2020-05-27 18:20 (수)
사이버 공격에 관한 정보공개 요구 받는 美 기업들
상태바
사이버 공격에 관한 정보공개 요구 받는 美 기업들
  • 길민권
  • 승인 2012.03.11 23:30
이 기사를 공유합니다

회사에 리스크 줄 수 있는 사이버공격 발생시 공개해야
[박춘식 교수의 보안이야기] 미국의 주식회사는 앞으로, 사이버 공격 피해에 관해서 보다 신중한 자세를 취하지 않으면 안 될 것이다. 2011년 10월 중순에 미국증권거래위원회(SEC)가 새로운 가이드라인을 발표하였기 때문이다. SEC의 기업 금융 부문이 책정한 이 가이드라인은 사이버 공격을 받은 사실이나 그러한 공격이 사업에 미치는 위험 규모를 언제 발표하면 좋은 지, 그 결단을 기업이 내려야 할 때에 도움이 되는 것이다.
 
미국의 주식공개회사는 일반적으로 비즈니스에 물리적인 영향을 미치려고 하는 사건에 대해서 정보를 공개하는 의무를 지고 있다. 이전의 규제에는 사이버 공격에 대해서 명확한 결정사항이 존재하지 않았지만 새로운 가이드라인은 일부의 경우에는 이러한 사건도 보고하는 의무가 있다고 확실하게 정의하고 있다. “해당 기업에 대한 투자를 불확실한 것으로 하거나 또는 위기에 처할 가장 심각한 요소 가운데에 사이버 사건이 포함되어 있는 경우” 기업은 그 리스크를 공표해야만 하는 것이 2011년 10월13일 공개한 새로운 가이드라인의 골자다.
 
공표 시기를 확인하는 데에는 자신들이 공격의 타깃이 될 확률과 기업 활동의 중단 및 기밀 정보의 상실과 같은 관점에서 본 공격의 대가 등 기업은 다양한 요소를 검토하지 않으면 안 된다. 이것에 덧붙여 과거에 일어났던 해킹 사고에 대해서도 상세하게 보고할 의무가 발생할 가능성이 크다.   
 
“예를 들면, 기업이 과거에 중대한 사이버 공격을 받아, 시스템에 맬웨어가 삽입되었거나, 고객 데이터가 누설된 경우에는 동일한 공격이 또 다시 발생할 가능성이 있다는 사실을 공표하는 것만으로는 불충분하게 된다”고, SEC는 설명하고 있다. 이 경우, 과거의 사고에 대해서 상세하게 밝히는 것이 필요할 것 같다.
 
새로운 가이드라인이 제정된 2011년에는 크게 주목된 해킹 사건이 몇 가지 일어났다. 소니가 대규모 공격을 당해 ‘PlayStation Network’을 1개월 이상에 걸쳐서 폐쇄를 하지 않으면 안 되는 사건도 그 일례이다.
 
지금까지 사이버 공격의 위험은 정보 공개 대상으로써 후보로 거론되어 왔지만 새로운 SEC의 가이드라인은 이러한 문제에 본격적인 대응을 하게 되었다고 한 정보그룹의 전문가는 말하고 있다.
 
그렇다고 해서, “우선되는 것은 역시 일의 중대성으로 대부분의 사건이 기업에 심각한 영향을 줄 가능성을 간직하고 있는 것은 아니기 때문에 모든 시큐리티 피해를 보고하는 의무가 생기는 것은 생각하기 어렵다”고 블로그에서 밝히고 있다.
 
이 전문가는 또한 가이드라인에 대한 하나의 해석으로써, “지금까지의 기업은 사이버 사건의 영향이나 적절한 시큐리티 대책을 마련하지 않은 결과를 사내에서 보다 신중하게 예측 및 추정하지 않으면 안 된다”고 설명하고 있다. 또 “이러한 분석은 많은 기업이 이미 주력으로 하고 있는 개인정보보호 관련 시큐리티 문제의 평가보다 어렵다. 시큐리티 침해의 피해를 입어 기업의 중핵적인 경영 문제에 말려들게 될 것”이라고 덧붙였다. (CIO. 2012.02.23)
[박춘식 서울여자대학교 정보보호학과 교수]