늘어나니 법조계에서도 IT 문제를 법리적으로 해석하는 문제를 두고 심각하게 고민을 하기 시작했다. 미리미리 자신들의 행동 범위를 파악하려는 보안 전문가들 사이에서도 법을 알아야 한다는 말이 오가고 있다. 싸우다보니 서로가 필요하게 된 걸 깨달은 기묘한 상황이랄까.

그러나 어디서부터 시작을 해야 할까? 법을 공부하던 사람과 정보보안에 매진한 사람이 만나는 건 어느 지점에서 가능해질까? 개인적으로 ‘방어력을 갖추는 데’에서부터라고 생각한다. 정보보안 종사자가 ‘방어력을 갖추는’ 태도로 법을 알아간다는 건 보안 사고가 발생했을 때 수사기관이나 사법부가 하는 합법적인 수사절차를 미리 파악해두는 걸 의미한다. 또한 그들이 원하는 게 무엇인지 미리 알아두는 것이다. 반대로 법조계 종사자가 정보보안에 대해 알아간다는 건 사고 발생시 정보보안 전문가들이 사건을 파악하기 위해 기술적으로 하는 일들에 대해 익혀가는 것이다.

아마 이런 의문이 들 수도 있다. “아예 일이 터지고 만나지 왜?” 솔직해지자. ‘사건이 터질 것을 상정하고’ 만나는 것이 부정적으로 보일 수도 있지만, 대부분의 사람들은 시험 직전에 벼락치기를 하고 마감 직전에 문장이 떠오르고 소를 잃어봐야 외양간 고칠 생각을 한다. 그러니 최대한 우리가 움직일 수 있는 여건을 상상해보고, 그에 맞춰 움직이자는 의도도 있다. 게다가 실제로 사건이 발생한다면 미리 법적인 대비책을 준비해놓았으므로 패닉에 빠지지 않게 된다는 장점도 있다.

한 가지 팁을 주자면, 정보보안 담당자들이 주목해야 할 건 판례의 중요성이다. 사실상 모든 판결은 비슷한 이전 사례의 판결에 상당한 영향을 받는다. 사건이 터지면 법정이나 변호사나 가장 비슷한 판례를 찾는다. 특히나 사이버 보안 범죄에 대한 명확한 법정 기준이 부재한 때에는 판례에 대한 의존도가 대단히 높다.

그렇다고 갑자기 머리를 싸매고 앉아서 고시공부하듯 판례 공부를 할 수는 없는 노릇. 가장 먼저 ‘내가 속한 조직이 하고 있는 일’과 가장 관련이 깊은 정책 담당자나 법률을 조사하는 것부터 시작해야 한다. 온라인 상거래를 주로 하고 있다면 FTC와 관련된 정보를 모아야 하겠고, 금융 쪽이라면 예를 들어 FRB와 관련된 정보를 모으는 식으로 말이다. 그렇게 ‘살펴야 할 판례의 키워드’를 목록화 했다면 해당 기관이나 주요 인물들이 사이버 보안에 대해 언급한 것을 찾아나서야 한다. 검색 키워드를 하나 더 늘리라는 말이다. 여기에는 보도자료가 있을 수도, 연설문이 있을 수도 있다.

그 외에도 시간이 있다면 아직은 적은 편에 속하는 ‘사이버 범죄와 관련된’ 사건들의 판결문이나 유명 법조계 인사의 칼럼들을 찾아 읽어보는 것도 권한다. 이를 통해 법에 종사하는 사람들이 현재 사이버 보안에 대해 어떻게 생각하고 있는지도 어렴풋이나마 파악할 수 있다. 사실 이쪽 계통에 있는 사람들은 자료를 검색하는 것을 매우 즐기는 성향이며 그 방대한 자료들을 탐독한다. 이들이 찾고자 하는 건 사건의 디테일 자체가 아니라 표면에 드러나는 것들의 진정한 의미에 대한 해석과 그 영향력 등 보이지 않는 정보들이니 이 또한 참고하길 바란다. 이들은 아직 사이버 보안에 대해 충분히 알지 못해 해석할 능력을 제대로 갖추고 있지 않다. 바로 정보보안 전문가의 도움이 필요한 것이다.

아마 이런 의문이 들 것이다. “결국 종이와 책을 쌓아놓고 공부하라는 건데, 이게 무슨 팁이냐?” 실제 해보면 알겠지만 생각만큼 복잡하거나 어려운 일이 아니다. 난 솔직히 사람들이 법에 대한 지나친 공포나 환상을 가지고 있다고 생각한다. 이런 조사와 연구를 하면서 그런 것들도 해소할 수 있다면 일석이조다.

점점 가까워지고 있다고는 하지만 아직 법을 다루는 사람들과 보안을 다루는 사람들의 인식 사이에는 커다란 갭이 존재한다. 예를 들어 ‘민감한 정보를 보호하는 데에 있어 암호화가 뛰어난 기능을 발휘한다’는 사실을 법조계가 강조하고 정책적으로 암호화 도입을 강제할 수도 있다. 하지만 보안 담당자 입장에서 암호화는 매우 비싼 기술이기 때문에 좋은 걸 알면서도 함부로 할 수가 없는 것이다. 실제로 암호화 도입 문제는 이런 현실과 이상의 사이에서 아직도 표류 중이다. 법과 정보보안이 서로를 보다 자라 이해하게 되면 이런 문제들이 해결될 수 있을 것으로 보인다.

글 : 제이슨 스트레이트(Jason Straight)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>