2012년 새해가 시작되고 벌써 한 달이 훌쩍 지났다. 개인이나 기업이나 1월 한 달은 올 한 해가 풍성하고 알찬 해가 될 수 있도록 준비하는 일들로 분주하게 보냈을 것이다. 기업의 정보보호를 담당하는 부서들은 지난 해에 수립하였을 교육 계획, 인력 계획, 장비 도입 계획, 보안 점검 계획과 같은 다양한 사업들의 첫 걸음을 막 시작하였을 것이다.
 
이 시점에서 필자는 기업의 개인정보보호 담당자들에게 질문해 보고 싶은 것이 한 가지 있다. 과연 귀하의 회사는 개인정보 관련 사고를 예방하고 탐지하는 데에 들이는 노력만큼, 사고가 발생했을 때 잘 대응하기 위한 준비 역시 충분히 하고 있는가 하는 물음이다. 위험관리의 기본이 예방과 탐지 그리고 대응이라는 사실은 누구나 알고 있다.
 
그러나 막상 위험이 현실화 되었을 때, 기업의 최우선 목표는 피해의 최소화이며, 이는 문제가 발생하기 전에 얼마나 철저하게 대응 계획을 수립하고 있었는지에 의해 좌우된다는 사실은, 아는 만큼 실천으로 옮겨지지 않고 있는 것으로 보인다. 이 글에서는 최근 몇 년 사이, 정보보호 영역에서 가장 뜨거운 현안으로 떠오른 개인정보 유출사고가 발생할 경우, 기업의 입장에서 효과적으로 대응하기 위하여 갖추어야 할 몇 가지 준비 사항들에 대하여 제시해 보도록 하겠다.
 
1. 사고 대응 총괄할 책임 부서 미리 정하자.
대부분의 기업들이 예방이나 탐지 활동과는 달리 대응 영역에 소홀하게 되는 이유는 다름이 아니라 대응과 관련된 업무에 있어서는 책임 부서를 정하기가 애매한 경우가 많기 때문이다. 다른 정보보호 활동들과 달리 사고 대응은 어느 특정 부서만의 업무 영역이라기 보다는 여러 부서의 협업에 의해 진행되어야 하는 특성이 있다. 예컨대 개인정보 유출사고가 발생하면 정보보호 부서뿐만 아니라 IT운영부서, 홍보부서, 법무부서, 전략부서 등 많은 부서들이 관여하여 업무를 수행해야 하는 경우가 비일비재하며, 이런 상황에서 사고 대응 과정을 총괄하고 조정하는 컨트롤타워가 부재할 경우, 각 부서간의 입장 차이로 인하여 대응에 혼선이 생기는 상황으로 번질 수 있다.
 
따라서 적어도 상황을 통제하고 대응의 일관성을 유지할 수 있는 컨트롤 타워는 반드시 필요하며 이를 위해서는 정보유출 상황에 대응하는 책임부서를 미리 정해 놓을 필요가 있다. 근래에 와서 정보유출 사고가 민·형사 및 행정상의 책임 문제로 비화되는 경우가 보편적인 것을 감안한다면, 회사 내 컴플라이언스 담당부서 또는 법무부서가 주무부서가 되는 것이 적절하겠지만 주무부서를 정하는 것은 전적으로 회사의 조직구성과 업무 특성에 따라 판단되어야 할 것이다.
 
2. 사고는 반드시 발생할 것이라고 예상하고 대응 매뉴얼 작성하자.
대규모 전산망을 운영하는 담당자들은 여러 가지 원인으로 발생하는 장애 상황에 대응하는 것이 업무의 일부이며, 생활의 일부라고 해도 과언이 아니다. 시스템 운영자들은 심한 경우에는 퇴근 후나 심지어는 한밤중에 휴대폰으로 오는 문자 메시지나 전화에 매우 민감한 반응을 보이기도 한다. 늘 장애를 예상하고 있기 때문이며, 빠른 대응에 따라 장애의 피해를 최소화 할 수 있다는 것을 알기 때문이다.
 
그런 이유에서 시스템 운영부서들은 장애 상황에 대응하는 매뉴얼을 갖추는 것은 물론, 경험과 교훈에 따라 매뉴얼을 발전시켜 나간다. 이와 같이 주로 업무의 성격상 촌각을 다투는 분야일수록 부정적 상황을 상정하고 대비하는 것에 익숙할 수 밖에 없다. 항공 분야, 재난관리, 군대 등의 경우가 이에 해당되며, 그런 조직들의 경우, 대체로 매뉴얼 준수 여부에 따라 사고 대응의 성패를 가릴 정도로 매뉴얼에 철저하다.
 
마찬가지로 정보유출 사고와 같은 위기 상황을 미리 예상하고, 사고 발생시 대응 원칙, 대응 조직, 조직 구성원들의 역할과 책임 및 주요 업무 절차를 문서화 하는 것은 위기 관리에 있어 기본중의 기본이라고 할 수 있다. 또 한 가지 중요한 것은 개인정보보호와 관련된 법령상의 요건들이 사고대응매뉴얼에도 충실히 반영되어야 한다는 것이다. 예를 들어 개인정보보호법에서 개인정보가 유출되었을 때, 개인정보 주체에 대한 고지를 의무화 하고 있는 것과 같이, 사고의 대응 상황에서 준수해야 할 법규 요건들이 있기 때문이다.
 
이와 같은 매뉴얼의 작성은 굳이 개인정보 유출과 같은 상황으로만 제한할 필요는 없다. 오히려 침해사고의 여러 가지 유형별로 구분하여 접근하는 것이 훨씬 효과적이다. 대부분의 기업들이 갖추고 있는 침해사고대응절차와 같은 보안 기술 문서와는 달리, 여기서 말하는 대응 매뉴얼은 사업연속성계획이나 위기관리계획과 같이 전사적인 차원의 대응절차이다. 근래의 여러 경우에서 볼 수 있었듯이, 대규모 개인정보유출 사고는 기업이 이미지뿐만 아니라 재무적으로도 큰 타격을 입게 되는 심각한 위기상황으로 비화되곤 한다. 따라서 개인정보유출사고는 장애나 자연재해와 같이 충분히 발생할 것을 미리 예상하고 준비할 때 만이 효과적으로 대응이 가능하다.
 
3. 관련 법규 충실히 따르고 증적 남기자.
개인정보 유출사고가 발생 하였을 때, 기업들이 자발적으로 사실을 공개하는 사회적 분위기가 조성된 것은 불과 3,4년 밖에 되지 않는다. 그 이전에는 해킹 사고 또는 정보유출 사고가 발생하면 대체로 기업 내에서도 쉬쉬하는 분위기가 팽배해 있었던 것이 사실이다. 그렇다면 기업들은 왜 그토록 정보유출 사실을 공개하기를 꺼려했던 것일까?
 
물론 여러 가지 이유를 짐작할 수 있겠지만, 그 중에서도 하나를 꼽으라면, 감독당국의 행정제재로 인하여 불이익을 받게 되는 것이 큰 이유중의 하나일 것이다. 지금과는 달리 개인정보 유출사고에서 비롯된 민사소송이 거의 없었고, 법규위반과 관련한 형사처벌 등의 조항이 없던 시절에는 과태료나 기관경고, 임직원에 대한 문책과 같은 행정적인 제재가 가장 직접적인 처벌이었으며 여전히 기업들은 감독기관의 제재를 두려워하고 있는 것이 현실이다.
 
통상적으로 대규모 개인정보 유출 사고가 발생하면 방송통신위원회나 금융감독원과 같은 감독기관의 현장 조사가 곧바로 실시되며, 조사는 주로 정보가 유출된 기업의 위법 행위 여부를 가리는 데에 초점이 맞춰지게 된다. 조사 결과에 따라 위법 사실이 확인되면 과태료 부과와 같은 행정처분이 내려지거나, 형사 고발과 같은 조치가 취해지기도 한다.
 
감독기관에 의해 위법 사실이 먼저 드러나는 경우에는 뒤이은 민사소송에서도 기업의 과실이나 불법 행위가 곧바로 인정될 수 있으므로 소송을 당한 기업의 입장에서는 매우 치명적인 상황이 될 수 밖에 없다. 그와 반대로 감독기관의 조사 결과 해당 기업에 별다른 문제가 발견되지 않았거나 또는 기업이 그 동안의 법규 준수 사실을 잘 입증만 할 수 있다면, 민사소송이나 소비자분쟁에서도 결코 불리한 입장에만 서지 않을 수도 있다.
 
따라서 개인정보유출의 위험을 늘 안고 있는 기업이라면, 자신에게 적용되는 법령들을 명확하게 인지하고, 평소 법령의 준수 여부에 대하여 점검하고 이행증거를 기록하는 IT컴플라이언스 체계를 갖추는 것이 무엇보다도 중요하다. 현실적으로 기업의 법무 담당자들이 IT와 관련된 법령상의 요건들을 충분히 이해하는 것은 쉽지 않으며, 마찬가지로 IT담당자들이 알아서 법령을 이해하고 대응책을 마련하는 것도 적절하지 않다. 따라서 효과적인 IT컴플라이언스 체계를 갖추기 위해서는 법무 부서와 IT부서 사이의 협업이 전제된 업무 프로세스를 수립하는 것이 매우 중요하다.
 
잊을 만 하면 터져 나오는 대형 개인정보 유출사고를 접할 때마다 기업의 경영진과 정보보호 담당자들은 더 이상 남의 일로만 느끼지는 않을 것이다. 손자병법에 보면, “적이 오지 않기를 바라지 말고, 적이 올 때에 대비하라”라는 구절이 있다. 물론 적의 공격에 대비하여 준비태세를 갖추는 것이 중요하다는 의미이다. 같은 맥락에서, 개인정보보호에 있어서 완벽한 준비태세란 방어와 탐지뿐만 아니라 사후적인 대응체계의 마련 역시 간과되어서는 안될 중요한 요소임을 늘 기억하자.
[글. 박종섭 법무법인 광장 전문위원]