한 보안 점수 시스템에서 법조계는 평균 이하 기록
현재 상태도 문제지만 과거와 비교했을 때 발전 없는 것이 더 큰 문제

[보안뉴스 문가용] 파나마의 법률 사무소인 모색 폰세카(Massack Fonseca)가 최근 해킹을 당해 1천만 건이 넘는 민감한 정보가 유출된 사건으로 법률 사무소들의 열악한 정보보안 실태가 덩달아 드러나고 있다.


모색 폰세카가 정확히 어떤 일을 당했는지 아직까지 속 시원히 공개된 바가 없다. 다만 외부 해커들이 불법적으로 침입했다는 주장만 있었을 뿐이다. 하지만 2.6 테라바이트라는 엄청난 양의 데이터가 사라지기까지 업체에서 아무런 이상을 발견하지 못했다는 사실 자체만으로도 ‘보안이 부실했다’는 걸 부정할 수는 없다.

중요한 건 모색 폰세카가 고약하도록 취약한 법률 사무소가 아니었다는 점이다. 법조계의 평균 보안이 열악하다는 주장이 나오는 이유다. 보안 전문업체인 비트사이트(BitSight)는 조직의 사이버 보안 효율성을 평가하는데, “현재 법률 사무소들의 평균 보안 점수는 900점 만점에 690점 정도에 불과하다”고 한다. 홍보업체나 통신업체의 보안 점수는 이것보다 더 낮지만 대부분 다른 산업들은 평균적으로 750점 안팎이라고.

“법률 사무소들은 평균보다 약간 밑도는 정도의 보안 수준을 유지하고 있다고 볼 수 있습니다.” 비트사이트의 부회장인 제이크 올캇(Jake Olcott)의 설명이다. 물론 이것이 법률 사무소의 보안 수준을 측정한 공식 기록은 아니다. 하지만 비트사이트가 이런 조사를 벌여온 것이 처음이 아니고, 같은 방식의 점수 시스템에서 이전이나 이번이나 별 다른 점수 변동이 없었다는 건 주의 깊게 볼만 하다. “보안에 거의 신경을 쓰지 않는다, 혹은 보인 의식이 여전히 낮은 수준이라는 건 확실합니다.”

예를 들어 지난 2014년 30개의 대형 로펌과 500명의 변호사들을 대상으로 조사했을 때 푸들(POODLE) 공격에 취약한 곳이 97%, 프릭(FREAK)에 취약한 곳이 57%, 로그잼(LogJam) 오류가 있는 곳이 100%였다. “올해도 같은 곳을 조사했는데, 결과는 같았습니다. 수정의 노력조차 없었던 것으로 보입니다.” 그렇게 표현할 수밖에 없는 것이 조사 결과 대형 로펌의 90%가 정보보안 팀을 5명 내로 구성하고 있었으며, 76%는 1년 정보보안 예산이 십만 달러에 불과했던 것.

한편 법률 사무소의 변화가 더딘 가운데 해커들의 움직임은 전에 없이 빨라지고 있다. 법률 사무소에서 보관하고 있는 정보가 ‘짭짤하다’는 소문이 돌기 시작했기 때문이다. “요즘 법률 사무소 끼지 않고서는 큰 프로젝트를 진행하기가 쉽지 않죠. 큰 돈이 오가는 프로젝트에는 반드시 법률 사무서나 전문가가 있기 마련입니다.”

다른 산업의 기업체의 경우 민감한 정보라고 하면 개인정보에 국한되는 게 보통인데, 법률 사무소는 개인정보는 물론 거래 진행 상황이나 시장의 변화 추이, 주식과 관련될 수 있는 정보, 개인의 법적 신상 및 현황 정보 등 무게감이 결코 떨어지지 않는 정보들도 가지고 있다. “정보의 무게감이 대단하다면 그에 어울리는 보안 대책이 필요한데, 지금은 전혀 그렇지 않습니다.”

지난 9월 미국변호사협회는 “미국 내 법률 사무소 중 25%가 정보 유출사고를 겪은 경험이 있는 변호사 100명을 데리고 있다”는 연구결과를 발표한 바 있다. 그럼에도 47%의 법률 사무소가 사건대응 계획을 수립해놓지 않았다고, 해당 결과보고서는 밝히고 있었다. 당시 CISO라는 직무조차 없는 법률 사무소는 58% 달했다. “올해 비슷한 조사가 또 이뤄질지 모르지만, 아마 결과가 비슷하지 않을까 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>