실시간 뉴스



[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제


서울중앙지법 민사32부(재판장 이인규 부장판사)는 22일 피해자 2만8715명이 K사를 상대로 낸 손해배상 청구소송(2012가합81628)에서 "원고 1인당 10만원씩 총 28억 7000여만원을 지급하라"며 원고일부승소 판결했다. 재판부는 판결문에서 K사가 "사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다"며 "유출된 개인정보가 제3자인 정보유출자들에게 열람됐을 가능성이 높고, 추가 복제 및 2차 유출가능성을 배제할 수 없으므로 개인정보의 확산 가능성이 남아있어 위자료를 지급해야 한다"고 밝혔다. (법률신문 2014.8.22에서 일부 인용)

2012년 7월 발생한 K사 고객정보 유출사건 민사소송 중 첫 1심 판결이 8월에 나왔다. 많은 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)가 관심 있게 보셨을 것 같다. 이 판결은 크게 (1) 개인정보 누출사실의 인정 (2) 사업자의 주의의무 위반 사실 인정 (3) 위자료 산정으로 구성되어 있고, 그 중 사업자의 주의의무 위반 부분은 (1) 접근통제에 관한 부분 (2) 모니터링 시스템에 관한 부분 (3) 암호화에 관한 부분으로 이뤄져 있다. 접근통제 부분에서는 퇴직자의 개인정보처리시스템 접근권한을 변경·말소해야 한다는 '개인정보의 기술적·관리적 보호조치 기준' 고시(이하 사건 고시) 제4조 제2항을 위반했고, 모니터링 시스템 부분에서는 개인정보 유출사실을 발견하지 못한 것이 사건 고시 제5조(접속기록의 위·변조 방지) 제1항을 위반했으며, 저장 또는 송신과정에서 주민번호를 암호화 하지 않아 고시 제6조(개인정보의 암호화) 제2항을 위반하였다고 보았다.

요약하고 보니 평범하게 보이는 판결이지만 좀더 세부적으로 들여다 보면 CISO나 CPO 등 정보보호책임자들에게 만만치 않은 과제를 던진다.

우선 접근통제와 관련해서 개인정보처리시스템에 대한 '접근권한'을 "서버와 서버 사이의 이동, 데이터의 송수신 등을 통하여 '개인정보처리시스템에 가까이 다가가는 것’을 광범위하게 포함'한다고 보아서 퇴직자의 접근 권한 역시 거기에 포함되는 모든 시스템에 대한 접근권한으로 해석하였고, 그에 따라 어떤 방식으로든 퇴직자 계정을 통해 개인정보처리시스템에 접근한 것은 (결과적으로) 사업자가 접근권한 관리 의무를 위반한 것으로 판결하였다. 사실 '접근권한'이란 IT나 보안분야에 종사하는 이들이 특정 시스템에 대한 인증(authentication)과 인가(authorization)를 통해 얻게 되는 사용권한이라고 이해해 왔던 용어다. 다들 공통적인 이해가 있었기 때문에 사건 고시 제2조(정의)의 12개 용어에 포함될 필요도 없는 용어였다.

개인정보처리시스템에 가까이 가는 과정애는 PC, 가상사설망(VPN), 방화벽, 개발서버, 운영서버(웹, WAS, 통신, 외부접근), DB서버 등이 광범위하게 펼쳐져 있다. 서버가 수천 대가 넘는 회사들도 있다. 가장 좋은 방법은 계정관리시스템을 구축하고 PC와 서버, 응용시스템을 이 시스템에 연동시켜서 퇴직자가 발생하면 그것이 계정관리시스템에 전달되고, 다시 PC와 서버, 응용시스템의 계정에 자동으로 반영되게 하는 것이다. 계정관리는 정보보호 수준을 높이기 위해 기반이 되는 매우 중요한 작업이긴 하지만, 전사 계정관리시스템을 구축하고 적용하는 일은 적지 않은 예산과 인력, 시간이 소요된다. 또한 강력한 계정관리 정책을 지속적으로 운영해야 실효성이 있다. 그래서 전체 시스템의 계정관리가 당장에 어려운 기업의 CISO와 CPO들은 PC나 개인정보처리시스템과 같은 중요 시스템의 계정관리에 먼저 힘을 쏟게 마련이다. 이 판결에 따르면 일정 규모 이상의 기업은 보안 측면뿐 아니라 법을 지키기 위해서라도 계정관리시스템을 구축하고 강력한 계정관리 정책을 시행해야 할지도 모른다.

또한 모니터링 관련 부분에서 접속기록의 위·변조 방지를 위해 접속기록을 월 1회 점검하라는 조항을 유출방지를 위한 사항으로 해석하고 (결과적으로) 개인정보 유출 사실을 발견하지 못한 것을 고시 위반으로 본 것 또한 정보보호책임자 입장에서는 굉장히 큰 부담이다. 이제는 유출된 것을 발견하지 못하면 결국 고시 위반이 될 수 있기 때문이다. 접속기록을 점검하든 모니터링을 잘 하든 개인정보의 위·변조나 유출을 실시간으로 찾아내고 대응하는 일은 사업자가 응당해야 할 일로서 아무리 강조해도 결코 지나치지 않다. 하지만 시행령과 고시에 위·변조 방지를 위한 사항으로 명백하게 기술되어 있는 것을 달리 해석하여 사업자에게 주의의무를 위반하였고 하는 것은 적절하지 않은 것으로 보인다.

개인정보처리시스템에 대한 방대한 접속기록을 점검, 분석하여 개인정보 유출 등의 사건을 수동으로 찾아내는 일은 엄청난 일이다. 얼마 되지 않는 보안인력이 이걸 하고 있다면 다른 일은 거의 하기 힘들 것이고, 담당자가 오래 버티지도 못할 것이다. 이게 가능하려면 별도의 로그분석 시스템을 구축하고, 응용시스템이나 DB보안시스템에서 개인정보 과다 접근과 같은 이상징후가 탐지되었을 때 자동으로 알려주는 체계를 갖춰야 한다.

정보보호 분야의 규제대응은 관련 법규를 준수해야 할 뿐 아니라 자체 규제도 준수해야 한다. 이번 판결에서 사업자가 자체 정보보호 지침을 위반했다는 내용이 있다. 정보보호조직에서는 CEO가 승인하는 정보보호정책에 자신들이 추진하려는 목표를 포함시킴으로써 추진력을 얻고 싶어할 수 있고, 정보보안이 잘 된 회사의 지침을 가져다 일부를 수정해서 쓰기도 한다. 하지만 이번 판결과 같이 자체 규제 위반 역시 민사소송의 근거가 될 수 있다는 점에 유의해야 한다.

2012년 사건에서 정보보호책임자들이 관심을 가져야 할 중요한 포인트 중의 하나는 이 사건의 범인이 10년 경력의 소프트웨어 개발자라는 점이다. 이 사건은 외부에서 접근할 수 있는 웹 서비스의 취약점이나 서버 취약점을 통해 공격한 게 아니라 회사의 내부 업무시스템(프로그램)을 세밀하게 분석함으로써 인증을 우회하여 내부 서버와 직접 통신할 수 있는 프로그램을 개발하였고, 심지어 스크립트 언어 개발자가 대세인 요즘 실행파일인 DLL을 역공학으로 분석하여 암호체계를 무력화 시키는 등 기존 유출사건과는 차원이 다른 해킹 수법이 사용되었다. 이러한 기존 프로그램의 분석과 별도의 프로그램 개발을 통한 해킹에는 개발자들이 가장 전문가일 수밖에 없다.

게다가 개발을 열심히 해 온 개발자라면 경력 10년이면 절정의 실력을 발휘하는 시기다. 정보보호책임자 입장에서는 이러한 고급개발자들의 해킹도 감안하여 보안을 해야 한다.

개발자들은 사용성, 기능, 성능, 안정성 등을 고려하여 소프트웨어를 설계하고 구현해 고객가치를 만들어 내는 최일선에 서 있다. 소프트웨어의 가치를 좌우하는 중요한 집단이다. 한편 개발자들은 효율과 편리를 최고의 가치로 삼아 일을 한다. 비효율과 불편함을 못 견뎌 한다. 이 두 가지 특성으로 인해 개발자 그룹은 보안위험의 주요 경로가 되기도 한다. 정보보호책임자들이 잘 살피고 대비해야 한다. 정보보호책임자가 개발자 그룹과 친하면 IT인프라의 보안취약점을 찾아내어 예방할 수 있다.

끝으로 관련 고시에 대한 기업의 고민이 커질 것 같다. 고시는 행정기관에서 국민에게 널리 알리기 위해 사용하는 행정규칙의 하나다. 특히 개인정보보호법, 정보통신망법, 신용정보법의 개인(신용)정보 관련 고시들은 법령에서 위임한 사항을 고시했기 때문에 일반적인 행정규칙과는 달리 법적 구속력을 갖는다. 또한 고시의 조항은 상세하여서 달리 해석할 여지가 별로 없다고 여겨왔다. 기업에서는 이러한 정보보호 관련 법규를 반영하여 정보보호 정책·지침을 만들고, 그것을 시스템, 제도, 프로세스로 구현함으로써 법규를 준수한다. 적지 않은 예산, 인력, 시간이 드는 일이다. 그런데 이제는 고시 자체가 아니라 고시에 관한 해석이 바뀜으로써 기업이 법규 위반 상태가 될 가능성이 생겼다. 이번 판결이 상급심에서도 유지된다면 담당부처에서 고시 개정을 검토해야 하지 않을까 싶다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스