칼럼 | SEC의 솔라윈즈 CISO 고소, 최선이 아닌 이유

미국 증권거래위원회(SEC)가 솔라윈즈 CISO를 사기 혐의로 고소해 보안 업계가 술렁였다. 우버(Uber)의 전 CSO인 조 설리반은, 민간 부문이 사이버 범죄로부터 사람들을 보호하는 데 있어 이 같은 조치는 최선이 될 수 없다고 지적했다.
 

실리콘밸리 스타트업 문화에서 ‘쿠키 핥기’는 경멸적인 표현이다. 쿠키를 핥는다는 것은 프로젝트를 즉시 실행할 능력이 없음에도 불구하고 다른 사람이 프로젝트를 갖지 못하도록 여러 방법을 동원해 우선권을 주장한다는 의미다. 다시 말해 배가 불러서 당장 먹을 수 없는데도 먹을 기회를 놓치지 않으려는 행동이다.

안타깝게도 암호화폐, 인공지능, 사이버 보안 같은 신흥 분야의 규제 압박을 보면 쿠키 핥기가 떠오른다. 필자는 전직 연방 사이버 범죄 검사이자 오바마 행정부 사이버 위원이었으며, 최근 사이버 관련 범죄로 유죄 판결을 받은 기업의 정보 보안 책임자였기 때문에 이러한 상황을 누구보다 가까이서 지켜봤다고 할 수 있다.

25년 전 인터넷에서 사람들을 보호하기 위한 연방 법 집행 업무를 맡게 됐을 때, 필자는 한 가지를 금방 깨달았다. 인터넷은 대부분 민간 부문에서 운영 및 관리되기 때문에 법 집행 기관이 일반적으로 사람들을 보호하는 곳과는 다르다는 사실이었다. 인터넷에서 사람들을 안전하게 보호하기 위해 필요한 조치는 정부가 민관 협력에 집중 투자하고 민간 부문에 대해 명확한 기준을 설정하는 것이었다. 당시에는 더 오래 전 의회에서 만든 법규에 의존해야 했다. 인터넷이 앨 고어의 눈에 포착되기 훨씬 전이었다. 그때 법은 충분하지 않았고, 지금도 마찬가지다.

집행에 의한 규제는 답이 아니다
실제로 수십 년이 지난 지금까지 의회는 사이버 ‘도로’의 규칙을 정하거나 어떤 기관이 사이버 경찰 역할을 맡을지 명확히 하기 위해 별로 노력하고 있지 않다. 행정부는 지금 하고 있는 일을 하는 것 외에 별 선택의 여지가 없을지도 모른다. 이들은 집행에 의한 규제로 민간 부문의 기준을 설정하고 있다. 집행에 의한 규제는 기업 행위자들에게 명확한 규칙을 제시하지 못하지만, 규제 당국이 전문 지식, 자원, 기준이라는 필수 기반 없이 매력적으로 보이는 모든 영역에 뛰어들 수 있도록 만든다. 누구에게도 이상적이지 않다. 특히 민간 부문이 국민의 안전을 지키기 위해 정부와 긴밀히 협력하기를 두려워하게 된다면 더욱 위험하다. 

이러한 민관 대립 관계의 심화는 또 다른 불행한 현실에 의해 촉진되고 있다. 인터넷을 통해 미국인에게 해를 끼치는 악의적인 범죄자의 대부분이 미국 이외의 지역에서 활동한다. 따라서 타인에게 해를 끼치려는 이들에 대해 미국 법 집행 당국이 정의를 실현하기란 매우 까다롭다. 이렇게 외부 행위자에 무력할 때가 많기 때문에, 업계에서는 법 집행 당국이 대중에게 관심을 갖고 있음을 선전하기 가장 쉬운 방법으로써 민간 부문을 대상으로 삼았다고 보고 있다. 

지난달 30일 미국 증권거래위원회(SEC)가 솔라윈즈(SolarWinds)의 CISO에 대한 소송을 시작한다고 발표했을 때 기업 보안 임원 커뮤니티는 발칵 뒤집혔다. 지금까지 SEC가 보안 리더에 대해 공개적인 조치를 취한 적이 없었기 때문이다. 대부분의 사람들은 법적 공개에 대한 책임이 없는, 기술적이고 운영적인 역할을 맡은 개인이 왜 SEC의 표적이 됐는지 이해하지 못했다. 더 큰 문제는 조직 내부의 보안 결함을 지적하려는 그의 노력이 오히려 그에게 불리하게 작용했다는 점이다.

사이버 보안 규칙 제정에 필요한 것은 ‘진정한’ 민관 협력
SEC는 투자자를 보호하고 보안 시장의 공정성을 증진하는 것을 사명으로 하는 기관이다. 그런 SEC가 사이버 보안 관행에 직접 개입해 전문가의 입장을 자처하는 것이 합리적일까, 아니면 정책 입안자들이 보안 엔지니어 및 전문가, 사이버 임원, 전직 해커들과 협력해 규제를 개발하는 것이 더 나을까?

전에도 이런 사건을 목격한 적이 있다. 그때 필자는 불행히도 연방 법원의 1열에 앉았다. 우버의 최고 보안 책임자였던 2016년에 데이터 보안 사고로 형사 고발을 당했기 때문이다. 필자는 수백만 명의 고객과 배달기사의 개인 정보를 성공적으로 보호했지만, 미국 연방거래위원회(FTC)는 회사가 이 문제를 FTC에 제대로 알리지 않았다고 판단했다. 법무부는 공무 집행 방해 및 연방 범죄 은닉 혐의로 필자를 고소하기로 결정했다. (편집자 주: 조 설리반은 2016년 우버의 데이터 유출 사고를 덮기 위해 해커에게 돈을 지불했다는 혐의로 5만 달러의 벌금과 집행유예 3년을 선고받았다. 보안 담당자 개인이 기업 보안 문제에 대해 얼마큼의 법적 책임을 져야 하는지를 두고 논쟁이 일어난 사건이다.)

두 사건의 유사점은 뚜렷하다. FTC와 SEC 모두 의회에서 사이버 공간에 대한 책임을 위임받지 않았으며, 둘 다 법률 또는 외부 커뮤니케이션을 관리하는 기업의 의무가 없는 개인을 상대로 조치를 취하기 위해 기업 소송과 관련된 기존 당국에 의존했다. 그들은 칼싸움에 바주카포를 가져오는 꼴이더라도 기준을 설정하기 위해 방법을 가리지 않고 마음대로 도구를 사용하고 있다. 이러한 사례로 인해 CISO는 조직의 법무 및 커뮤니케이션 부서의 동료들을 신뢰하는 대신, 기술 전문가뿐만 아니라 데이터 유출 공개법에 대한 전문가, SEC 보고 요건과 관련한 전문가가 돼야 한다는 걱정에 사로잡히게 된다.

우리에게 필요한 것은 공공과 민간 부문의 진정한 협력, IT 전문가와 법 집행 기관에 대한 명확한 규칙과 기준이다. 또한 IT 전문가의 업무 수행을 표적으로 삼고 민관 대립을 심화하는 불합리하고 비용이 많이 드는 집행 조치 대신 규칙 제정을 통해 규제를 시도할 행정부가 필요하다. 진정한 협력의 장에 도달해야만 모두가 함께 온라인에서 사람들을 진정으로 안전하게 보호할 수 있다. ciokr@idg.co.kr