칼럼 | ‘소송의 시대 속’ IT 리더가 기억해야 할 법적 현실 6가지

사회 시스템의 중심에 법이 자리하고 있기에 CIO도 법적 분쟁으로부터 자유로울 수 없다. CIO가 스스로를 보호하기 위해 알아야 할 현실을 살펴본다.
 

기업과 법무팀은 업무 수행과 관련하여 CIO에게 여러 법적 보호를 제공한다. 하지만 자신의 행동이 법적 한계에 걸치거나 직무 관련 위험을 부적절하게 처리한 것으로 의심되는 경우 CIO는 스스로를 변호해야 할 수도 있다.

실제로 계약 업체로부터 리베이트를 받은 혐의, 데이터 보안에 실패하여 대규모 데이터 유출을 초래한 혐의 등으로 소송을 당한 CIO의 사례는 적지 않다. 

올해 가트너는 한 전직 정부 연구 책임자가 경쟁업체 이직 제한 및 청탁 금지 계약을 위반하고 영업 비밀을 도용했다며 소송을 제기했다.

이렇듯 CIO가 소송을 당할 수 있음에도 불구하고 많은 CIO가 이러한 가능성에 대해 생각하지 않는다.

CIO가 알아야 할 법적 ‘문제’에는 어떤 것이 있으며 어떻게 스스로를 보호할 수 있을까? 다음은 조직의 IT 리더로서 법적 노출과 관련하여 염두에 두어야 할 6가지 현실이다.

1. 다양한 이유로 개인적 책임을 질 수 있다
그야말로 ‘다양한’ 이유일 수 있다. 신탁 책임 위반, 사기, 자기 거래 및 이해 상충부터 주 및 연방법 위반, 의심스러운 고용 관행, 지적 재산 도용, 데이터의 부적절한 취급에 이르기까지 각종 이유로 소송을 비롯한 법적 분쟁에 휘말릴 수 있다.

2. 임원 책임 보험에 가입하지 않으면 위험해질 수 있다
회사가 임원에 대한 책임 보험에 가입되어 있고 귀하가 임원이라면 회사가 책임에 대해 귀하를 변호해 줄 것이라고 생각할 수 있다. 물론 이는 유효할 수 있다. 하지만 당신의 회사에도 임원을 위한 책임 보험이 있는가?

포춘 500대 기업 대부분의 경우 임원을 위한 책임 보험에 가입하는 것이 표준이지만, 상당수의 민간 및 비영리 기업은 보험료 상승에 어려움을 겪고 있으며 책임 보험에 가입하지 않았을 수 있다.

CIO 채용 면접을 볼 때는 면접 대상 회사가 임원을 위한 책임 보호 및 배상 보험을 제공하는지 알아보는 것이 현명하다.

3. 책임 보험이 만병통치약은 아니다
임원 책임 보험이 모든 것을 보장하는가? 아니다. 크레즈 로의 매트 크레즈 변호사는 “D&O[이사 및 임원] 보험은 일반적으로 재산 피해, 불법 행위, 경영자 간 소송 같은 경우에는 적용되지 않는다. 비록 사이버 책임이 D&O 보장 범위에서 선택될 수 있지만, 재산 피해의 경우 랜섬웨어 공격과 같은 사이버 공격으로 인한 컴퓨터, 네트워크 장비 및 데이터 손상은 적용되지 않을 수도 있다”라고 말했다.

크레즈는 또 불법으로 간주되는 행위와 관련해 회색 지대가 존재한다고 지적했다. 그는 “일부 보험은 피보험자가 불법임을 알고 있는 행위는 제외하도록 규정하고 있는 반면, 다른 보험은 불법인지를 알았는지와 관계없이 모든 불법 행위에 적용되기도 한다. 아울러 한 경영자가 다른 경영자를 고소하는 보험 사기를 방지하기 위해 경영자 간의 소송은 제외된다”라고 말했다.

요컨대, 회사에서 기업 배상 책임 보험을 제공하는 경우 모든 것이 보장되는 것은 아니므로 이를 꼼꼼히 검토하는 것이 현명하다.

4. 숨기는 것보다 드러내는 것이 낫다
한 CIO는 직원으로부터 수천 개의 고객 기록이 훼손된 사이버 공격에 대해 보고 받았다. 여파가 두려웠던 CIO는 CEO나 이사회에 알리지 않기로 결정했다. 결국 고객들이 소송으로 회사를 위협하기 시작하면서 침해 사실이 드러났다. 말할 필요도 없이 CIO는 해고됐다. 또한 그는 과실 및 직무 위반으로 소송을 당할 수도 있었다.

5. 직원 문제를 문서화해야 한다
경력 초기 IT 책임자로 일할 때, 한 통신 감독관이 업무를 잘 알지는 못하면서 직원들에게 폭언을 일삼는 상황이 있었다. 그녀는 수석 부사장의 아내라는 이유로 그 직책을 맡게 되었다. 

당시 IT 부서의 성과는 좋지 않았다. 그녀를 해고하지 않고는 떨어진 사기를 회복하고 성과를 개선할 방법이 없을 것 같았다. 그녀가 업무 능력이 부족하고 일에 대한 의욕도 없다는 것을 보여주는 문서도 많이 가지고 있었다.

필자는 그녀가 부사장의 아내라는 점을 염두에 두고 인사부서와 함께 작업을 했다. 성과 문제를 매우 상세하게 문서화했고, 인사부서와 함께 그녀와 여러 차례 합동 회의를 가졌다. 안타깝게도 잘못된 행동과 열악한 성과는 변동이 없었다. 결국 그녀를 해고할 수밖에 없었다.

그 후 그녀는 나와 회사를 상대로 부당 해고 및 성차별에 대한 소송을 제기하겠다고 협박했다. 결국 그녀가 협박을 철회하기는 했지만 교훈을 얻을 수 있었다. 직원과 성과 문제가 있거나 논의를 할 때는 항상 포괄적으로 문서화해야 한다. 관련자를 만나야 하는 경우, 인사부서를 회의에 참여시켜 대화 내용을 증언해 줄 제3자를 확보해야 한다.

6. 기업 보안을 IT 리더 업무로 삼아라
CIO가 소송을 당하거나 해고되는 경우는 심각한 사이버 보안 침해로 인한 경우가 많다. 그 이유는 CIO를 비롯한 IT리더가 궁극적으로 기업 정보 보호에 대한 책임이 있기 때문이다. 보안 침해가 발생하면 항상 CIO의 책임으로 인식되며, 그 여파는 심각할 수 있다.

위험을 줄이고 책임을 다하기 위해 CIO는 CISO 및 보안 팀 리더와 정기적으로 만나 주간 보안 모니터링 보고서를 검토하고, 적시에 보안 감사 일정을 정하고 예산을 책정하며, 적절한 보안 프레임워크와 툴이 시행 중인지 확인해야 한다. 직원, CEO 및 이사회가 건전한 정보 보안 정책 및 관행에 대해 적절한 브리핑과 교육을 받을 수 있도록 해야 한다.

최종 책임자가 잘 알지 못한다는 것은 보안 침해 소송에서 변호가 될 수 없으므로 CIO는 이 업무에 직접 관여해야 한다. ciokr@idg.co.kr