2012.03.13

‘데이터 침해 책임은? 배상은?’ 뜨거워지는 아웃소싱 분쟁

Stephanie Overby | CIO

IT 아웃소싱 계약에는 분쟁이 끊이지 않는 법이다. 그러나 최근 특히 데이터 침해 사고 발생 시 누구에게 책임이 있느냐를 놓고 벌어지는 분쟁이 눈길을 끌고 있다.

한때 데이터 보안에 대한 책임 소재가 상대적으로 명백했던 시절이 있었다. 일반적으로 고객이 각자의 데이터에 대한 보안 책임을 지곤 했다. 그러다 서비스 제공 계약이 대두되면서 비밀 정보에 대한 책임이 서비스 공급자에게 넘어갔다. 당시 공급기업들은 데이터 침해에 대한 금전적 책임을 제한 없이 떠맡았다.

로펌인 모리슨 앤 포어스터(Morrison & Foerster)의 글로벌 소싱 부문 책임자인 크리스 포드는 "서비스 공급자들은 이로 인해 어려운 상황에 직면하게 됐다"라고 설명하고 있다. 책임에 제한을 두는 경우도 있었지만 통상 해당 계약과 관련된 1년 매출에 국한됐다. 데이터 보안 절차에 특별한 요건도 없었을 뿐더러, 있다 해도 소수에 불과했었다.

그러다 많은 연방 정부 규제들이 등장했다. 금융서비스 현대화 법(Gramm-Leach-Bliley), HIPAA(Health Insurance Portability and Accountability Act) 등이다. 주정부들 또한 데이터 침해와 관련해 기업들을 규제하는 법안을 마련하기 시작했다. 고객에게 통보를 해야 하고, 피해를 줄일 수 있는 조치를 취해야 한다는 것이었다. 예를 들어 데이터 침해로 피해를 입은 고객을 사기 범죄로부터 보호해야 하고, 신용기록을 감시해야 한다는 규제 등이 대두됐다.

결과적으로 IT 서비스 공급자들의 피해 보상 비용이 천정부지로 치솟았다. 데이터 침해에 따른 피해액은 업종과 사고 규모에 따라 크게 다르다. 포레스터는 2007년 기준 데이터 기록당 미화 90~305달러의 비용이 발생한다고 추정하고 있다. 반면 포네몬 인스터튜트(Ponemon Institute)의 추정에 따르면 미화 214달러이다. 포드는 "고객 기반이 크다면 비용이 어마어마할 수 있다"라고 말했다.

책임소재에 대한 패러다임을 재정비한 IBM
변호사들이 끼어들기 시작했다. IBM 글로벌 서비스(IBM Global Services), HP, 액센추어(Accenture) 같은 대형 공급자들은 자신들의 위험 프로파일을 재점검하기 시작했다. 그리고 공격적으로 책임을 제한했다. 로펌인 K&L 게이츠(K&L Gates)의 숀 헬름스 아웃소싱 부문 파트너는 "IBM을 중심으로 공급자들이 거센 반격을 시작했다"고 표현했다. 이들은 특정 데이터 침해와 보호 대책에 부수적인 한도를 부여하기 시작했다. 특히 소매, 에너지, 금융 산업에서 많은 고객들을 유치하고 있는 공급자들이 가장 적극적으로 움직였다.

포드는 "IBM 같은 회사들은 대단히 공격적인 접근법을 선택했다. 피해 비용 배상을 연간 매출액으로 제한했다. 또 협상의 여지도 없었다. 모두가 공격적으로 책임을 제한했다. 패러다임이 변한 것이다"라고 설명했다.




2012.03.13

‘데이터 침해 책임은? 배상은?’ 뜨거워지는 아웃소싱 분쟁

Stephanie Overby | CIO

IT 아웃소싱 계약에는 분쟁이 끊이지 않는 법이다. 그러나 최근 특히 데이터 침해 사고 발생 시 누구에게 책임이 있느냐를 놓고 벌어지는 분쟁이 눈길을 끌고 있다.

한때 데이터 보안에 대한 책임 소재가 상대적으로 명백했던 시절이 있었다. 일반적으로 고객이 각자의 데이터에 대한 보안 책임을 지곤 했다. 그러다 서비스 제공 계약이 대두되면서 비밀 정보에 대한 책임이 서비스 공급자에게 넘어갔다. 당시 공급기업들은 데이터 침해에 대한 금전적 책임을 제한 없이 떠맡았다.

로펌인 모리슨 앤 포어스터(Morrison & Foerster)의 글로벌 소싱 부문 책임자인 크리스 포드는 "서비스 공급자들은 이로 인해 어려운 상황에 직면하게 됐다"라고 설명하고 있다. 책임에 제한을 두는 경우도 있었지만 통상 해당 계약과 관련된 1년 매출에 국한됐다. 데이터 보안 절차에 특별한 요건도 없었을 뿐더러, 있다 해도 소수에 불과했었다.

그러다 많은 연방 정부 규제들이 등장했다. 금융서비스 현대화 법(Gramm-Leach-Bliley), HIPAA(Health Insurance Portability and Accountability Act) 등이다. 주정부들 또한 데이터 침해와 관련해 기업들을 규제하는 법안을 마련하기 시작했다. 고객에게 통보를 해야 하고, 피해를 줄일 수 있는 조치를 취해야 한다는 것이었다. 예를 들어 데이터 침해로 피해를 입은 고객을 사기 범죄로부터 보호해야 하고, 신용기록을 감시해야 한다는 규제 등이 대두됐다.

결과적으로 IT 서비스 공급자들의 피해 보상 비용이 천정부지로 치솟았다. 데이터 침해에 따른 피해액은 업종과 사고 규모에 따라 크게 다르다. 포레스터는 2007년 기준 데이터 기록당 미화 90~305달러의 비용이 발생한다고 추정하고 있다. 반면 포네몬 인스터튜트(Ponemon Institute)의 추정에 따르면 미화 214달러이다. 포드는 "고객 기반이 크다면 비용이 어마어마할 수 있다"라고 말했다.

책임소재에 대한 패러다임을 재정비한 IBM
변호사들이 끼어들기 시작했다. IBM 글로벌 서비스(IBM Global Services), HP, 액센추어(Accenture) 같은 대형 공급자들은 자신들의 위험 프로파일을 재점검하기 시작했다. 그리고 공격적으로 책임을 제한했다. 로펌인 K&L 게이츠(K&L Gates)의 숀 헬름스 아웃소싱 부문 파트너는 "IBM을 중심으로 공급자들이 거센 반격을 시작했다"고 표현했다. 이들은 특정 데이터 침해와 보호 대책에 부수적인 한도를 부여하기 시작했다. 특히 소매, 에너지, 금융 산업에서 많은 고객들을 유치하고 있는 공급자들이 가장 적극적으로 움직였다.

포드는 "IBM 같은 회사들은 대단히 공격적인 접근법을 선택했다. 피해 비용 배상을 연간 매출액으로 제한했다. 또 협상의 여지도 없었다. 모두가 공격적으로 책임을 제한했다. 패러다임이 변한 것이다"라고 설명했다.


X