규정 지키는 건 보안의 시작점...하지만 규정 지키는 것만도 어려운 문제
내부적인 네트워크 모니터링도 필요하고 외부적인 규정 변화 모니터링도 필요하고

[보안뉴스 문가용 기자] 데이터 보호와 프라이버시 관련 규정들의 영향력 아래에 점점 더 많은 기업들이 모여들고 있다. 사업의 유형이 무엇이든 고객이 있고 직원이 있는 곳이라면 보호해야 할 데이터가 반드시 어딘가에 저장, 유통되기 때문이다. 이러한 규정들이 존재하는 이유는 무엇인가? 소중한 데이터를 둘러싼 사이버 범죄나 실수 등을 막아 피해자가 생기지 않도록 하는 것이다.


정보보안과 관련된 규정을 이야기함에 앞서 반드시 알아야 할 것이 두 가지가 있는데 하나는 방금 언급한 것처럼 규정의 존재 목적은 피해자가 생기지 않게 하는 것이라는 점이고, 다른 하나는 그럼에도 법을 지킨다는 것만으로 완벽히 안전해질 수는 없다는 것이다. 좋은 의도는 있으나 완벽한 수단이 되지는 못한다는 뜻으로 누구의 말마따나 ‘컴플라이언스는 지붕이 아니라 바닥’이다. 안전의 시작점이지 완결점이 아니다. 그럼 본격적인 이야기를 시작해보자.

데이터 보안과 프라이버시 관련 규정들은 각종 법 조항과 표준들의 주요한 부분을 차지해왔다. 다들 어디서 한 번쯤은 들어봤을 법한 HIPAA, GDPR, GLBA, PCI DSS, SOX 등이 바로 데이터 보안과 프라이버시에 상당 부분을 할애하고 있는 것들이다. 무슨 말이냐면 데이터 보안과 프라이버시에 관한 규정을 지키려면 이러한 표준과 법령들을 다 지켜야 한다는 것이다. 그렇지 않을 경우 뼈아픈 결과가 기다리는 것이 보통이다.

그렇기에 기본이라고 하는 컴플라이언스는 매우 까다로운 선결조건이 된다. 그 많은 보안 규정과 표준을 하나도 빠짐없이 지킨다는 건 어지간히 어려운 일이 아니다. 특히 다양한 사람들로 구성되어 있는 조직이라면, 컴플라이언스 관리의 어려움은 더하다. 그래서 법규 준수가 잘 이뤄지지 않게 하는 세 가지 요인을 정리해보았다.

은둔의 IT : 어쩌면 가장 많은 조직들이 겪고 있는 어려움일 텐데, 조직 차원에서 직원 개개인의 앱 설치 및 사용 현황을 관리할 수 없어서 나타나는 현상이다. 법과 표준이란 의외로 꼼꼼해서 사용해도 되거나 사용하면 안 되는 기술, 프로세스, 앱 등이 정해져 있을 때가 있는데, 직원들이 이를 일일이 다 파악하기가 힘들고, 사실 별로 조사하지도 않는다. 직원들의 가장 큰 관심은 내 업무를 쉽고 빠르게 해내는 것이기 때문이다.

변화 : 규정 자체가 생각보다 자주 개정되거나 폐지되고 새롭게 생긴다는 것도 컴플라이언스를 어렵게 만든다. 규정이란 건 시대 상황과 주체가 되는 환경의 상황에 따라 유연하게 변하는 것이라 전혀 정적이지 않다. 그냥 가만히 있어 주어도 공부할 게 많은데 변하기까지 한다는 것이다. 규정은 연애 상대와 같아서 끊임없는 관심을 갈구한다는 걸 받아들여야 한다.

비준수 : 한번 컴플라이언스를 하지 못해 벌금이나 처벌을 받게 되면, 그것이 도미노처럼 작용해 다른 규정들을 어길 수밖에 없게 되는 상황이 발생한다. 벌금을 내느라 비용을 일시적으로 충당 못하거나, 자원이 부족해지거나, 다른 데 신경 쓸 여력이 없어서, 비준수의 악순환에 빠져들 수 있다는 것을 항상 염두에 두자.

이 마지막 항목인 ‘비준수’를 조금 더 파헤쳐보자. 규정을 준수하지 못했을 때 우리는 어떤 결과를 맞게 될까? 물론 지역과 산업마다 다른 결과들이 나타나곤 하지만, 보편적으로는 다음 여섯 가지를 꼽을 수 있다.

법정싸움 : 데이터 유출 사고가 일어나면 해당 기업에게만 위기 상황이 닥치는 게 아니다. 직원, 고객, 파트너사들도 함께 엮여 들어가는 게 보통이다. 이들 중 옛정을 생각해서 그냥 넘어가주는 사람도 있지만 대부분은 변호사나 경찰서를 찾아간다. 소송을 당하거나 진행해보면 알겠지만 이기고 진다는 것보다, 법정싸움을 벌인다는 것 자체가 이미 큰 손실이다.

벌금 : 기업 입장에서는 가장 보편적이고 즉각적으로 벌어지는 손실이다. 다만 여태까지는 사이버 사고에 대한 벌금이 그다지 높은 편이 아니었다. 하지만 내년부터 실행되는 GDPR은 진작부터 어마어마한 벌금을 예고하고 있고, 최근 최종판결을 받은 타깃(Target)도 2013년 고객 정보 유출 사건으로 인해 사상 최대의 벌금을 물게 되었다. 벌금은 앞으로 점점 더 세질 것으로 보인다.

정부 감사 : 규정을 어겼다는 건 어떤 형태로든 정부를 개입시킬 수밖에 없는 상황을 만든다. 보통 정부들은 한 번 걸린 대상에 대해 감시의 끈을 놓지 않는다. 미국의 경우 연방거래위원회(FTC)가 보통 이 역할을 하게 되는데, 기업 입장에서 정부에게 주기적으로 검사받고 보고서를 제출한다는 건 곤혹스러운 일이다.

보상과 복구 : 벌금을 냈다고 해서 배상을 해주지 않아도 되는 건 아니다. 법정싸움에서 기업이 이겼다고 하더라도 완전히 일방적인 승리는 없고, 그렇다고 하더라도 시스템을 재정비 하고 사업을 정상화해야 하니 적지 않은 비용이 이래저래 발생할 수밖에 없다. 개인정보를 잃은 고객들에게 신용 관리 서비스도 무상으로 제공하는 경우가 많다. 포렌식 비용도 포함된다.

수익 손실 : 사고가 난 회사는 거의 반드시 수익 손실을 겪는다. 고객들의 신뢰도가 급감하기 때문이다. 타깃(Target)의 경우 2013년 유명한 사고가 발생한 후 곧바로 4400억 원의 영업 손해가 있었다.

이미지 손실 : 유출 사고에 대한 소문이 나기 시작하고, 뉴스에 보도라도 되는 날에 그 기업의 이미지는 곧장 바닥을 찍게 된다. 이 때문에 기업은 부랴부랴 마케팅과 홍보에 대규모 예산을 장기적으로 투입하곤 한다. 좋은 이미지는 오랫동안 구축해야 하는데, 나쁜 이미지는 단 하루면 된다. 그래서 이미지 손실은 어찌 보면 가장 큰 타격이기도 하다.

그렇다면 컴플라이언스를 위해 어떤 조치를 취할 수 있을까? 크게 세 가지를 제안한다.
자동화 도입 : 업무 프로세스를 검토해서 자동화를 도입시킬 수 있는 곳을 찾아낸다. 자동화의 도입은 인간적인 실수를 줄인다는 의미를 가지고 있다. 분명히 기계적으로 단순 반복하는 업무가 어디선가 발생한다. 직원들의 업무 만족도도 높이고 실수도 줄여주는 자동화 기술이 큰 도움이 된다.

중앙 관리와 가시성 확보 : 앞서 말했지만 조직원 모두가 법을 잘 준수하고 있으리라고 기대하는 건 반드시 절망으로 되돌아온다. 은둔의 IT는 갈수록 늘어나고 있다. 그러니 누군가 중앙에서 네트워크 내에서 일어나는 모든 일들을 관찰하고 파악해야 한다. 필요하다면 업무 환경의 구조를 새롭게 개편하고 담당자를 배정하고 가시성 확보 기술을 도입해야 한다.

컴플라이언스 전문가 : 규정이란 건 항상 변한다고 언급했다. 게다가 복잡하다. 그러니 전문가를 영입해 회사와 관련이 있는 각종 법령과 표준들을 늘 주시하고 대응할 준비를 갖춰야 한다. 규정 중에 ‘보고서 제출’에 대한 것도 제법 있는 편인데, 규제 감독 기관에 제출할 보고서 작성하는 것도 큰 프로젝트다. 이런 업무만 담당할 전담 인력을 확보해야 한다.

글 : 피터 머쿨로프(Peter Merkulov)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>