CEO 책임강화 입법동향과 판례 소개...선제적 방어 프로그램 필요성 보안시스템의 법률적합성 확보, 기록보존 및 보안교육 프로그램 중요

최근 금융전산 보안강화 대책이 발표된 이후, 금융권을 대상으로 ‘전자금융사기 예방 서비스’ 도입을 코앞에 두고 있는 등 각종 금융 보안사고 및 사이버테러 예방을 위한 보안대책이 마련되고 있는 상황입니다. 특히, 금융보안 강화를 위해 선제적 방어 프로그램 마련의 필요성이 제기되고 있습니다. 이에 본지에서는 법무법인 율촌 손도일 변호사의 5회 연재 기고를 통해 금융전산 보안강화 대책의 법리적인 이해와 함께 보안강화를 위한 다양한 선제적 방어 프로그램에 대해 소개할 예정입니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
 
연재순서---------------------------------
1. 금융전산 보안강화 대책의 법리적인 이해 및 선제적 방어 프로그램의 필요성
2. 선제적 방어 프로그램 - 보안 시스템의 법률적합성 확보
3. 선제적 방어 프로그램 - 기록보존 프로그램
4. 선제적 방어 프로그램 - 금융 보안 교육 프로그램
5. 선제적 방어 프로그램의 도입 이후 
-------------------------------------

[보안뉴스=손도일 법무법인 율촌 변호사] 몇 년 전 대규모 전산망 마비 사태를 겪은 국내 한 은행의 CEO가 “책임을 느끼고 있느냐”는 기자의 질문에 대해 전산망 사고는 자신의 권한과 아무런 상관이 없고, 보고도 제대로 못 받았으므로 자신은 도의적인 잘못 이외에는 책임이 없다고 답변했던 것으로 알려졌다. 아마 그 당시만 해도 대부분의 금융회사 CEO들은 이러한 답변 내용에 대해 내심 공감을 하지 않았을까 하는 생각이 든다. 실제로 위 사건에서 금융감독원은 이 은행의 경우 CEO를 징계할 법적 근거가 없다고 발표했다.

“전산망관리 IT 담당자들이 다해...나는 책임질 일 없어요”
이렇게 과거 금융회사의 금융전산 보안업무는 각 금융회사의 IT담당자들이 ‘알아서’ 처리하는 업무였다. 경영진들은 어려운 컴퓨터관련 용어를 이해하기 힘들었고, 고가의 보안 솔루션 또는 장비 등을 도입하는 의사결정도 이윤추구를 태생적인 목표로 삼고 있는 기업경영진들에게는 쉽지 않은 일이었을 것이다. 또한, 보안을 이유로 한 여러 가지 내부정책들은 업무의 진행을 지연시키는 불편하고 성가신 일이었을 수도 있다. 

그러나 지금은 금융거래 환경이 인터넷 및 모바일 기반으로 바뀌고 있어 보안의 중요성이 더욱 커지고 있다. 한국은행에 따르면 2013년 3월 기준 전자금융 이용비중이 87.7%에 이르고, 인터넷뱅킹 가입자 수는 8,940만 명, 모바일뱅킹 가입자 수는 4천만 명이며, 인터넷뱅킹 및 모바일뱅킹을 이용한 거래금액은 일일평균 33조 804억에 이르고 있다.

이렇듯 전자금융이 급격히 활성화됨과 동시에 금융전산 보안에 대한 위협도 대형화·지능화되어 금융IT 사고로 인한 개인정보 유출의 규모 또는 업무정지·지연으로 인한 피해규모는 엄청나게 증가했다. 특히, 자신의 개인정보를 유출당한 고객들이 제기하는 손해배상청구소송에서 금융회사가 패소하는 경우에는 해당 금융회사의 운명을 좌우할 만큼 큰 액수를 손해배상액으로 지급해야 할 수도 있는 상황이다.

뿐만 아니라 금융당국의 행정적인 제재 및 기업이미지의 훼손으로 인하여 향후 영업에 큰 타격을 받을 수도 있다. 이와 같이 금융전산보안은 이제 금융회사의 업무중 잠재적인 리스크가 큰 업무 중 하나가 됐다. 이와 같은 현재의 상황을 고려한다면, CEO를 포함한 금융회사의 경영진들이 금융전산 보안업무를 보안담당자들의 일로만 간주하여 그 책임을 회피하는 것은 더 이상 어려울 것으로 본다.

한편, 현재 관련법령들도 CEO를 비롯한 금융회사 경영진들의 금융IT 사고에 대한 법률적 책임을 강화하는 방향으로 개정되고 있다.

CEO 책임강화 입법동향과 판례
금융전산보안강화종합대책 및 전자금융거래법령 개정
최근 개정된 전자금융 관계법령들에는 금융IT 사고에 대해 CEO들이 책임지도록 할 수 있는 다음과 같은 법적 근거를 마련했다.

2013년 7월 11일 금융위원회에서 발표한 금융전산보안강화종합대책(이하 ‘종합대책’)에 따르면, 2013년 하반기에 전자금융감독규정을 개정해 CEO의 책임 하에 금융전산 보안취약점 점검  및 보완조치를 철저히 이행하도록 함으로써 CEO의 금융전산보안에 관한 책임을 강화할 계획이다.

또한, 2013년 11월 23일부터 시행 예정인 전자금융거래법과 지난 8월 21일 입법예고된 전자금융거래법시행령 일부개정령(안)에서는, 2014년부터 전자금융 업무를 수행하지 않는 일정 규모 이하의 금융회사를 제외한 금융회사 및 허가 또는 등록한 전자금융업자는 안전한 전자금융거래를 위하여 전자금융거래법 시행으로 정하는 바에 따라 정보기술부문계획서를 수립해 대표자의 확인 및 서명을 받아서 금융위원회에 매년 3월말까지 제출하도록 규정하고 있다.

개인정보보호법 개정
2014년 8월 7일부터 시행 예정인 개정 개인정보보호법에서는 대표자 및 책임 있는 임원을 대상으로 징계할 것을 권고할 수 있는 명시적 근거조항을 두었다. 즉, 안전행정부 장관은 개인정보보호법 등 개인정보보호와 관련된 법규의 위반행위가 있다고 인정할만한 상당한 이유가 있을 때에는 대표자 및 책임 있는 임원을 징계할 것을 해당 개인정보처리자(금융회사)에게 권고할 수 있도록 하고, 이 권고를 받은 사람은 이를 존중해야 하고 그 결과를 안전행정부 장관에게 통보해야 한다고 규정하고 있다.

또한, 동조 제3항에서는 관계중앙행정기관의 장은 그 소속기관·단체 등의 장에게 대표자 및 책임 있는 임원을 징계할 것을 권고할 수 있도록 하고, 이 권고를 받은 사람은 이를 존중해야 하고 그 결과를 관계중앙행정기관의 장에게 통보해야 한다고 규정하고 있다.

대표이사의 회사 및 제3자에 대한 책임에 관한 판례
(1)경영진의 선관주의의무, 감시의무 및 충실의무
주식회사의 이사와 회사의 관계는 위임에 관한 민법규정이 준용되므로, 이사는 회사에 대하여 이사선임의 취지에 따라 선량한 관리자의 주의의무로써 사무를 처리할 의무를 진다. 이러한 선관주의 의무에는 이사의 의무로 규정된 직무의 수행에만 미치는 것이 아니라 회사가 기업활동을 함에 있어서 준수해야할 제 규정을 준수할 의무도 포함된다(대법원 2005. 10. 28. 선고 20003다69638 판결). 또한, 주식회사의 이사는 다른 이사의 업무집행을 감시할 권한과 의무가 있고, 법령과 정관의 규정에 따라 회사를 위해 그 직무를 충실하게 수행할 충실의무도 부담하고 있다.

상법은 위와 같은 이사들의 의무를 근거로, 이사가 고의 또는 과실로 법령 또는 정관에 위반한 행위를 하거나 그 임무를 게을리한 경우에는 그 이사는 회사에 대해 연대하여 손해를 배상할 책임이 있고, 또한 이사가 고의 또는 중대한 과실로 그 임무를 게을리한 때에는 그 이사는 제3자에 대해 연대하여 손해를 배상할 책임이 있다고 규정하고 있다.

(2)대표이사의 금융전산 보안업무에 대한 감시의무
금융회사들은 고객들의 신용정보를 포함한 많은 양의 개인정보를 수집 및 이용할 수 밖에 없고, 최근 금융거래의 상당 부분이 전자적으로 이루어지고 있는 등 그 영업의 특성을 고려할때, 금융전산 보안업무는 금융회사에서 가장 중요한 업무 중의 하나이고, 그에 따른 잠재적 리스크도 매우 크다고 할 수 있다. 따라서 금융회사의 대표이사를 비롯한 경영진들은 비록 자신이 전산업무를 담당하고 있거나 IT 분야의 전문가가 아니라고 할지라도, 당해 금융회사의 영업활동 중에 전자금융거래 관련 법령 및 개인정보보호관련 법령들이 잘 준수되고 있는지를 감시할 권한과 의무가 있다고 봐야 한다.

이사의 회사에 대한 손해배상 책임과 관련된 기존의 다수 판례들은 주식회사의 이사가 다른 업무담당이사의 업무집행이 위법하다고 의심할만한 사유가 있음에도 불구하고 이를 방치한 때에는 그로 말미암아 회사가 입은 손해에 대해 배상책임을 면할 수 없다는 취지로 판시하고 있다. 이와 관련해 만약 회사가 해당이사에 대한 손해배상 책임의 추궁을 하지 않는 경우에는 발행주식 총수의 1% 이상의 주식을 가진 주주가 회사에 대하여 이사의 책임을 추궁할 소의 제기를 청구할 수 있다.

이사의 제3자에 대한 손해배상 책임과 관련된 대우분식회계사건(대법원 2008. 9. 11. 선고 2006다68636 판결)도 눈여겨볼 필요가 있다. 대우분식회계사건에서 대법원은, 대표이사는 다른 대표이사를 비롯한 업무담당이사의 전반적인 업무집행을 감시할 권한과 책임이 있으므로 다른 대표이사나 업무담당이사의 업무집행이 위법하다고 의심할만한 사유가 있음에도 악의 또는 중대한 과실로 인하여 감시의무를 위반해 이를 방치했다면 그로 말미암아 제3자가 입은 손해에 대하여 배상할 책임이 있다고 판시한 바 있다.

고도로 분업화되고 전문화된 대규모의 회사에서 공동대표이사와 업무담당이사들이 내부적인 사무분장에 따라 각자의 전문분야를 전담하여 처리하는 것이 불가피한 경우라고 할지라도 그러한 사정만으로 다른 이사들의 업무집행에 관한 감시의무를 면할 수 없다고 한 것이다. 이 판례는 비록 대규모 상장회사에서 발생한 대규모 회계분식이라는 예외적인 상황을 전제로 하고 있기는 하지만, 고도로 분업화되고 전문화된 업무에 대한 대표이사 등의 감시의무에 관한 판시내용은 금융회사의 금융전산 보안업무에 대한 경영진들의 감시의무에도 적용될 수 있을 것으로 보이므로, 이러한 감시의무 소홀로 인한 경영진들의 제3자에 대한 손해배상책임에 대한 일종의 잣대가 될 수 있다.

대처방안
필자가 금융회사들을 상대로 한 강의 등에서 금융전산 보안담당자들의 고민을 들어보면, 대부분이 관련법령에서 요구하는 안전성 확보조치 등을 이행하더라도 금융IT 사고로부터 완전히 자유로울 수 없고, 이러한 소위 본인들도 어쩔 수 없는 사고에 대한 법률적 책임 때문에 불안하다는 것이다. 그런데, 이러한 과거 전산보안담당자들의 고민은 이제 고스란히 CEO를 비롯한 경영진들의 고민이 될 것으로 보인다.

필자의 소송 및 자문경험에 비추어 보면, 금융IT 사고와 같이 사실상 완벽한 예방이 불가능한 사고에 대해서는, 그 사고를 미연에 방지하기 위한 조치를 철저히 이행하는 것 만큼 사고에 대한 책임자들의 책임 감경 또는 면책을 위한 입증자료를 미리 준비해 두는 것이 중요하다.

즉, 관련법령상 요구되는 책임자들의 주의의무를 모두 이행했음을 입증할 수 있는 문서 등을 평소에 생성 및 관리해 상황발생시 신속하고 효과적으로 대응할 수 있는 체계를 마련하는 것이 CEO를 비롯한 경영진, 보안담당자들의 책임의 감면을 위한 근본적이고 효과적인 방안이 될 것으로 본다. 이러한 점들을 감안하면, 금융회사가 금융전산보안을 위해 아래와 같은 세 가지 조치들을 철저히 이행하는 것이 필요할 것으로 보인다.

(1) 전자금융관련 법령 및 개인정보보호관련 법령에 대해 전문가로부터 컨설팅을 받아서 자신의 금융전산 시스템 및 관리체계가 현행 법령을 모두 준수하고 있는지 여부를 확인 및 개선하고,

(2) 금융규제기관 및 검경찰의 조사와 소송에서 금융회사의 면책사유 즉, 관련법령상 요구되는 주의의무를 모두 이행했음을 입증할 수 있는 문서 등을 상시적으로 각 규제기관별 대응목적에 적합하게 체계적으로 보관해야 하며,

(3) 정기적으로 또는 수시로 경영진, 보안업무관련 임직원, 일반직원들을 상대로 금융전산 보안과 관련된 교육을 실시하여 보안의식을 제고하고, 내부자의 실수에 의한 사고를 미연에 방지하는 것이다. 다음 회부터 위 3가지 방법에 관해 세부적으로 설명하도록 한다.
[글_손 도 일 법무법인 율촌 변호사(dison@yulchon.com)] 

필자는-------------------------------------------------
손 도 일 법무법인 율촌 변호사(dison@yulchon.com)
손도일 변호사는 법무법인(유) 율촌의 파트너 변호사로 주된 업무는 기업인수합병(M&A), 방송통신, 영업비밀보호 및 정보보안, 기업내부조사 등 기업의 위기상황에 관한 업무를 담당하고 있다. 손 변호사는 2년간 판사로 재직한 후 기업전문 변호사로 전직했으며, eBay가 10억불 상당의 인수대금으로 한국에서 Gmarket의 주식을 인수하는 거래에 있어서 Gmarket을 대리한 바 있다. 또한, 최근에는 세계적 컨설팅 펌과 다국적 기업들의 영업비밀 침해 등 기업관련 Risk Management에도 활발하게 자문을 하고 있으며, 정보보안 및 개인정보보호에 관하여 금융기관, 다국적기업 및 국내기업들에 대하여 다양한 자문을 하고 있다. 이와 함께 방송통신위원회, 한국인터넷진흥원 등에 정보보안 및 방송통신 관련 자문을 제공하고 있다.
-------------------------------------------------------
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>