CISO가 더 가까워져야 할 존재 ‘법무 부서 · 변호 · 법률 고문’

사이버 보안 관련 규정의 범위가 점점 확대되고 있다. CISO가 법무팀과 더욱 긴밀히, 거의 상시적으로 협력해야 할 이유다.
 

이미 앞선 CISO들이 규정 준수 및 위험 최소화를 위해 조직 내외의 법률 전문가와 협력하고 있다. 홉킨스 앤 칼리의 사이버 보안 변호사 키아라 포트너는 변호사가 위험을 완화할 방법을 찾는 데 중요한 역할을 한다고 말했다. 그는 "규제 부담이 증가하고 있다. 프로세스의 모든 단계에 법률 고문을 참여시키면 기업이 데이터 개인정보 보호법과 보안 규정을 효과적으로 탐색하는 데 도움이 된다"라고 포트너는 말했다.

포트너는 더 강력한 규제를 요구하는 목소리가 정부와 소비자의 두 측면에서 비롯되고 있다고 전했다. 자신의 정보를 보호받고자 하는 사람들의 인식이 높아지고 있다는 진단이다. 그는 "일반인들도 개인정보 보호와 보안에 대해 알아가고 있다. 웹사이트나 앱에서 더 많은 팝업과 요청을 보고 있으며, 그것이 실제로 무엇을 의미하는지 깨닫기 시작했다"라고 말했다.
.
보험 중개업체 우드루프 소여(Woodruff Sawyer)의 사이버 담당 부사장인 데이브 앤더슨은 "사이버 범죄자의 공격을 받은 기업을 '피해자'가 아닌 '관리 소홀'로 간주하는 패러다임의 변화가 출현하고 있다"라고 말했다.
.
그에 따르면 정보 보안과 법무 부서의 협업이 이제 기본적인 비즈니스 관행으로 자리잡고 있다. 데이터 유출로 인해 기업의 피해, 그리고 기업의 CISO나 법률 고문 등의 개인에게 미치는 영향이 점점 더 심각해짐에 따라서다. 

앤더슨은 이러한 협력이 부족할 경우 집단 소송 및 규제 조사에서 엄청난 과실을 입증하는 것으로 간주될 수 있으며, 이는 결국 소송에서 문제가 될 수 있다고 주장했다. 그는 "향후 몇 년 동안 태만 과실(criminal negligence) 이론이 시험대에 오를 가능성이 높다"라고 말했다.

앤더슨에 따르면 CISO가 이러한 동향을 숙지해야 한다 "CISO는 회사의 법률 고문 또는 개인정보 보호 책임자의 도움을 받아 시스템이 존재하는 규제 환경을 더 잘 이해해야 한다"라고 그는 말했다.

사이버 리스크를 비즈니스 리스크로 재정의
조직이 준수해야 하는 규제 매트릭스는 점점 더 복잡해지고 있다. 즉, 금융 및 뱅킹을 비롯해 심각한 규제를 받는 산업별 규제 매트릭스, DNA를 다루는 의료 및 생물 정보학, 그리고 핵심 인프라에 해당하는 분야 목록이 확대되고 있다. 또한 모든 글로벌 온라인 운영 조직이 직면한 EU의 일반 데이터 보호 규정(GDPR)과 같은 국가 및 관할권 기반 요구사항도 증가하고 있다.

딜로이트의 사이버 리스크 파트너인 데이비드 오웬은 지난 몇 년간 조직들의 통제 부실을 해결하기 위해 사이버 규제가 발전해 왔다고 전했다. 오웬은 “규제는 재량권을 줄이고 통제 조치를 강화하는 것을 목표로 한다”라며, 특히 원칙에 기반한 규제는 해석을 필요로 한다고 지적했다.

오웬은 가령 ‘물질적 유해’(material harm )와 같은 용어를 법적으로 해석하는 것이 매우 중요하며, 사고에 앞서 이러한 준비를 갖출 필요가 있다고 강조했다. ‘물질적 유해’의 범위를 정의하면 사이버 보안 지출 비용에 대한 방정식이 바뀌게 된다. 이는 CISO가 리스크 프로파일을 낮추기 위해 사이버에 비용을 지출하는 것의 가치를 보여주는 비즈니스 사례를 작성하는 데 도움이 된다. 그는 “규제가 사이버 리더들에게 미치는 영향 중 하나는 그러한 재량권의 일부를 없애는 것이다”라고 말했다.

하이퍼프루프의 CISO인 케인 맥글래드리에 따르면 규제 부담이 증가함에 따라 사이버 리스크를 비즈니스 리스크의 관점에서 볼 필요가 있다. 사이버 리스크는 더 이상 단순한 기술 리스크가 아니다. 맥글래드리는 “문제는 조직적으로 기업들이 비즈니스 리스크 레지스터와 사이버 리스크 레지스터를 별도로 보유하고 있다는 것이다. 하지만 그런 방식은 더 이상 효과적지 못하다”라고 말했다.

그에 따르면 증권거래위원회(SEC), 연방거래위원회(FTC) 및 미국의 다른 규제 기관들이 비즈니스 리더들 간의 협업을 촉진하려 하는 이유가 사이버 리스크가 기능적으로 비즈니스 리스크이기 때문이다. 맥글래드리는 대부분의 CISO가 이를 이해하고 있지만, 비즈니스의 다른 리더들은 아닌 경우가 많다고 언급했다.

그는 이어 모든 CISO가 사이버 리스크의 비즈니스 사례를 잘 표현하고 전달할 수 있는 것은 아니라며, 사이버 보안의 비즈니스 가치를 보다 잘 표현하는 것이 중요하다고 지적했다. 비즈니스 리스크보다 규정 준수를 강조하는 기술적 배경을 가진 CISO은 지원 및 예산 확보가 더 어려울 수 있다고 그는 덧붙였다. 맥글래드리는 다음과 같이 설명을 이어갔다.

“근본적인 문제는 역사적으로 CISO가 IT 환경에서 비롯되었다는 것이다. 그들은 마치 IT 인력인 것처럼 말을 하고, IT에 대해 이야기를 나누었다. 따라서 이러한 커뮤니케이션의 대부분은 이사회나 고위 경영진에게는 관심 밖이거나 그들에게 메시지가 전달되지 못했다. CSIO의 과제는 모두가 이해할 수 있도록 점점 더 다양해지는 주제에 관해서 점점 더 많은 청중에게 어떻게 이야기할 것인가다. 각자에게 맞춤화 된 메시지가 필요할 수 있다.”

법률 부문과 긴밀하게 협력함으로써 CISO는 조직의 규제 환경을 이해하고 비즈니스 리스크의 언어를 채택할 수 있다. 이를 통해 규제 요건을 충족하려고 지출되는 사례를 개선하는 데 필요한 지원을 받을 수 있다. 단 CISO가 최신 법률 정보에 정통하기란 어렵다. 시간과 교육이 부족하고 전문 분야가 아니다. 그렇다면 CISO는 어떻게 해야 할까?

맥글래드리는 “CISO는 법적 시스템의 최신 흐름을 파악하는 데 책임을 지지 않아야 한다. CISO가 법률 지평을 살펴보고 법률 저널을 읽고 곧 진행될 소송이나 잠재적인 법률 또는 잠재적인 규제 변경 결과를 기반으로 전략 또는 보안 로드맵과 계획을 수정할 필요가 있는지 여부를 파악하는 것은 현실적으로 어렵다”라고 말했다.

맥글래드리는 “필요한 것은 무엇이 발생하고 무엇을 인식해야 하는지에 대한 논의다. 일단 법적 리스크를 CISO의 또 다른 리스크 벡터로 간주하면 정보를 더 잘 얻고 선제적으로 의사 결정을 내리는 데 도움이 된다”라고 말했다.

상담 및 논의를 통한 전체적인 사이버보안 리스크 관리
우드러프 소여의 앤더슨은 CISO에게는 전체적인 리스크 관리가 필요하며, 이는 PII와 보호된 데이터가 있는 모든 곳을 식별하는 것을 의미한다고 주장했다. 그는 “어떤 유형의 데이터를 얼마나 많이 담당하는지 알아야 한다”라고 말했다. 여기에는 클라우드 공급업체, 타사 공급업체 또는 데이터를 보유하는 회사의 공급망 내 기타 업체가 포함된다.

그는 “규정 준수, 개인 정보 보호, 여타 일반적인 법무 관련 상담을 통해 데이터 훼손 시 회사가 소송을 당하지 않는데 도움이 된다. CISO가 이를 통해 효과적인 데이터 관리 및 데이터 인벤토리 전략을 사용하면 사이버 공격 이후의 책임 범위를 파악하는데 유효하다”라고 말했다.

앤더슨은 CISO는 지식과 맥락 정보를 모두 필요로 하며 법률부문과 긴밀히 협력하면 규제 환경에 대응하는 전략을 구체화할 수 있으며 심지어 처벌을 경감할 수도 있다고 말했다. 그는 “공격을 받은 회사가 적절한 조치를 취하고 개인 정보 보호 및 규제 요건을 사전에 고려하는 데이터 보안 프로그램을 구축하기 위한 선의의 노력을 보여주었을 때 규제 당국이 관대한 경우가 많다”라고 말했다.

점점 더 복잡해지는 규제 환경에서 법적 해석과 지침을 갖는 것은 매우 중요하다. 딜로이트의 오웬에 따르면 엄격한 규정은 문맥을 고려하지 않는 경향이 있다. 기업에게 책임을 모두 묻는 식이다. 그는 “규제 기관이 정보가 어떻게 사용될 것인지에 대한 모든 맥락을 고려하는 규정을 작성할 수 없기 때문이다. 따라서 조직에게 통제가 무엇이어야 하는지를 알려주는 것이 아니라 조직이 입증하고 해결하기를 요구한다. 즉 좋은 비즈니스 결정을 내리려면 해석이 필요하다”라고 말했다.

오웬은 CISO가 규제의 의미와 맥락을 무엇인지에 대해 제대로 알지 못하고서 많은 돈을 지출할 가능성이 있다고 지적했다. 그는 “훌륭한 리스크 관리 프로그램을 할 수 있을지 모른다. 그러나 해당 프로그램은 법에 정의된 중요성에 대한 임계값 테스트(threshold test )와 연결되지 않기 때문에 실제로는 실패할 수 있다”라고 말했다. 

임계값 테스트를 제대로 해석한다면 사고 발생 시 매우 이점이 많다. 오웬은 “예를 들어, 어떤 시점에서 소비자에게 통지해야 하는지 알 수 있다. 사고 도중, 또는 이후보타 사고 전에 그러한 임계값을 해석해두는 것이 좋다”라고 말했다.

하이퍼프루프의 맥글래드리는 CISO가 사고 와중에 법률 고문과 함께 정의를 찾아서는 안 될 것이며 “[이러한 정의를 알면] 사고 대응을 훨씬 매끄럽게 할 수 있다. 여전히 끔찍한 시간일 수 있지만 적어도 함께 일하는 사람을 신뢰할 수 있다”라고 말했다.

또한 법무팀과의 상시 협업은 CISO가 공급업체, 공급망 또는 고객과 계약할 때 도움이 될 수 있다. 증거가 필요하거나 계약 조건이 있는 경우, CISO는 불필요하거나 심지어 현명하지 못한 것에 대해 승인하기 전에 의견이나 조언을 얻을 수 있다. 맥글래드리는 “법무팀이 ‘그것을 공개할 필요가 없다’ 또는 ‘그것에 대해 확립된 정책을 가질 가치가 없다’라고 조언해줄 수 있다”라고 말했다.

리스크 허용 범위를 정의하는데 도움이 되는 법률 자문
포트너는 “사내의 변호사, CISO 또는 관리 팀을 막론하고 모두가 회사를 보호해야 하는 동일한 목표를 가지고 있다”라며, 핵심은 회사가 기꺼이 수용할 수 있는 위험 허용도와 이것이 실제로 무엇을 의미하는지 정의하는 것이고 말했다.

많은 보안 조치가 문제로 이어진다. 사용자의 피로, 마찰 또는 너무 많은 클릭유도를 유발하고 허용 가능한 수준의 투명성을 달성할 수 있는지에 대한 질문으로 이어진다. 포트너는 “합리적인 것과 타당한 것의 균형을 유지하되, 투명성과 정직성을 유지하는 것을 항상 명심해야 한다”라고 덧붙였다.

법률 자문은 특정 툴이나 플랫폼을 추천하는 수준에는 이르지 못하지만, 리스크 및 잠재적 책임에 대한 조언을 제공할 수는 있다. 이들은 리스크에 대한 대화를 제공하고 CISO가 특정 조치에 투자하지 않거나 특정 보호 조치를 취하지 않을 경우 발생할 수 있는 잠재적 결과를 명확하게 설명할 수 있도록 지원할 수 있다.

그러한 조언과 논의를 바탕으로 문제를 방지하기 위해 얼마나 많은 비용을 들이는가와, 아니면 대신 문제를 보험으로 이전하기 위해 들이는 비용을 합리화할 수 있다. 

한편 리스크 프로파일에 따라 CISO는 최종 결정을 스스로 내리는 과정에 법률 자문역과 파트너 관계를 맺을 수 있다. 때로는 최종 의사 결정자가 되지 않을 필요가 있기 때문이다. 미국의 경우 CISO가 선임된 과정이 조직을 상대로 소송이 제기될 중요하다. 맥글래드리는 CISO가 이사회 정책에 따라 선임된 것이 아니라면, 개인적 책임으로부터 배교적 자유로울 수 있다. “이것은 당신의 법률 자문역과 파트너 관계를 맺고 유지해야 하는 이유다”라고 말했다.

여전히 많은 CISO는 법률 자문역과 정기적으로 협력하지 않는다. 침해나 사고가 발생한 경우에만 대화하곤 한다. 그러나 규제 환경이 까다로워짐에 따라 변화의 필요성이 커지고 있다. 맥글래드리는 “규제가 엄격해지고 상황이 점점 더 복잡해짐에 따라 CISO 직무를 수행하기가 점점 더 어려워질 것이다”라고 말했다. ciokr@idg.co.kr