Offcanvas

AI / CSO / 경력관리 / 리더십|조직관리 / 머신러닝|딥러닝 / 보안

“사고 나면 소송行”··· CISO 생존을 위한 6가지 법적 무기

2024.07.05 Ericka Chickowski  |  CSO
RACI 매트릭스 작성부터 개인 변호사 선임까지, CISO가 개인적 책임을 지면서도 효과적으로 업무를 수행할 수 있는 다양한 방법이 있다.
 
ⓒ Getty Images Bank

전 우버 CISO 조 설리반과 솔라윈즈의 티모시 G. 브라운에 대한 소송과 같이, 징역형과 막대한 벌금을 위협하는 CISO 대상 소송은 많은 CISO의 근심거리가 되고 있다. CISO들은 예산 제약과 경영진의 결정으로 인해 회사가 잠재적 보안 위험에 노출될 수 있는 상황임에도, 중요한 업무를 수행하면서 직업적 위험뿐 아니라 개인적 위험도 최소화해야 한다는 압박을 받고 있는 것이다. 실제로 대규모 보안 침해 사고가 발생하면 CISO는 단순히 해고될 걱정을 넘어 인생이 송두리째 바뀔 수 있는 상황에 처할 수 있다.

일부 CISO는 현 직책을 그만두거나 더 나은 환경으로 이직을 고려하고 있지만, 일부 CISO들은 이 법적 위험을 다른 방식으로 관리하고 있다. 특히 개인적 차원에서 위험을 관리하는 이가 늘고 있다. 보안 침해 및 기타 보안 사고가 불가피하게 조직을 강타했을 때, CISO가 개인적 법적 위험을 감수하지 않으면서도 계속해서 좋은 성과를 낼 수 있는 방법은 다음과 같다.

1. 역할과 책임 명확히 정의하기
CISO가 자신을 보호할 수 있는 핵심 방법 중 하나는 보안 관련 역할과 책임에 대한 명확한 기업 표준을 확립하는 것이다. 과거 은행에서 CISO로 근무하고 현재 컨설팅 회사 사이버 에이기스(Cyber Aegis)의 사이버 보안 고문, 그리고 벤처 펀드 팀8(Team8)의 CISO인 찰스 블로너는 “모든 거버넌스 문서를 검토하고, 특히 누가 위험 관리 결정을 내리는지에 대한 역할과 책임이 명확히 명시돼 있는지 확인하는 것이 중요하다”라고 조언했다.

안타깝게도 오늘날 많은 CISO가 이러한 명확성 없이 업무를 수행하고 있다고 사이버 보안 회사 이뮤니웹(ImmuniWeb)의 설립자이자 플랫 로 LLP(Platt Law LLP)의 사이버 보안 전문 변호사인 일리아 콜로첸코는 말했다. 그는 대기업의 CISO에게 모든 직무를 명확하고 종합적으로 열거할 수 있는지 물어보면 대부분 ‘아니오’라고 대답할 것이라고 설명했다.

콜로첸코는 “CISO의 업무 범위가 모호하고 불분명한 경우가 많다. 다시 말해 모든 것을 책임져야 할 때가 많다”라며 “거기다 예산 결정권은 이사회에게 있기 때문에 CISO가 필요한 예산을 확보하는 것은 어렵다”라고 밝혔다.

오라클 SaaS 클라우드의 수석 부사장 겸 CISO인 데이비드 크로스는 조직이 보안 업무를 계획할 때 사용해야 하는 중요한 도구 중 하나로 ‘책임 배정 매트릭스(RACI: Responsible, Accountable, Consulted, Informed)’를 꼽았다. 크로스는 “RACI가 없으면 실제로 역할과 책임이 정의되지 않은 것과 같다. 그러면 문제가 발생했을 때 누구에게 책임을 물어야 할지 불분명해진다”라고 조언했다.

크로스는 이러한 매트릭스가 CISO뿐만 아니라 CISO와 협력해야 하는 모든 주요 파트너 및 경영진에 대한 책임 기준을 설정하는 데 도움이 된다고 설명했다. 이를 통해 모든 관계자가 위험 결정을 내릴 때 따라야 할 규칙을 명확히 할 수 있다는 것이다.

크로스는 “역할에 대한 설명이 문서화되어 있으면, 이를 회사 내부에 공유할 수 있으며 어떤 문제가 발생하면 누가 결정을 내리는지 전사적으로 명확하게 알 수 있다”라며 “이를 통해 표준이 언제, 누구에 의해 위반되었는지 파악하기도 더 쉬워진다”라고 덧붙였다.

역할과 책임은 큰 그림의 전략적 의사결정뿐만 아니라 실질적인 사고 대응 계획과 플레이북(절차 및 행동 지침 문서)에도 적용되어야 했다. 이를 통해 문제 발생 시 누가 무엇을 해야 하는지 명확히 파악할 수 있다. 크로스는 “플레이북에는 법무, 홍보, CEO, 기타 경영진 등 지휘 체계에 있는 모든 사람의 역할과 해야 할 행동이 명시돼야 한다. 그래야 사고가 발생했을 때 적절한 사람이 준비된 상태로 대응할 수 있다”라고 설명했다.

2. 정책부터 회의까지 모든 것 문서화하기
물론 문서화는 어디 부서에서나 중요하지만, CISO는 더더욱 업무의 모든 측면에서 문서화를 생활화해야 한다. 각종 문서는 CISO가 이사회와 감사 부서에게 해명하는 과정에서 도움이 되는 동시에, 개인적 책임을 줄이는 데도 큰 도움이 된다. 콜로첸코는 “문서화는 필수다. 문서가 있다는 것은 이미 상당한 보호를 받고 있다는 뜻이다”라고 강조했다.

문서로 남겨야 하는 영역은 프로세스에 대한 기업 정책과 절차, 위험 수용 프레임워크, 이메일, 서면 답변은 물론 CISO가 작성한 거의 모든 메모 내용까지 포함된다. 실제로 크로스의 경우, 모든 회의, 참석자, 취해진 조치, 관련 의사결정권자에 대한 메모를 꼼꼼히 기록했다. 크로스는 “나는 주간 보안 보고서라는 것을 작성한다”라며 “이는 모든 관계자가 알고 있는 내용으로, 모든 회의, 참석자, 결정된 사항이 기록되어 있다. 모든 것이 문서화되어 있는 셈이다”라고 설명했다.

CISO가 자기 방어를 제대로 하려면 일단 문제가 발생했을 때 어떤 일이 일어나는지, 누구에게 알려야 하는지, 다음 단계에 대해 누가 결재해야 하는지에 대한 정책을 마련해야 한다. 콜로첸코에 따르면, 어떤 문제가 발생한 후 자체적인 보안 기업 정책이 있고, CISO가 규정에 따라 이사회와 변호인에게 이메일로 보안 취약점을 알렸으며, 상급자가 준비한 대로 진행하겠다고 응답했다는 사실을 규제 당국이나 검찰에 법률 고문에 알릴 수만 있다면, CISO는 훨씬 더 안전한 입장에 설 수 있다. 콜로첸코는 “그러면 ‘나는 회사 규칙을 준수했고, 회사의 정책과 절차를 완전히 따랐다’는 증거를 보여줄 수 있다”라며 “이사회가 이메일을 무시했다는 내용이 나와면, 나중에 모든 책임은 이사회가 져야 할 것이다”라고 설명했다.

3. 위험 등록부 구축하기
CISO에게 유용한 문서화 방법에는 기존의 사이버 위험을 식별하고 관련 비즈니스 이해관계자가 위험을 인정하고 받아들이는 수준을 기록하는 일명 ‘위험 등록부(risk register)’가 있다. 이는 이사회에 사이버 위험에 대한 가시성을 높이는 데 도움이 될 뿐만 아니라 CISO 자신을 보호하는 데도 확실히 도움이 된다.

관리형 탐지 및 대응 회사인 엑스펠(Expel)의 CISO이자 전 내셔널 하키 리그 CISO였던 그렉 노치는 “보안 프로그램을 운영하려면 위험 등록부가 필수적이다. 이는 기본 중의 기본이다”라고 표현했다.

일부 조직에서는 거버넌스, 위험 및 규정 준수(Governance, Risk and Compliance, GRC) 플랫폼을 사용하여 위험 등록을 추적하지만, 반드시 그럴 필요는 없다. 노치에 따르면, 대부분의 경우 스프레드시트만으로도 충분하며, 노치가 운영하는 회사 역시 그렇게 하고 있다. 보안 회사 데보(Devo)의 CISO인 케일라 윌리엄스 역시 스프레드시트 템플릿을 사용하여 여러 비즈니스 이해관계자의 위험 수용과 예외 사항을 추적하고 있다.

윌리엄스는 “구글 스프레드시트를 이용해도 충분히 보안 관련 승인자를 설정하고 그들에게 바로 이메일을 보낼 수 있다. 개인적으로 나의 위험 관리 체계에서는 위험 수준에 따라 보고 대상자를 다르게 구분해 두었다. 가령 중간 수준의 위험일 경우 관련 담당 부서에 정보가 넘어간다. 높은 위험일 경우 나 자신 혹은 내 업무의 위임자, 혹은 법무 자문에게 전달된다. 그리고 치명적인 위험일 경우 CEO까지 보고된다”라며 “구글 시트 승인 흐름을 통해 모든 것이 문서화되고, 정보는 연도별로 정리돼 폴더에 저장된다. 덕분에 감사 담당자가 와서 갑자기 정보를 요청해도 ‘여기 있다, 확인하라’라고 자신있게 말할 수 있다”라고 설명했다.

4. 보험 및 면책 보호 마련하기
CISO는 탄탄한 정책, 절차, 문서를 갖추고 있더라도 면책 계약, 고용 계약 조건, 적절한 수준의 보험 보호와 같은 도구를 통해 추가적인 법적 보호 장치를 마련해야 했다. 콜로첸코는 아직 자구책을 마련하지 않은 CISO라면 적극적으로 법률 고문에게 연락하여 모든 의무, 책임, 보호 사항에 대해 문의하라고 조언했다. 불리한 조건이 있다면 이의를 제기해야 한다고 그는 강조했다.

콜로첸코는 “만약 법률 고문이 ‘당신은 아무런 보호도 받지 못하며, 해킹을 당하면 우리 기업은당신을 고소하겠다’고 주장했다면 주저하지 말고 재협상을 요구하라. ‘우리 기업은 집단 소송에 참여해서 CISO 당신을 법정에 세우겠다’고 한다면 고용 조건을 재협상해야 한다”라고 설명했다. 또한 그는 “경영진이 협박하는 상황이라면 ‘이는 CISO 나에게만 국한된 문제가 아니다. 내가 효율적이고 효과적으로 일하며, 회사의 영업 비밀과 지적 재산, 고객의 개인 데이터를 보호하려면, 추가적인 보호가 필요하다. 정치적으로 옳은 일 혹은 개인적 위험이 가장 적은 일이 아니라 옳은 일을 할 수 있도록 하려면 더더욱 보호해달라’라고 말하길 추천한다”라고 설명했다.

일부 전문가는 이사 및 임원(Directors and Officers, D&O) 보험에 가입하길 권한다. 하지만 노치에 따르면, 그런 보험의 보장 범위는 제한적인 경우가 많다.

노치는 “회사의 이사이자 임원으로서 비즈니스 위험에 영향을 미치는 결정에 대해 어느 정도 재정적 책임이 있는 경우 D&O 보험에 가입해야 한다. 이는 개인의 위험이 아니라 회사의 위험을 다룬다”라며 “하지만 사람들이 생각하는 것처럼 보험이 만병통치약은 아니다. 우선 D&O 보험은 형사상 책임에 대해서는 보상하지 않는다. 또한 정부 책임에 대해서도 보상하지 않는다. 따라서 SEC가 조사에 나섰을 때 D&O가 반드시 여러분을 보호해 주는 것은 아니다. 보험 때문에 모든 것이 순조로워 보일 수 있지만 막상 SEC의 통지서를 보면 심각해질 것이다”라고 밝혔다.
 
우버의 전 CISO 조 설리반 ⓒ 조 설리반

우버의 전 CISO였던 조 설리반은 연방거래위원회(Federal Trade Commission)에 의해 기소된 후 2016년 회사의 데이터 유출 사건과 관련하여 항소심에서 유죄 판결을 받아 3년 집행유예를 선고받았다. 설리반은 변호사들이 컨퍼런스에서 자신의 사건을 언급하며 ‘설리반처럼 되지 않으려면 이렇게 하라’라는 식으로 조언하는 것을 보면 좌절감을 느낀다고 말하며, 이해할 수 없는 부분 중 하나가 D&O 보험이라고 지적했다.

설리반은 “우리는 모든 것을 갖추고 있었다. 사고 대응 정책도 있었고, D&O 보험에 상응하는 보험도 가지고 있었다”라고 설명했다. 설리반은 작년부터 다른 CISO들에게 책임을 제한하는 방법에 대해 조언하는 컨퍼런스 발표를 자주 진행하고 있으며, 최근에는 스타트업 브리치RX(BreachRx)의 자문 역할을 맡고 있다. 설리반은 “CISO가 소송에 휘말릴 경우 변호사를 고용해야 할 때가 있다. 그런 면에서 변호사 선임 및 소송 비용을 보장받을 수 있는 보험이 유용하다. 또한 배상책임 보험에는 한계가 있기 때문에, 이러한 한계에 대해 변호사와 상의하는 것이 중요하다”라고 설명했다.

5. 개인 변호사 구하기
설리반은 독립적인 변호사를 선임하는 것이 오늘날의 규제 환경에서 CISO가 스스로를 보호할 수 있는 매우 중요한 방법이나 많은 이를 간관하고 있다고 지적했다.

콜로첸코는 “일부 사람들이 놓치고 있는 중요한 부분이 있다. 회사 내부 법률 고문이 있어도, 그 법률 고문은 CISO의 변호사가 아니라는 것이다”라며 “이것은 매우 중요하다. 대부분 법률 고문은 CISO가 아닌 고용주의 이익을 위해 행동할 것이라는 인지하고 있어야 한다”라고 설명했다.

CISO가 이러한 관계의 특성을 인식하지 못하면 잠재적으로 이해 상훙 상황에 처할 수 있으며, 이로 인해 개인적으로 법적 위험에 노출될 수 있다.

콜로첸코는 “한 CISO가 법률 고문과 이야기하면서 ‘이봐요, 다 제 잘못이에요’라고 말하며 유죄를 명백히 인정한다고 가정해 보자. 나중에 회사는 해당 발언을 CISO에게 불리하게 활용할 수 있다. 향후 CISO는 다시 법률 고문을 상대로 추가 소송을 진행할 수 있지만, 여러 소송을 동시에 진행하면 CISO가 더 힘이 들 수 있다”라고 설명했다.

콜로첸코는 위기가 발생하기 전에 변호사를 적극적으로 물색하는 것이 중요하다고 강조했다. 콜로첸코는 “이미 법정 소환장을 받았을 때는 너무 늦었을 수 있다”라며 “가장 중요한 것은 본인과 주변 사람들이 최선의 결정을 내릴 수 있도록 기반을 마련해야 한다”라고 설명했다.

물론 어떤 경우 변호사 선임이 필요 없을 수 있지만, 만약 찾는다면 무료 초기 상담을 통해 고용, 기업 및 사이버 보안 책임에 대한 적절한 경험을 갖춘 변호사를 찾아두는 것이 좋다.

또 한 가지 CISO가 사전에 할 일은 고용주에게 독립적인 법적 비용을 상환해 달라고 협상하는 것이다. 적어도 보안 사고가 발생할 때는 CISO가 개인 변호사와 협력하겠다는 부분도 고용주에게 이해시켜두어야 한다.

설리반은 이런 부분을 아예 내부 관행 문서에 명문화하라고 조언했다. 설리반은 “보안 사고가 발생했을 때 갑자기 법률 고문에게 전화를 걸어 ‘나를 위한 독립적인 변호사가 필요하다’라고 말한다고 상상해 보라. 그 변호사가 그 사건의 나머지 부분에 대해 신뢰할 수 있을까? 아니다”라며 “사건이 발생하기 전에 미리 이런 대화를 나누어야 한다”라고 설명했다.

6. 회사가 공개적으로 언급하는 보안 주제 내용 주의하기
마지막으로, CISO는 회사가 보안에 대해 대외적으로 한 약속이나 공개된 발언이 실제 행동과 일치하지 않을 때 법적 문제가 발생할 수 있다는 점을 명심해야 한다. 실제 이런 부분은 보안 관련 법적 분쟁에서 핵심이 되고 있다.

설리반은 “규제 당국은 조사 기업이 중요한 정보를 잘못 전달하거나 오해를 일으킨 경우에 법적으로 추궁할 수 있다”라며 “규제 당국은 솔라윈즈가 보안 관행을 잘 지켰는지 여부가 아니다. 그들이 무엇을 말했는지, 무엇을 약속했는지, 약속과 관련하여 무엇을 제대로 이행하지 않았는지에 초점을 맞추고 있다. 실제 FTC가 나를 조사했을 때도 내 회사가 소비자를 속이거나 잘못된 정보를 제공한 거래 관행에 대해 지적했다”라고 설명했다.

그런 면에서 보안 리더는 회사가 보안에 대한 입장을 공개적으로 언급할 때 직접 그 발언을 주도하고 통제하면서 자신을 보호할 수 있다. 설리반은 “회사가 평가받는 것은 바로 그런 것이다. 당신의 개인정보 보호 정책에 무엇을 언급했는지, SEC 문서에 뭐라고 썼는지 등을 평가받는 것이다”라고 말했다.

설리반은 또한 “내가 얻은 교훈 중 하나는 보안 리더가 실제로 회사가 내놓는 콘텐츠에 주의를 기울이고 ‘보안에 대해 말할 거라면 최소한 보안 팀에 먼저 확인해서 정확한지 확인해 줄 수 있겠느냐’고 요청해야 한다는 것이다”라고 조언했다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.