‘정보보호, 컴플라이언스를 따르라. ’
정보보호와 관련된 컴플라이언스가 잇따라 발표되고 있다. 컴플라이언스란 기업이 경영 활동을 할 때 준수해야 하는 법령이나 규제 등을 말한다. 엔론·월드컴 등의 회계부정 사건이 발생하면서 기업을 투명하게 하기 위해 만들어졌다.
지난해 숱한 정보 유출 사고로 인해 정보보호도 기업의 사회적 책임 중 하나로 각인됐다. 이를 위한 정보보호 관련 컴플라이언스도 잇따라 제정됐다.
컴플라이언스는 강력한 처벌과 손해배상 의무를 규정하고 있어, 내부조직 통제 기능까지 갖는다. 정보보호 컴플라이언스는 기업과 기관이 고객정보 등 소중한 정보를 유출하지 않기 위해 최소한 그리고 최대한 지켜야 하는 기준임 셈이다.
더욱이 컴플라이언스를 지키지 않았을 때에는 최악의 경우 CEO가 구속과 같은 형사 처벌까지 받아야 한다. 기업·기관이 결코 정보보호 컴플라이언스를 소홀히 할 수 없는 이유다.
◇컴플라이언스의 시대=지난해 2월 5일 발표된 옥션의 개인정보 유출 사고 이후 많은 기업과 기관의 허술한 개인정보 관리가 도마에 올랐다. 공공기관 홈페이지에 민원인과 조직원의 개인정보를 담은 엑셀 파일이 버젓이 올라 있는가 하면 고객의 개인정보를 마음대로 주고받았던 관행도 드러났다.
이러한 개인정보 유출은 이를 악용해 사기를 치는 보이스피싱 사건으로 이어졌고, 인터넷뱅킹 해킹 사건까지 터지기에 이르렀다. 이를 막기 위해 정부는 정보통신망 이용촉진 및 보호에 관한 법(망법)을 개정하고 개인정보보호법 제정을 추진하고 있다. 개인정보를 함부로 다루는 조직은 형사처벌까지 불사하겠다는 강력한 규제 카드를 내민 것이다.
최근에 인터넷뱅킹 해킹 사고 등 금융 관련 사고가 사회를 뒤흔들면서, 이를 막기 위한 규제도 하나 둘씩 발표되고 있다. 금융기관이 무선랜을 사용할 때는 반드시 보안 시설을 갖춰야 하며, 고객 정보를 주고받을 때에는 암호화해야 한다. 고객이 5000만원 이상의 금액을 이체할 시에는 일회용비밀번호생성기(OTP)와 보안토큰 등을 사용하도록 했다.
공공기관이 가상사설망(VPN), DB 보안제품, 침입탐지시스템(IPS) 등의 보안 장비를 구입할 때에는 국정원의 암호화 검증을 받은 모듈이 들어갔는지 확인해야 한다. 이 외에도 산업기술 유출방지 및 보호에 관한 법과 부정경쟁방지법 등으로 조직 내 기밀을 함부로 유출하지 못하도록 했다.
해외에서는 미국의 e디스커버리법이 강력한 정보보호 컴플라이언스 중 하나로 부상했다. 고객 등이 문제를 제기했을 때 업무 관련 정보를 반드시 저장하고 있도록 규정해 놓은 것이 주요 골자다.
◇컴플라이언스는 CEO가 책임질 문제=컴플라이언스를 지키지 않았을 경우, 이것이 기업에 미치는 타격은 엄청나다. 기업이 사회적 책임을 다하지 않았다는 여론의 뭇매를 맞을 것을 각오해야 한다. 천문학적인 규모의 손해배상도 감당해내야 한다. CEO와 임원이 구속과 같은 형사처벌을 받을 수 있다. 오랜 기간 동안 기업과 기관이 이뤄놓은 것을 한순간에 날려버릴 수 있다는 뜻이다. 이 때문에 컴플라이언스 준수여부는 CEO가 직접 관리해야 할 문제가 됐다.
김대환 소만사 사장은 “정보보호 문제가 웜이나 바이러스 문제로 끝났다면 대기업은 정보보호 관련 조직을 아웃소싱해 관리해도 됐을 것”이라며 “그러나 컴플라이언스는 조직에 관한 문제며 기업의 생명과도 직결되기 때문에 CEO가 직접 나서 챙겨야 할 사안으로 떠올랐다”고 말했다.
실제로 지난해 12월 14일부터 시행된 개정 정보통신망법은 개인정보 오용 시 법인의 대표이사 형사처벌을 규정하고 있다. 71조와 73조는 ‘개인정보의 무단수집, 동의 없는 위탁 및 활용에 대해서 처벌 수준’을 형사처벌로 상향했다. 75조는 법인의 대표이사 혹은 임원이 임직원의 사고에도 책임을 지도록 규정했다.
◇컴플라이언스가 시장을 만든다=정보보호 기업들에는 기업·기관들을 강제하는 이러한 컴플라이언스가 호재인 셈이다. 한 정보보호 기업의 CEO는 컴플라이언스가 인터넷 대란 이후 7년 만에 맞는 호재라며 기대감을 내비췄다.
컴플라이언스 자체는 솔루션을 마련할 것을 규정하지 않은 것이 대부분이지만, 다양한 애플리케이션을 도입해야 효율적이고 신속하게 체제를 구축할 수 있기 때문이다. 예를 들어 PC에 개인정보를 저장하지 않도록 하기 위해서는 개인정보가 저장되어 있는지부터 검색해야 한다. 이를 도와주는 솔루션이 있는 것은 물론이다. 데이터를 기록하고 보관해 놓는 것도 솔루션이 없으면 힘들다.
사내에서 컴플라이언스 측면의 부정이 있었다고 의심되면 그러한 사실이 없었다는 것을 적극적으로 증명하기 위해서는 과거의 업무상 이메일 기록이 중요한 증거가 될 수도 있다.
어떤 컴플라이언스가 언제부터 시행되는지, 이를 지키지 않았을 때 손실비용은 얼마인지, 준수 체계를 갖추기 위해서는 어떻게 해야 하는지 알기도 쉽지 않다. 최근 정보보호 관련 컨설팅 기업들이 컴플라이언스 컨설팅을 시작한 이유다. 고객들도 이에 대한 궁금증이 많아, 개인정보보호나 카드결제에 관련된 규정(PCI DSS)에 관한 컨설팅 수요가 두 배 이상 많아졌다.
다시 말해 컴플라이언스는 기업 내 바람직한 IT수준을 정하는 데 큰 영향을 미친다. 더욱 구체적으로는 IT 업무 프로세스도 견고한 내부통제와 운용 규칙하에서 수행돼야 한다.
민경식 한국정보보호진흥원 팀장은 “당연한 일이지만 기업이 컴플라이언스를 실현하기 위해서는 업무프로세스의 기반이 되는 IT가 적정한 수준을 유지해야만 한다”며 “기업 컴플라이언스의 주요 요건인 정보공개, 설명책임을 이행하는 데 IT는 큰 역할을 담당하는만큼 관련 시장이 성장할 것”으로 내다봤다.
문보경기자 okmun@etnews.co.kr
관련 통계자료 다운로드 각종 컴플라이언스 관련 솔루션 현황