2015.08.06

CIO에게 보안 전문 변호사가 필요한 이유

Kacy Zurkus | CIO

사이버보안은 CIO가 밤을 새게 만드는 골칫거리였다. 점점 더 정교한 사이버공격이 늘어나는 요즘 추세에서 보안은 IT리더들의 낮 근무시간까지 차질을 빚게 만들고 있다.


이미지 출처 : Thinkstock

분명 철벽 사이버보안까지는 갈 길이 멀다. 아마도 절대 도달할 수 없는 목표일 것이다. 하지만 거의 돌파할 수 없는 수준의 보안을 갖췄다 하더라도 여전히 사이버보안 문제에 집중하는 변호사가 필요하다. 물론 내부 변호사가 회사의 법적 위험을 최소화하는데 도움을 줄 수 있다. 하지만 보안 전문성을 자랑하는 외부 기업과 협력관계를 맺으면 현지 주, 국가 개인정보 보호 법률과 보안 요건, 데이터와 프라이버시 유출에 대한 민사 소송, 기업 거버넌스 등에서 발생하는 여러 가지 불분명한 법적 문제들을 CIO가 헤쳐나가는데 도움을 받을 수 있다.

사이버보안 법률 보고(Cybersecurity Law Report)의 편집장 에이미 테리 시한은 “이런 유형의 도움을 필요로 하는 업계의 종류가 폭발적으로 늘어났다”고 밝혔다. “사이버보안 전문성이 없던 로펌들이 모여들고 있다. 일반적인 소송과 기업 자문 변호사들은 이제 사이버보안과 데이터 프라이버시 문제에 친숙해져야 한다”고 시한은 덧붙였다.

모든 기업이 현재 PII(personally identifiable information), 기업 비밀, 특허 정보 등의 온라인 데이터를 가지고 있기 때문에 시한은 “사이버보안과 데이터 프라이버시를 전문으로 하는 전문가에 대한 수요가 커졌다. M&A 전문 변호사들마저 사이버보안 법률에 대해 알아야 한다”고 조언했다.

사고 대응 계획의 핵심 요소
또 시한은 “많은 기업들이 사고 대응 계획과 사고 대응을 조정하기 위해 외부 변호사에 호사에 의존하지만 다른 기업들은 회사 내 변호사를 두고 그 역할을 맡기고 좀 더 복잡한 법률 문제나 시나리오가 발생할 때 외부 전문가를 부른다”고 말했다.

유출 상황에서는 빠른 대응이 중요하기 때문에 사이버보안 변호사를 준비해둔 기업들이 사고에 빠르고 효과적으로 대응할 수 있다.

CIO들은 분명 사이버보안의 기술적 측면에 책임이 있지만, 시한에 따르면, 정부 혹은 복잡한 수사에 대응하려면 더 많은 인력이 필요하고 사이버보안 변호사의 전문성을 필요로 한다.

룩 시큐리티(Rook Security)의 CEO JJ 톰슨도 시한의 의견에 동의했다. “사이버보안 변호사가 없는 상황은 최악이다. 왜냐하면 조직에는 유출 시나리오, 개인 정책, 사이버 책임 보험, 정부 대응 이 네 가지 분야에 전문가들이 필요하기 때문이다”라고 설명했다.

권한을 유지하는 것은 유출 이후 가장 중요한 사항이지만 가능한 사고, 실제 사고, 혹은 유출 사이의 차이점을 이해하는 데서 회사의 대응이 시작될 것이다. 사이버보안 변호사는 조직과 협동해 누가 누구에게 언제 무엇을 이야기하는지를 결정하는 사고 대응 계획을 수립해 주기 때문이다. “이 계획은 아주 기본적이고 변호사는 계획 설계의 핵심을 담당한다”고 톰슨은 강조했다.

즉각적 소송의 시대?
‘유비무환’이라는 격언은 정보 유출과 개인정보 규제 준수에 딱 들어맞는 이야기다.

유출 이후의 대응 시간에는 추가적인 위험이 존재한다. 시한에 따르면, 유출 이전에는 소송 위험을 피할 수 있는 가치 있는 조언을 얻지 못할 것이고, 소송은 점점 더 흔해지고 있다. 유출 이후 즉각적으로 소송을 당하게 되고 변호사는 소송 위험을 최소화하는데 관련이 있다고 시한은 설명했다.

타깃(Target)부터 샐리 뷰티 서플라이(Sally Beauty Supply), 소니, 미국 정부 인사관리부(US Office of Personnel Management)에 이르는 기업 및 기관들은 주요 유출사고로 이미지에 타격을 입었다. 그리고 이어진 집단 소송들은 재판부의 손해에 대한 인식을 바꿔놓았고, 결과적으로 법률 해석을 변화시켰고 사이버보안 법률의 영역이 떠오르게 되었다.

논문 <사이버보안과 프라이버시 집행: 2014년 재판 사례 정리(Cybersecurity and Privacy Enforcement: A Roundup of 2014 Cases)>에서 프랜시스 버크와 스티븐 밀렌도르프는 “2011년 소니 플레이스테이션 네트워크(Sony PSN)은 데이터 유출 사고를 겪었고 소니 고객 수 백만 명의 PII를 노출시켰다”고 밝혔다. 소니는 그 네트워크를 오프라인으로 내렸지만 고객들에게 유출 사고에 대해 알리지 못했다. 재판부는 “원고가 공격 이후 그들의 개인 정보 노출에 근거해 실질적인 피해 위협을 받았다”고 판결 내렸다.

버크와 밀렌도르프는 타깃 유출 사고 재판에서 주주 대표 소송에 대해서도 다음과 같이 적었다. “그 불편은 이런 실패들이 회사에 심각한 손상을 입혔다는 혐의가 더 제기되었고, 회사는 미국 정보부와 법무부의 조사를 받고 있을 뿐 아니라 회사에 대한 집단 소송의 규모 확대를 가져온다.”




2015.08.06

CIO에게 보안 전문 변호사가 필요한 이유

Kacy Zurkus | CIO

사이버보안은 CIO가 밤을 새게 만드는 골칫거리였다. 점점 더 정교한 사이버공격이 늘어나는 요즘 추세에서 보안은 IT리더들의 낮 근무시간까지 차질을 빚게 만들고 있다.


이미지 출처 : Thinkstock

분명 철벽 사이버보안까지는 갈 길이 멀다. 아마도 절대 도달할 수 없는 목표일 것이다. 하지만 거의 돌파할 수 없는 수준의 보안을 갖췄다 하더라도 여전히 사이버보안 문제에 집중하는 변호사가 필요하다. 물론 내부 변호사가 회사의 법적 위험을 최소화하는데 도움을 줄 수 있다. 하지만 보안 전문성을 자랑하는 외부 기업과 협력관계를 맺으면 현지 주, 국가 개인정보 보호 법률과 보안 요건, 데이터와 프라이버시 유출에 대한 민사 소송, 기업 거버넌스 등에서 발생하는 여러 가지 불분명한 법적 문제들을 CIO가 헤쳐나가는데 도움을 받을 수 있다.

사이버보안 법률 보고(Cybersecurity Law Report)의 편집장 에이미 테리 시한은 “이런 유형의 도움을 필요로 하는 업계의 종류가 폭발적으로 늘어났다”고 밝혔다. “사이버보안 전문성이 없던 로펌들이 모여들고 있다. 일반적인 소송과 기업 자문 변호사들은 이제 사이버보안과 데이터 프라이버시 문제에 친숙해져야 한다”고 시한은 덧붙였다.

모든 기업이 현재 PII(personally identifiable information), 기업 비밀, 특허 정보 등의 온라인 데이터를 가지고 있기 때문에 시한은 “사이버보안과 데이터 프라이버시를 전문으로 하는 전문가에 대한 수요가 커졌다. M&A 전문 변호사들마저 사이버보안 법률에 대해 알아야 한다”고 조언했다.

사고 대응 계획의 핵심 요소
또 시한은 “많은 기업들이 사고 대응 계획과 사고 대응을 조정하기 위해 외부 변호사에 호사에 의존하지만 다른 기업들은 회사 내 변호사를 두고 그 역할을 맡기고 좀 더 복잡한 법률 문제나 시나리오가 발생할 때 외부 전문가를 부른다”고 말했다.

유출 상황에서는 빠른 대응이 중요하기 때문에 사이버보안 변호사를 준비해둔 기업들이 사고에 빠르고 효과적으로 대응할 수 있다.

CIO들은 분명 사이버보안의 기술적 측면에 책임이 있지만, 시한에 따르면, 정부 혹은 복잡한 수사에 대응하려면 더 많은 인력이 필요하고 사이버보안 변호사의 전문성을 필요로 한다.

룩 시큐리티(Rook Security)의 CEO JJ 톰슨도 시한의 의견에 동의했다. “사이버보안 변호사가 없는 상황은 최악이다. 왜냐하면 조직에는 유출 시나리오, 개인 정책, 사이버 책임 보험, 정부 대응 이 네 가지 분야에 전문가들이 필요하기 때문이다”라고 설명했다.

권한을 유지하는 것은 유출 이후 가장 중요한 사항이지만 가능한 사고, 실제 사고, 혹은 유출 사이의 차이점을 이해하는 데서 회사의 대응이 시작될 것이다. 사이버보안 변호사는 조직과 협동해 누가 누구에게 언제 무엇을 이야기하는지를 결정하는 사고 대응 계획을 수립해 주기 때문이다. “이 계획은 아주 기본적이고 변호사는 계획 설계의 핵심을 담당한다”고 톰슨은 강조했다.

즉각적 소송의 시대?
‘유비무환’이라는 격언은 정보 유출과 개인정보 규제 준수에 딱 들어맞는 이야기다.

유출 이후의 대응 시간에는 추가적인 위험이 존재한다. 시한에 따르면, 유출 이전에는 소송 위험을 피할 수 있는 가치 있는 조언을 얻지 못할 것이고, 소송은 점점 더 흔해지고 있다. 유출 이후 즉각적으로 소송을 당하게 되고 변호사는 소송 위험을 최소화하는데 관련이 있다고 시한은 설명했다.

타깃(Target)부터 샐리 뷰티 서플라이(Sally Beauty Supply), 소니, 미국 정부 인사관리부(US Office of Personnel Management)에 이르는 기업 및 기관들은 주요 유출사고로 이미지에 타격을 입었다. 그리고 이어진 집단 소송들은 재판부의 손해에 대한 인식을 바꿔놓았고, 결과적으로 법률 해석을 변화시켰고 사이버보안 법률의 영역이 떠오르게 되었다.

논문 <사이버보안과 프라이버시 집행: 2014년 재판 사례 정리(Cybersecurity and Privacy Enforcement: A Roundup of 2014 Cases)>에서 프랜시스 버크와 스티븐 밀렌도르프는 “2011년 소니 플레이스테이션 네트워크(Sony PSN)은 데이터 유출 사고를 겪었고 소니 고객 수 백만 명의 PII를 노출시켰다”고 밝혔다. 소니는 그 네트워크를 오프라인으로 내렸지만 고객들에게 유출 사고에 대해 알리지 못했다. 재판부는 “원고가 공격 이후 그들의 개인 정보 노출에 근거해 실질적인 피해 위협을 받았다”고 판결 내렸다.

버크와 밀렌도르프는 타깃 유출 사고 재판에서 주주 대표 소송에 대해서도 다음과 같이 적었다. “그 불편은 이런 실패들이 회사에 심각한 손상을 입혔다는 혐의가 더 제기되었고, 회사는 미국 정보부와 법무부의 조사를 받고 있을 뿐 아니라 회사에 대한 집단 소송의 규모 확대를 가져온다.”


X