규제가 경제의 전부이다. 여기 그 이론이 있는데 ‘자본주의 경제에서 기업들은 기업이윤에 근거해 결정을 내린다’는 것이다. 이것은 좋은 일이다. 우리는 기업이 자선 사업하는 것을 원하는 것이 아니다. 기업은 이윤을 추구하는 단체이다.

그러나 종종 기업들의 행동으로 인해 기업 내부와는 상관없이 사회에 예상치 못한 영향을 미치는데 이것을 ‘외부효과’라고 부른다. 외부효과는 다른 사람의 문제이기 때문에 대부분의 기업은 외부효과를 기업정책 결정시 고려하지 않는다. 만약, 우리가 외부효과를 기업의 정책결정 요인으로 만들고자 한다면, 우리는 이러한 외부효과를 기업 내부적인 것으로 만들어야 한다.

쉬운 예로 기업이 강을 오염시키면 그 강의 하류에 사는 사람들이 죽게 된다. 그 회사에 근무하는 누구도 그 강의 하류에 살지 않고 그 회사의 고객들도 하류에 살지 않으면 그 회사는 그 일에 상관이 없다. 이것이 고전적인 외부효과이다. 만약 사회가 그 기업이 강을 오염시키는 것을 원하지 않는다면, 사회가 그 외부효과를 제거해야 한다.

배상책임(하류에 사는 사람들이 소송을 제기하는 것 허용)과 규제(강을 오염시키는 것을 불법으로 규정하는 것) 등이 그 일을 해결할 수 있는 예가 될 것이다. 합리적인 기업은 강을 오염시키지 않기 위해 더 많은 돈을 투자할 것이다.

이것이 컴퓨터 보안과 무슨 상관이 있냐고 반문하는 사람도 있을 것이다. 그러나 기업의 외부효과는 컴퓨터 보안은 물론, 모든 분야에 해당된다.

만약, 초이스포인트(미국 신용조사 회사)의 형편없는 보안정책과 시스템으로 인해 누군가 우리의 개인정보를 빼내어 간다면, 어떤 형태로도 우리는 해를 입게 된다. 그러나 초이스포인트에 있어서 그것은 외부효과이다.

초이스포인트는 자선기관이 아니고, 자신에게 이익이 되지 않는 부분에 대한 보안을 개선하려고 하지 않을 것이다. 만약, 초이스포인트가 우리의 데이터를 보호해주기 원한다면, 우리 스스로 데이터를 보호해야 한다. 우리는 보안상태가 형편없는 기업에 대한 배상비용을 인상하고, 보안상태가 양호한 기업은 보다 저렴하게 할 필요가 있다. 그러나 현실은 이론처럼 단순하지 않으며 규제는 세부적인 곳에 허점이 많다.

정보공개법(Disclosure Laws)을 이용해보자. 표면상 이 방법은 현명한 규제방법이다. 기업들로 하여금 개인정보 유출 등 데이터 관리상의 문제점을 공개하게 함으로써, 기업이 데이터 보안에 대한 비용투자를 증가시키도록 한다. 또한, 기업의 보안이 허술하다는 것이 언론에 알려지면 그 기업은 공개적으로 망신을 당하게 된다. 그러나 많은 기업들이 데이터 관리와 보안에 소홀하였고, 언론이 그런 기사를 쓰는 데 관심이 적어지면서 공개적인 망신도 줄어들었다. 정보공개법은 좋은 생각이었지만 그 효과는 일시적인 경향이 있다. 

또는 사베인스-옥슬리 법안(Sarbanes-Oxley Act)을 이용해 보자. 기업은 컴퓨터 보안에 온갖 돈을 쏟아 붓고, 그 비용은 잠재적 배상책임보다 더 저렴하다. 이 돈의 일부는 실제 컴퓨터 보안으로 들어가기도 하지만 대부분 책임청구를 방어하기 위한 보고서를 작성하는 대형 감사기업으로 들어간다. 그러므로 이 방법도 좋은 생각이지만 비용이 많이 드는 것이 사실이다.  

더 나은 예는 사기에 대한 개인채무를 50달러로 제한하는 신용카드법이다. 그 법이 제정되고 난 후, 우리는 사기적 소비행태를 탐지하기 위해 온라인 검증 단말기, 카드 활동 시스템과 데이터 마이닝(Data-Mining) 시스템을 갖추었다. 이것은 대단한 발상이었고 실제로 보안을 현저하게 개선시켰다.

그러면 양호한 규제의 특징은 무엇인가? 양호한 규제는 특정 기술이나 구체적인 규성 설정에 대한 지시가 아니라 결과에 초점을 맞춘다. 양호한 규제는 보안문제를 담당해서 기업들이 보안문제를 해결할 수 있게 한다.”

연방정부의 보안규제가 잘 제정되어 있다면 도움이 될 수 있다. 그러나 불행히 그러한 경우는 예외적이라 필자는 외부효과를 줄일 수 있는 메커니즘으로 ‘규제’ 대신 ‘배상책임’을 주장한다.

<글: 브루스 슈냐이어>

Copyright ⓒ 2006 Information Security and TechTarget