기업 내에서 법을 다루는 일과 해킹, 정보유출과 같은 보안사고를 막는 정보보안은 언뜻 보면 전혀 별개의 일처럼 보인다. 그러나 국내에서 발생한 카드 3사 개인정보유출사고가 각 사 대표들을 사임시키고, 옥션, 네이트 해킹사건으로 인한 사용자들의 민사 손해배상 소송이 여전히 이뤄지고 있는 상황에서 법무팀과 정보보안팀은 어느 때보다도 긴밀히 협력해야할 부서들이다.
미국 노트르담 대학 IT담당 책임자로 과거 미국 국가안보국(NSA), 미 공군 등과 협력하는 정보보안연구원으로 근무했던 마이크 채플은 서치시큐리티에 게재한 '정보보안과 법률가가 베스트프렌드가 되기 위한 3가지 방법'이라는 기고문을 통해 두 팀이 왜 긴밀한 협업이 필요한지, 어떻게 협업할 수 있는지에 대한 내용을 다뤘다.
■리스크관리, 법무팀-정보보안팀 필수협업 키워드
먼저 리스크 관리 차원에서 두 팀 간 협업이 필수라고 그는 주장했다. 규모가 있는 기업들은 대개 엔터프라이즈리스크매니지먼트(ERM)라는 리스크관리 프로그램을 운영 중이다.
이 업무는 대개 비즈니스 차원에서 영업손실을 가져올 수 있는 여러가지 문제를 어떻게 처리할 수 있는가에 대한 내용을 다룬다. 일반적으로는 법적 테두리 내에서 프로그램이 운영되기 때문에 관련된 수많은 법과 규제를 해석할 수 있는 법률가들의 의견이 필수다.
문제는 보안사고에 대해 정보보안팀이 그들 자체적으로 리스크의 정도를 측정하려고 한다는 점이다. 이 부분에 대해 채플은 법무팀과 정보보안팀은 리스크 정도를 측정하는 관점이 다르다고 설명한다. 그는 "보안 관점에서의 리스크 측정은 진공상태에 놓여있는 경향이 있으며, 기술적인 내용이 많은 탓에 IT부서 외에 외부로 공유되는 일이 드물다"고 지적한다.
때문에 각종 사고가 발생하기 전 사고대응계획을 세우기 위해 같은 회의테이블에 두 팀 담당자들이 앉아있는 것이 절대적으로 중요한 일이라고 설명한다. 이를 통해 IT책임자들은 타 부서와 기술적인 이해도 차이를 줄이고, 기업 내 혹은 협력업체들의 비전문가들에게도 일관된 정보보안 리스크를 측정할 수 있도록 할 수 있다는 것이다.
최근 비즈니스 환경에서 가장 위협적인 리스크 중 하나는 정보보안이다. 우리나라는 물론 소니픽처스, 타깃 정보유출사건 등이 이러한 사실을 증명한다. 채플은 "기업 경영 관점에서도 악성코드, 보안패치가 이뤄지지 않은 시스템, 사내 정책 위반 등이 리스크 관리를 위한 중요한 영역에 포함돼야 한다"고 주장했다. 정보보안팀과 법무팀 간 대등하고, 긴밀한 협업을 통해 각자 관점에서 리스크에 대한 논의를 발전시켜나가야 한다는 조언이다.
■보안을 법으로 해석할 수 있어야
두번째로는 컴플라이언스 및 사고 대응에 대한 문제다. 대부분 법무팀은 IT부서나 타 부서 보안정책 및 규제에 대해 다룰 때 IT보안문제를 다루게 된다. 글로벌 신용카드 보안기준인 PCI-DSS, 미국 의료관련규제인 HIPAA, 금융관련 규제인 GLBA 등이 여기에 해당한다. 우리나라로 따지면 개인정보보호법, 정보통신망법, 금융감독규정 등이 여기에 해당한다.
법무팀 소속 변호사들은 IT팀이 이러한 규제를 명확히 이해하고, 각 조직 내에 이행할 수 있도록 돕는 역할을 할 수 있다. 그들은 관련 규제에 포함된 조항들에 대한 해석이 모호할 때 이를 명확히 할 수 있도록 조언을 줘야한다.
"정보보안팀은 법무팀과 함께 이런 규제들을 어떻게 해석하고 적용할 수 있는지에 대해 논의하는 일을 망설이지 말아야 한다"고 채플은 설명했다. 서로 다른 업무 성격을 가진 두 팀이 모두 실제적인 훈련을 거치는 과정을 극복해야한다는 점에서 인내심을 필요로 한다고 그는 덧붙였다.
법무팀은 또한 정보유출 혹은 대규모 보안사고가 발생했을 때 중요한 역할을 한다. 이들은 법적인 관점에서 어떻게 문제에 대해 알리고, 대응할 수 있는지에 대한 조언할 수 있는 전문성을 가졌다. 때문에 정보보안팀이 사고가 발생하기 전에 법무팀과 함께 사고 발생시 법적 문제를 어떻게 해결할 수 있는지에 대한 시뮬레이션을 포함하는 사고대응계획을 세우는 것이 매우 중요하다고 그는 강조했다. 이런 과정을 거쳐야만 실제로 사고가 발생하더라도 법무팀이 사고를 수습하기 위한 팀에 합류해서 문제를 빠르게 해결할 수 있다는 것이다.
■공통의 '보안언어' 만들어야
마지막으로는 표준계약서를 두 팀이 함께 검토하는 일이 필요하다. 대부분 조직들은 IT관련 표준계약서에 대한 검토를 법무팀에 의존하고 있다. 이것은 조직 내 이익을 충분히 보호하기 위해 계약서 내에 전문적인 보안용어를 명확히 하는 일이기 때문에 자연스럽게 법무팀의 업무로 확장된다.
이러한 작업은 벤더와 고객들에게도 마찬가지로 적용돼야하며, 보안통제, 감사, 정보유출에 대한 공지, 손해배상 등에 대한 문제를 다루는 경우에도 마찬가지다.
이러한 프로세스를 가능케 하는 가장 좋은 방법은 정보보안팀과 법무팀이 협업을 통해 표준계약서를 위한 공통의 '보안언어(security language)'를 문서화하는 일이다. 이러한 방법은 정보보안팀과 타 부서, 협력업체 등이 보안에 대해 공통의 언어를 사용하기 때문에 어떤 계약서라도 받거나 혹은 작성할 수 있게 된다. 핵심적인 법적 우려사항에 대해 공통의 기준을 적용하기 때문에 자동으로 확인할 수 있게 되는 것이다. 이렇게 되면 계약서의 승인도 빨라진다.
반면 어떤 표준용어를 변경하게 될 경우 법무팀, 정보보안팀 간 더 깊이있는 검토가 요청된다. 하나의 용어가 바뀔 경우 전체 프로세스가 바뀌거나 혼선을 빚을 수 있기 때문이다.
채플은 "정보보안팀이 법무팀과 강력한 협업관계를 구축하는 일은 실제 정보보안의 전문성을 높이기 위한 가장 빠른 길"이라고 말한다.