[3줄 요약]
1. 내부 유출 아닌 외부 공격에도 정직·면직·취업제한까지
2. 유럽은 DPO 신분 보장 강화... 국내도 CPO 형사처벌법 폐지
3. ‘회복 탄력성’ 중요한 시대에 처벌 중심 체계 맞나
[보안뉴스 강현주 기자] 미토스 충격으로 ‘회복 탄력성’의 중요성이 더욱 부각되는 가운데, 사고 대응에 집중해야 할 보안 인력들은 여전히 ‘처벌 대응’에 시달린다. 이 같은 체계로는 공격 속도가 비약적으로 빨라진 AI 시대를 버텨내기 어렵다는 목소리가 커지고 있다.
12일 보안 업계에 따르면 지난해 통신, 금융, 유통 분야에서 잇따라 발생한 해킹 사고에 대해 금융당국, 개인정보보호위원회 등이 제재 수위를 논의하고 있다. 사고를 당한 기업들 사이에서는 긴장감이 감돈다.
▲보안뉴스가 제미나이로 제작한 이미지
회복에 전력 다해도 모자란데... ‘커리어 생명’ 걸어야
특히 금융 분야는 다른 분야보다 ‘인적제재’ 강도가 높다. 금융기업이 민간이라 해도 서비스 특성상 국민 일상과 안위에 직결되다 보니 금융거래의 안정성 확보를 위한 엄격한 법령이 존재한다. 금융당국은 임원 임명 및 징계 권한도 가진다.
가령 금융사 임원이 내부 정보를 이용한 횡령 등을 범하면 중징계 대상이 된다. 해킹 공격으로 고객 정보 유출 사고를 당한 기업 보안 책임자들 역시 전자금융거래법, 지배구조에 관한 법률 등에 의거해 ‘정직’이나 ‘면직’, ‘5년간 금융권 취업 제한’까지 당할 수 있다.
완벽하게 방어하지 못하고 개인정보 유출을 막지 못했다면 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)에게 책임을 묻는 것 자체는 불가피하다.
문제는 횡령이나 비리 같은 범죄 목적을 가진 고의적 사고가 아닌, 외부 해킹 방어 실패 등 ‘실수’로 인한 사고에도 이 같은 고강도 중징계가 가능하다는 점이다.
유럽, DPO 신분 보장 강화... 개인정보위도 CPO 형사처벌법 폐지
이 같은 법령과 문화는 글로벌 추세에 뒤쳐진다고 볼 수 있는 대목이다. 해외에서는 보안 담당자들의 책임뿐 아니라 권한과 신분을 강화하고 있다. 유럽연합(EU)에서는 DPO(Data Protection Officer) 신분 보장을 강화하는 추세다.
국내 개인정보보호법도 과거에 비해 CPO에 대한 인적제재가 완화된 바 있다. 3년 전만 해도 개인정보 유출 사고를 당한 기업의 CPO를 형사처벌까지 할 수 있었던 법령이 개인정보보호법에 있었다. 논란의 이 법은 2023년 폐지됐다. 이후 매출의 3%까지 과징금을 책정할 수 있도록 했다. 사고는 회사 전체의 책임이며 개인 담당자에게만 책임을 전가해선 안 된다는 인식이 반영된 결과다.
국내 한 보안 분야 전문 변호사는 “3년 전까지만 해도 개인정보유출 사고를 당한 CPO는 개인정보보호법에 따라 ‘형사처벌’까지 가능했다”며 “보안 담당자에게만 책임을 지우는 이 규정은 보안인들이 업을 떠나게 만든다는 논란이 일면서 없어졌으며, 대신 회사 전체가 책임을 나눠야한다는 차원에서 과징금을 크게 올린 것”이라고 밝혔다.
이어 “해킹을 완벽히 막을 수 있다는 생각 자체가 허상이란 인식이 확산되면서, 막지 못했다고 개인을 가혹하게 처벌하는 대응은 시대에 맞지 않는다는 인식도 생기고 있다”고 말했다.
‘완벽방어’ 아닌 ‘회복’이 핵심인데 보안인 가혹 처벌? “시대 역행”
국내 한 대기업 CISO는 “방어에 실패한 경우 물론 보안 부서의 미흡함도 간과할 수 없지만, 사고 원인은 예산의 한계, 보안 인력 부족에 의한 과로, 연계 부서의 비협조 등 복합적”이라며 “악의적 목적의 고의적 사고가 아닌데도 CISO나 CPO 등 담당자들의 생계와 커리어를 위태롭게 하는 것은 지나치며, 이런 상황에서 보안 책임자 자리는 기피 대상이 될 수 밖에 없다”고 말했다.
해킹 사고 후 제재 중심이 아닌 빠른 회복을 지원하는 체계로 전환해야 한다는 지적은 꾸준히 제기되고 있는 문제다. 특히 ‘미토스’ 등장으로 AI의 뛰어난 취약점 탐지 능력이 악용될 수 있다는 AI 위협 현실화가 다가왔다. AI의 발전으로 과거 일주일 걸리던 취약점 악용 공격이 이제는 24시간으로 줄어들었다.
현존 패치 속도보다 공격 속도가 훨씬 빨라진 지금 해킹을 완전 막는다는 것은 허상이라고 보안 전문가들은 공통적으로 지적한다. 즉 완벽 방어를 못했다고 담당자에게 책임을 묻는데 자원을 소모하기 보다는 사고가 나도 빠르게 정상화 하는 ‘회복 탄력성’으로 보안 패러다임을 전환해야 한다는 목소리가 커진다.
하지만 사고 수습과 회복에 집중해야 할 보안 담당자들이 여전히 처벌 대응 업무에 많은 역량을 소모하고 있는 게 현실이다.
과거 해킹 사고 대응 경험이 있는 한 CISO는 “해킹 사고가 났을 때 사고 수습에 당장 대응해야 하는데, 각 기관별로 따로 내려오는 각종 조사와 제재 심의용 소명 자료 업무에 모든 근무시간을 할애하고, 정작 해킹 대응은 밤부터 시작해 수도 없이 밤을 새워야 했다”며 “심지어 지금은 AI 발전과 해킹 보편화로 공격의 빈도와 속도가 급속도로 빨라지고 있는데 환골탈태적 수준의 변화가 없다면 사고 후 회복은 더욱 요원해지고 이는 기업과 소비자의 더 큰 피해로 이어질 것”이라고 말했다.
뉴욕주 변호사인 최경진 가천대학교 법과대학 교수는 “유럽 GDPR 등에서는 CPO와 유사한 개념인 DPO(Data Protection Officer)의 신분 보장과 독립성을 강화하고 있다”며 “우리나라에서도 담당자의 독립성을 보장할 뿐 아니라, 과실의 경우에는 과실 범위를 따져봐야겠지만 개인비리나 횡령이 아니고 동시에 본인의 업무를 다 했을 때는 면책을 주고 신분을 보장하는 게 바람직하며 개인 책임만 강조하는 소위 ‘꼬리자르기’식 접근은 지양할 필요가 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 내부 유출 아닌 외부 공격에도 정직·면직·취업제한까지
2. 유럽은 DPO 신분 보장 강화... 국내도 CPO 형사처벌법 폐지
3. ‘회복 탄력성’ 중요한 시대에 처벌 중심 체계 맞나
[보안뉴스 강현주 기자] 미토스 충격으로 ‘회복 탄력성’의 중요성이 더욱 부각되는 가운데, 사고 대응에 집중해야 할 보안 인력들은 여전히 ‘처벌 대응’에 시달린다. 이 같은 체계로는 공격 속도가 비약적으로 빨라진 AI 시대를 버텨내기 어렵다는 목소리가 커지고 있다.
12일 보안 업계에 따르면 지난해 통신, 금융, 유통 분야에서 잇따라 발생한 해킹 사고에 대해 금융당국, 개인정보보호위원회 등이 제재 수위를 논의하고 있다. 사고를 당한 기업들 사이에서는 긴장감이 감돈다.
▲보안뉴스가 제미나이로 제작한 이미지
회복에 전력 다해도 모자란데... ‘커리어 생명’ 걸어야
특히 금융 분야는 다른 분야보다 ‘인적제재’ 강도가 높다. 금융기업이 민간이라 해도 서비스 특성상 국민 일상과 안위에 직결되다 보니 금융거래의 안정성 확보를 위한 엄격한 법령이 존재한다. 금융당국은 임원 임명 및 징계 권한도 가진다.
가령 금융사 임원이 내부 정보를 이용한 횡령 등을 범하면 중징계 대상이 된다. 해킹 공격으로 고객 정보 유출 사고를 당한 기업 보안 책임자들 역시 전자금융거래법, 지배구조에 관한 법률 등에 의거해 ‘정직’이나 ‘면직’, ‘5년간 금융권 취업 제한’까지 당할 수 있다.
완벽하게 방어하지 못하고 개인정보 유출을 막지 못했다면 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)에게 책임을 묻는 것 자체는 불가피하다.
문제는 횡령이나 비리 같은 범죄 목적을 가진 고의적 사고가 아닌, 외부 해킹 방어 실패 등 ‘실수’로 인한 사고에도 이 같은 고강도 중징계가 가능하다는 점이다.
유럽, DPO 신분 보장 강화... 개인정보위도 CPO 형사처벌법 폐지
이 같은 법령과 문화는 글로벌 추세에 뒤쳐진다고 볼 수 있는 대목이다. 해외에서는 보안 담당자들의 책임뿐 아니라 권한과 신분을 강화하고 있다. 유럽연합(EU)에서는 DPO(Data Protection Officer) 신분 보장을 강화하는 추세다.
국내 개인정보보호법도 과거에 비해 CPO에 대한 인적제재가 완화된 바 있다. 3년 전만 해도 개인정보 유출 사고를 당한 기업의 CPO를 형사처벌까지 할 수 있었던 법령이 개인정보보호법에 있었다. 논란의 이 법은 2023년 폐지됐다. 이후 매출의 3%까지 과징금을 책정할 수 있도록 했다. 사고는 회사 전체의 책임이며 개인 담당자에게만 책임을 전가해선 안 된다는 인식이 반영된 결과다.
국내 한 보안 분야 전문 변호사는 “3년 전까지만 해도 개인정보유출 사고를 당한 CPO는 개인정보보호법에 따라 ‘형사처벌’까지 가능했다”며 “보안 담당자에게만 책임을 지우는 이 규정은 보안인들이 업을 떠나게 만든다는 논란이 일면서 없어졌으며, 대신 회사 전체가 책임을 나눠야한다는 차원에서 과징금을 크게 올린 것”이라고 밝혔다.
이어 “해킹을 완벽히 막을 수 있다는 생각 자체가 허상이란 인식이 확산되면서, 막지 못했다고 개인을 가혹하게 처벌하는 대응은 시대에 맞지 않는다는 인식도 생기고 있다”고 말했다.
‘완벽방어’ 아닌 ‘회복’이 핵심인데 보안인 가혹 처벌? “시대 역행”
국내 한 대기업 CISO는 “방어에 실패한 경우 물론 보안 부서의 미흡함도 간과할 수 없지만, 사고 원인은 예산의 한계, 보안 인력 부족에 의한 과로, 연계 부서의 비협조 등 복합적”이라며 “악의적 목적의 고의적 사고가 아닌데도 CISO나 CPO 등 담당자들의 생계와 커리어를 위태롭게 하는 것은 지나치며, 이런 상황에서 보안 책임자 자리는 기피 대상이 될 수 밖에 없다”고 말했다.
해킹 사고 후 제재 중심이 아닌 빠른 회복을 지원하는 체계로 전환해야 한다는 지적은 꾸준히 제기되고 있는 문제다. 특히 ‘미토스’ 등장으로 AI의 뛰어난 취약점 탐지 능력이 악용될 수 있다는 AI 위협 현실화가 다가왔다. AI의 발전으로 과거 일주일 걸리던 취약점 악용 공격이 이제는 24시간으로 줄어들었다.
현존 패치 속도보다 공격 속도가 훨씬 빨라진 지금 해킹을 완전 막는다는 것은 허상이라고 보안 전문가들은 공통적으로 지적한다. 즉 완벽 방어를 못했다고 담당자에게 책임을 묻는데 자원을 소모하기 보다는 사고가 나도 빠르게 정상화 하는 ‘회복 탄력성’으로 보안 패러다임을 전환해야 한다는 목소리가 커진다.
하지만 사고 수습과 회복에 집중해야 할 보안 담당자들이 여전히 처벌 대응 업무에 많은 역량을 소모하고 있는 게 현실이다.
과거 해킹 사고 대응 경험이 있는 한 CISO는 “해킹 사고가 났을 때 사고 수습에 당장 대응해야 하는데, 각 기관별로 따로 내려오는 각종 조사와 제재 심의용 소명 자료 업무에 모든 근무시간을 할애하고, 정작 해킹 대응은 밤부터 시작해 수도 없이 밤을 새워야 했다”며 “심지어 지금은 AI 발전과 해킹 보편화로 공격의 빈도와 속도가 급속도로 빨라지고 있는데 환골탈태적 수준의 변화가 없다면 사고 후 회복은 더욱 요원해지고 이는 기업과 소비자의 더 큰 피해로 이어질 것”이라고 말했다.
뉴욕주 변호사인 최경진 가천대학교 법과대학 교수는 “유럽 GDPR 등에서는 CPO와 유사한 개념인 DPO(Data Protection Officer)의 신분 보장과 독립성을 강화하고 있다”며 “우리나라에서도 담당자의 독립성을 보장할 뿐 아니라, 과실의 경우에는 과실 범위를 따져봐야겠지만 개인비리나 횡령이 아니고 동시에 본인의 업무를 다 했을 때는 면책을 주고 신분을 보장하는 게 바람직하며 개인 책임만 강조하는 소위 ‘꼬리자르기’식 접근은 지양할 필요가 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
