Offcanvas

리더십|조직관리 / 보안 / 분쟁|갈등 / 비즈니스|경제 / 아웃소싱 / 클라우드

‘데이터 침해 책임은? 배상은?’ 뜨거워지는 아웃소싱 분쟁

2012.03.13 Stephanie Overby  |  CIO


로펌인 듀이 앤 르부프(Dewey & LeBoeuf)의 로버트 핀켈 기업 부문 파트너에 따르면, 2~3개월에 해당하는 요금만 배상하는 아웃소싱 공급자들이 수두룩해져 갔다. 반면, 대부분의 해외 벤더들은 책임에 제한을 두지 않았다. 신규 고객 유치를 위해서였다. 또 여전히 많은 기업들이 이런 방식을 유지하고 있다.

강경하게 책임에 제한을 둔 IBM을 비롯한 공급자들 중에는 데이터 침해에 따른 배상 금액을 용납할 수 없다고 판단할 경우 협상을 결렬시키는 곳도 있었다. 포드는 "IBM은 책임 한계를 분명히 했다. 큰 거래라도 포기할 정도였다. 고객들은 이런 IBM의 태도에 놀랄 수밖에 없었다"라고 말했다.

반격에 나선 아웃소싱 고객들
그러나 최근 들어 아웃소싱 고객들이 반격에 나서기 시작했다. 포드는 "4~5년전 하더라도 데이터 침해 시 일정 부분 책임을 지기만 해도 받아들이는 고객들이 많았다. 그러나 (사용료의 12개월이라는 표준 배상)의 몇 배가 필요하다고 요구하는 고객들이 늘고 있다. 이에 따라 많은 계약들이 3~4배 수준의 책임을 용인하고 있다"고 설명했다.

또 아웃소싱 고객들은 새 데이터 보안 절차를 계약에 규정하도록 요구하기 시작했다. 헬름스는 "고객들이 위험을 깨닫기 시작하면서, 더 많은 요구를 하기 시작했다. 또 구체적인 데이터 보안 요건을 규정하기 시작했다. 구체적인 방화벽 정책, 암호화 방법, 공급자 직원들의 네트워크 접속 제한 등이다"라고 말했다.

또 구체적인 위험 평가를 토대로, 데이터 침해 사고 발생 시 현실적인 손해 배상 금액을 제시하기도 한다. 포드는 "고객들은 서비스 공급자만큼이나 이 문제를 심각하게 받아들이고 있다. '내 데이터를 건네주면 관리를 하는 것이니까, 문제가 발생하면 책임을 져야 한다'고 주장한다"라고 설명했다.

아웃소싱 공급자들은 이에 대한 대응으로 보안과 관련된 책임 소재를 계약서 상에 자세히 기재하고 있다.

포드는 "고객이 데이터 침해 사고에 따른 배상을 받으려면 분명히 입증해야 한다. 계약서 상에 규정이 되어 있지 않다면 공급자의 책임이 아니다. 이 경우, 배상액이 낮아질 확률이 높다"고 설명했다.

현재까지 수백 만 달러의 데이터 침해 사고를 당한 아웃소싱 공급자나 고객은 없다. 그러나 이는 상관이 없다. 핀켈은 "큰 민사 소송도, 정부가 어마어마한 벌금을 부과한 사례도 없었다. 그러나 언젠가는 발생할 일이다. 이는 공급자와 고객 모두에 큰 영향을 미칠 수 있다"라고 말했다.

포드에 따르면, 데이터 침해 사고 시 책임소재와 한계에 대한 문제는 현재 아웃소싱 계약에서 가장 다툼이 많은 조항이다. 뿐만 아니라, 클라우드 컴퓨팅 서비스가 더 확산되면 논쟁 또한 늘어날 전망이다.

헬름스는 "아주 중요한 사안이다. 고객과 공급자들이 합의점을 찾지 못하고 있다. 게다가 간극이 더 벌어지고 있다. 클라우드 도입이 더욱 본격화되면, 위험에 따른 책임을 누가 지느냐가 더 중요해질 것이다"라고 분석했다.

포드는 아웃소싱 고객들이 합리적인 수준에서 데이터 침해에 따른 책임 소재가 규명되도록 계약을 체결해야 한다고 충고했다. 예를 들어, 서비스 공급자가 고객의 비밀 정보를 다루지 않는 경우라면, 데이터 보안에 대한 책임과 관련해 분쟁이 많지 않을 것이다. 그러나 데이터 침해가 큰 위험을 초래한다면, 공급자와 고객의 책임 한계를 분명히 하는 것이 중요하다는 설명이다.

포드는 "실사와 위험 평가를 실시해야 한다. 한계가 있을 것이다. 협상 과정에서 이런 한계와 용인할 수 있는지를 파악해야 한다"고 말했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.