국내 규제는 아니지만 대규모 국제소송이 빈번하게 발생하면서 디지털 증거자료와 관련된 이디스커버리(e-Disocvery)가 부상하고 있다.
삼성과 애플이 전 세계에서 벌이고 있는 특허소송으로 이디스커버리가 큰 관심을 받고 있는데, 삼성과 애플뿐 아니라 램버스와 SK하이닉스 등 대기업 다수에서 특허와 관련된 소송을 진행중이다. 특히 한미FTA가 발효되면서 한국 기업이 미국기업과 소송분쟁에 휘말리는 경우가 늘어나고 있어 이디스커버리 시장이 성장의 적기를 맞았다.
이디스커버리는 국제 소송에서 디지털 자료가 중대한 영향을 미치게 되면서 소송에 휘말렸을 때 필요한 정보를 제대로 찾아서 증거로 제시할 수 있다. 국제소송은 대기업간에만 일어나는 일이 아니며 중소기업이 소송에 걸렸을 때 이를 제대로 입증하지 못하면 회사의 존폐를 위협하는 큰 피해를 입을 수 있기 때문에 디지털 자료에 대한 철저한 준비가 필요하며, 이디스커버리 전문 솔루션이 도움을 줄 수 있다.
국제소송은 객관성을 유지하기 위해 준비한 서류를 모두 공개한 상태에서 소송을 진행하기 때문에 기업이 보유한 방대한 자료 중 소송에 이기는데 필요한 자료만을 빠르고 정확하게 추출해 내는 것이 중요하다.
이디스커버리 전문 솔루션은 예측분석과 자동화된 프로세스 기능을 통해 소송에 유리한 자료를 중요도의 순서대로 찾아준다. 변호사들이 중요한 자료 순서대로 검토해서 소송에 대응할 수 있게 하기 때문에 실수나 순간적인 판단착오 때문에 소송에 유리한 증거를 제출하지 않거나 불리한 증거를 제출하지 않는 상황을 방지할 수 있도록 한다.
최근 특허괴물로 불리는 전문 로펌으로 인해 기술기업들이 소송의 위험을 항상 안고 있는데, IT뿐 아니라 첨단기술이 집약된 자동차, 화학 등의 산업에서 이디커버리 수요가 늘어날 것으로 보인다. 선진국에서는 금융, 요식업 등 특허 등록이 되는 모든 산업군에서 수요가 늘고 있다.
기업의 인수합병에도 이디스커버리가 필요하다. 국내에서도 기업간 인수합병이 활발하게 일어나면서 이디스커버리 시장은 디지털 자료를 처리하는 모든 분야로 확장될 것으로 보인다.
경영전략 상의 정보보안 거버넌스도 필요
사이버 공격은 점점 더 지능화 되고 있다. 특정 타깃을 위해 정교하게 설계된 방법으로 교묘하게 공격이 진행되고 있으며, 공격에 이용되는 악성코드의 숫자는 줄어들지만 기술적인 수준이 높아 탐지·차단이 매우 어렵다. 뛰는 방어기술 위에 나는 공격기법이라는 말이 결코 자조적인 말이 아니다. 사이버 범죄자들은 예상치도 못한 허점을 찌르고 들어오기 때문이다.
그러나 값비싼 보안장비를 구입하는데 누구보다 앞장서 있는 공공기관과 금융기관에서 계속 보안사고가 터지는 상황을 살펴보면 언제나 그렇듯 기본을 지키지 않은 것이 문제다. 3·20 사고는 백신 업데이트 서버에 무결성 점검 기능이 적용돼 있지 않았으며, 6·25 해킹 사고 당시 청와대는 10만여명에 이르는 개인정보를 암호화하지 않아 개인정보를 고스란히 사이버테러조직 손에 넘겨줬을 가능성이 있다.
올해 드러난 금융기관의 개인정보 유출사고는 IT 개발 직원이 보안시스템을 우회해 직접 서버에 USB를 꽂고 1억건 이상 개인정보를 빼갔으며, 금융기관의 정직원이 사무실에서 수천장에 이르는 고객정보를 프린트해 당당하게 들고 나갔다. 가장 기초적인 방법으로도 개인정보 유출사고가 일어난 것은 임직원의 보안의식이 매우 낮다는 뜻이다.
국정원에 따르면 국내에서 발생한 산업스파이 유형 중 전현직 직원과 협력업체에 의한 정보유출이 92%에 달하는 것으로 나타났다. 정보유출 방법은 무단보관과 내부공모가 72%를 차지했다.
이러한 문제는 대규모 사이버 보안 사고가 일어날 때 마다 반복적으로 지적돼 온 것이지만 해결되지는 않는다. 보안의식에 대한 변화나 보안정책 전반에 대한 전략 없이 보안 솔루션 도입에만 급급하기 때문이다. 정부 규제 역시 사고 재발을 위한 포인트 솔루션 도입에만 초점을 맞췄을 뿐, 실제로 보안을 강화하기 위한 노력은 발견되지 않는다.
최근 정보보안 관련 규제에서는 보안사고 시 CEO 등 책임있는 임원에 대한 처벌을 강화하고 있는 것은 반가운 소식이다. 정보보안은 의사결정권자의 강력한 의지에 따라 규제하지 않으면 안된다. 정보보안 거버넌스 체계를 통해 업무 생산성을 저하시키지 않고 업무를 진행하는 과정에서 보안규정을 지킬 수 있도록 해야 한다.
더불어 정보보안 조직의 위상을 강화해 경영상의 주요 의사결정 과정에 참여해야 하며, 전 직원의 보안의식 제고를 위한 캠페인을 지속적으로 강화해야 한다. 나아가 정보보안 전략과 체계가 비즈니스 전략과 연계돼야 하며, 전 직원이 이를 이해하고 공유할 수 있어야 한다.
가장 유의해야 할 점은 규제준수만을 위한 시스템 개비는 절대 금물이라는 것이다. 규제준수 솔루션도 정보보안 거버넌스 안에서 체계적으로 도입돼야 하며, 전체 시스템과 융화되지 못하고 사일로 형태로 남아서는 안 된다.
김종구 한국개인정보보호협의회(KCPPPI) 상근 부회장은 “정보보안은 기술로만 해결할 수 있는 부분이 아니며, 규제를 통해 해결할 수 있는 것도 아니다. 그러나 국내 규제는 궁극적으로 지향해야 하는 목적보다 규제의 세부사항에 지나치게 매달린다는 것이 문제다”며 “규제에서는 정보보안을 위해 지켜야 할 원칙을 정하고, 기업이 자율적으로 정보보안을 강화할 수 있도록 노력해야 한다. 기업이 이행해야 할 항목을 나열하는 포지티브 방식이 아니라, 하지 말아야 할 사항을 정하는 네거티브 방식의 규제가 필요하다”고 말했다.
