인수합병 거래 전 기업을 평가할 때 정보보안도 필수항목 되어가
협상 테이블에서 정보보안 이야기 능수능란하게 할 사람 필요

[보안뉴스 문가용] 최근 통신 소프트웨어 분야에서 새롭게 출발하는 새내기 회사인 슬랙(Slack)에서 정보유출 사고가 있었다. 이 사건을 통해 기업이 겪는 정보유출 사고가 비단 기업 스스로나 고객, 파트너사에만 영향을 끼치는 것이 아니라 미래에 발생할 수도 있는 투자나 인수합병에도 결코 좋지 않은 입김을 뿜는다는 게 드러났다. 현재 각 분야의 금융 전문가들은 한 기업이나 조직을 평가할 때 IT 보안상태를 점점 비중 있게 다루는 추세다. 특히 투자나 기업 인수 등을 위한 평가일 때 이런 분석은 사실상 필수항목이라고 한다.

위에 언급한 슬랙의 경우 1억 6천만 불의 투자를 막 유치하고 난 후에 유출사고가 발생했다. 월스트리트 저널에 따르면 “슬랙이 정보유출 정황을 발견한 시점이 언제인지, 새로운 투자자들이 투자 결정을 내리기 전에 이 사실을 알았는지는 불확실”하다. 워낙에 이런 식의 돈 관련 이야기는 ‘오프 더 레코드’인 경우가 많고, 그 출처가 소문과 추측에 불과할 때가 많기도 하며, 그래서 이번 사고와 투자 자체의 연관성에 대해서도 정확히 분석하기가 어렵다. 하지만 한 가지, 높은 위치에 계신 분들에게 이런 식의 사고 소식이 자꾸 들릴수록 앞으로 인수합병 이야기가 오갈 때 정보보안 능력 역시 중요한 자산 가치의 척도가 될 것이라는 건 확실하다.

폭스 로스차일드 LLP(Fox Rothschild LLP)라는 로펌에서 정보보안과 프라이버시 분야를 맡고 있는 스캇 버닉(Scott Vernick)은 이번 슬랙 사태에 대해서 다음과 같이 말했다. “계약에 대한 협상이 이루어지고 있는 장소가 어떤 분위기일지 대충 감이 오더라고요. 아마 서명하는 날부터 계약을 마무리 짓는 날까지 어떤 어떤 업그레이드나 패치를 해야 한다는 내용이 있었을 겁니다.” 버닉의 말은 계속됐다. “그런데 말이죠, 아마 실제 그런 업그레이드며 패치 때문에 실제 계약 내용을 바꾸는 일은 일어나지 않았을 겁니다. 보안 외에 다른 항목처럼 그대로 남아있을 가능성이 더 높았죠. 하지만 만약 인수자가 보안 환경 강화에 돈을 투자해야 할 필요를 느낀다면 인수 가격을 더 높이거나 했을 겁니다.”

버닉의 말을 쉽게 풀어보자면 M&A 과정은 이미 그 자체로 충분히 복잡하고 머리 아픈 장기 프로젝트인데, 여기에 보안이라는 항목이 큰 비중을 차지하지 못한다는 것이다. 그러나 이는 잘못된 생각이며 관행일 수밖에 없다.

“보통 이런 질문들이 오갑니다. ‘이 계약으로 우리가 얻는 것은 무엇인가?’, ‘투자수익은 어디서부터 발생하며 어떻게 파악할 수 있는가?’ 등이 바로 그것이죠. 그 다음 질문은 뭘까요? ‘정보보안의 관점에서 우리는 어떤 권리와 책임을 갖는가?’입니다. 즉 책임 문제죠. 계약을 마치고 인수합병까지 완료했는데 갑자기 예상치 못한 책임거리들이 어깨 위로 떨어지기를 누가 바라겠습니까? 그러니까 이런 선을 명확히 긋는 겁니다. 그리고 그런 선을 명확히 그으려고 최대한 많은 걸 이해하고 아는 상태에서 협상에 임하는 것이죠.”

이는 다시 말하자면, 앞으로 벌어질 수많은 인수합병에서 ‘정보’에 대한 파악이 대단히 중요한 변수로 작용할 것이라는 전망이다. 어떤 정보를 어떤 방식으로 고객에게서부터 수집하고, 그것 외에는 또 어떤 정보를 다루어야 하는지, 지적 재산은 무엇인지, 또 어떤 사람이 그 정보에 접근권한을 가지고 있는지가 전부 중요한 ‘파악거리’가 될 것이다. 마치 수익률과 매출을 묻듯, 정보에 대한 질문도 아주 기본적인 것으로 자리 잡을 것으로 많은 M&A 및 보안 전문가들은 예상하고 있다.

그렇다면 이제 협상 자리에서 이런 질문을 던지거나 받는 사람이 관련 지식을 가지고 있느냐도 중요해진다. 그래야 바른 질문을 하고 바른 답을 해주는 등 대화가 성립될 수 있으니까. 또한 대화를 이어나가는 것뿐 아니라 현장에서 대화에 대한 분석을 머릿속으로 해나가려면 더더욱 이런 기본지식의 바탕이 필수요소가 될 것이다. 어쩌면 인수합병 거래가 이루어지는 자리에 CISO가 동석해야 할 지도 모르겠다.

“보통 기업의 인수합병에는 회사 내에서 필요한 지식과 대응력을 갖춘 인물과 외부 상담 전문 인력, 증권인수업자가 동석합니다. 앞으로는 이 셋 중 하나가 정보와 보안에 대한 기술적인 내용을 다 파악하고 있던가 그런 역량을 가진 네 번째 인물을 추가하던가 해야할 겁니다.”
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>