2024-03-29 17:00 (금)
[e-Discovery ⑧] 정보 관리 단계의 중요성
상태바
[e-Discovery ⑧] 정보 관리 단계의 중요성
  • 길민권
  • 승인 2014.03.01 10:01
이 기사를 공유합니다

정보 관리 시스템 구축되면, 소송 제기됐을 때 발생 비용 대폭 감소
정보화 시대라는 말로 표현할 수 있는 현재를 살아가는 사람들에게 정보 관리라는 용어는 더 이상 생소한 용어가 아니다. 컴퓨터를 비롯한 정보통신 기기의 발달이 가속화될수록 기업과 학교, 관공서 등의 집단에서 생산되는 정보의 양은 폭발적으로 증가하고 있고, 사람들은 이러한 정보들을 체계적으로 관리하기 위한 고민을 계속 하고 있다. 기업에서도 하루가 다르게 증가하는 정보의 양을 효과적으로 통제하고, 업무에 필요한 정보를 효과적으로 관리하며, 필요한 정보를 관리하는데 적절한 시스템을 구축하는 것이 비용의 증감과 직결되는 것을 인지하고 많은 노력을 기울이고 있다.
 
이러한 정보 관리의 필요성에 대해서 많은 이들에게 공감하고 있는 만큼 시중에는 다양한 정보 관리의 서적들이 존재한다. 이러한 서적들은 대부분 정보의 효율적인 생산과 관리에 대한 시스템의 구축과 운용을 설명하고 있는 것들이다. 하지만 최근에는 기업의 위기 관리 측면에서의 정보 관리를 다루고 있는 책들도 볼 수 있는데 이러한 책들 중에는 e-Discovery와 연관된 내용을 설명하는 것들도 다수 있다.
 
이들이 설명하는 e-Discovery와 관련된 정보 관리는 앞서 언급한 EDRM(Electronic Discovery Reference Model)이나 후에 설명할 EDBP(Electronic Discovery Best Practice)에서 제시하는 정보 관리와 유사한 점을 많이 볼 수 있다. EDRM과 EDBP는 e-Discovery프로젝트에서 요구되는 정보관리를 제시한다. 하지만 이들이 제시하는 정보 관리는 다소 차이가 있다.
 
EDRM이 제시하는 정보 관리는 e-Discovery프로젝트가 시작되는 단계라고 할 수 있는 소송이 합리적으로 예상되는 시점 이전의 정보 관리라고 볼 수 있다. EDRM은 정보 관리 참조 모델인 IGRM(Information Governance Reference Model)을 제시하는데 이는 EDRM에서 제시하는 e-Discovery 절차와는 독립적인 정보 관리 모델로 제시된다.
 
IGRM은 일상적인 기업의 정보 관리에서 고려해야 할 요소 중 하나로 법률적인 위험과 책임있는 정보 관리에 대한 위험을 e-Discovery와 관련하여 설명한다. IGRM은 정보 관리에서 고려해야 할 법률적인 위험으로 e-Discovery 프로젝트가 시작될 때 어떤 데이터를 보존하고, 언제 어떠한 방법으로 데이터를 수집하며 공개할 지에 대한 책임을 제시한다. 또한 책임있는 정보 관리를 위해서 기업이 생산하는 정보 중 보존해야 할 대상과 기간을 선정하고, 이를 일상적인 기업의 정보 관리 정책에 반영할 것을 제시한다.
 
앞서 언급한 것처럼 EDRM에서 정보 관리의 참조모델로 제시하는 IGRM은 전적으로 e-Discovery 프로젝트를 준비하기 위한 정보 관리가 아니고, 기업의 일반적인 정보 관리에서 법률적인 위험과 이를 반영한 정보 관리 정책을 수립할 것을 제시하는 반면에 EDBP에서 제시하는 정보 관리는 법무팀과 같이 소송과 관련된 부서에 의해서 이루어지는 e-Discovery 프로젝트와 직접적으로 관련된 정보 관리를 말한다.
 
정보 관리는 e-Discovery를 준비하는 담당자들에게는 소송이 합리적으로 예상되기 이전부터 소송 대응 준비를 할 수 있는 가장 효과적인 방법이다. 체계적으로 정보가 생산되고, 관리되며 이러한 내용들이 구체적으로 정책에 반영된 기업은 e-Discovery를 준비하는데 큰 어려움이 없다.
 
정보 관리 시스템이 명확하게 구축된 기업은 소송이 합리적으로 예상될 때 소송과 잠재적으로 관련된 정보를 효율적으로 파악할 수 있고, 신속하게 보존을 할 수 있다. 또한 대량의 정보에서 소송과 관련된 정보를 찾기 위해 e-Discovery기술 서비스 제공자와 법무법인의 검토자에게 추가적인 비용을 지불하지 않아도 된다. 실제로 검토(Review) 과정에서 막대한 비용이 소요되는 것을 감안하면 정보 관리가 체계적으로 이루어진 기업은 많은 비용을 감소시킬 수 있다.
 
하지만 정보 관리는 소송을 준비하는 담당 부서인 법무담당자 뿐만 아니라 기업의 정보 생산과 활용을 담당하는 관리자와 인사부서, 전산부서, 보안부서 같은 관련 분야의 담당자들이 기능별로 역할을 수행해야 가능하다. 여기서 법무부서의 담당자는 법률적인 위험을 고려하여 필요한 정보를 식별하고, 관리하며, 보존할 수 있는 정책을 제시해야 한다. 또한 이러한 정책들이 e-Discovery만을 고려하는 정책이 아닌 국내의 법률까지 고려한 정책을 제시하여야 한다.
 
보안 담당자들은 이러한 정보들이 효과적으로 관리되고, 보존될 수 있는 보안 정책을 제시하여야 한다. David G. Hill과 같은 사람들이 Information Security Management Handbook(Sixth Edition)과 같은 정보 보안 서적에서 e-Discovery에 대한 내용을 고려한 보안 설계를 제시하는 것도 이와 같은 이유이다. 보안 담당자들은 보존되어야 할 정보들의 훼손을 방지하기 위한 보안 시스템을 구축하고, 정책을 수립해야 한다. 또한 소송이 합리적으로 예상될 때 소송과 잠재적으로 관련되어 보존을 해야 하는 데이터들이 훼손될 수 있는 정책을 사전에 식별하고, 이를 법무 담당자에게 제시할 수 있어야 한다.
 
정보 관리는 고려해야 할 요소도 많고, 다양한 부서의 담당자들의 협업을 통해서 이루어지는 만큼 어려움이 많다. 하지만 기업이 직면할 수 있는 법률적인 위험을 고려한 정보 관리 시스템이 구축된다면 소송이 제기되었을 때 발생하는 비용을 대폭 감소시킬 수 있고, 소송에서 승소할 수 있는 확률 또한 증가하는 만큼 그 필요성은 더없이 중요하다고 볼 수 있다. 그리고 체계적인 정보 관리는 수많은 정보가 범람하는 빅 데이터 시대에 기업의 위험을 감소시키고, 비용을 줄일 수 있는 필수 요소가 될 것이다.
 
[필자. 유 정 호(griphis77@me.com)]
다년간 군 수사기관에서 디지털 포렌식과 사이버 수사교관 등을 지내면서 경찰수사 연수원, 지방경찰청 사이버수사대 등 국가기관의 강사로 활동했고, 디지털 포렌식 관련 매뉴얼집 등 다수 서적을 집필했으며, 각종 번역 작업에 참여한 바 있다. 현재는 기업에서 e-Discovery, 디지털 포렌식, 개인정보보호 등의 업무를 담당하고 있다. 



■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★