미 캘리포니아주 북부지역 검찰청 소속 검사 스테파니 힌즈는 데이터를 보관하는 기업에는 "해당 데이터를 보호하고 데이터가 해커에게 탈취될 경우 고객과 당국에 알릴 책임이 있다. 설리번은 FTC에 데이터 유출 사실을 감추려 했고 해커가 잡히지 않도록 조치를 취한 사실을 인정했다. 검찰은 사용자보다 기업과 직원들의 평판 보호에 더 관심이 많은 임원진이 대중에게 필요한 정보를 은폐하는 행동을 용인하지 않는다. 그런 행위가 연방법을 위반할 경우 기소될 것이다"라고 말했다.
설리번 측 변호사 데이빗 안젤리는 뉴욕 타임즈에 "배심원단의 평결에 동의하지 않지만, 해당 사건에서 배심원단이 보인 헌신과 노력에 감사한다. 피고가 이 사건, 그리고 그의 경력 전반에 걸쳐 오로지 집중한 것은 인터넷 사용자의 개인정보 안전을 보장하는 것이었다"라고 설명했다.
우버 평결이 CISO에게 미칠 파문
유죄 평결은 데이터 유출에 관해 내려진 것이 아니었다. 데이터 유출 자체와 관련된 고소는 취하됐다. 재판과 유죄 평결은 설리번이 FTC와 논의한 내용과 관련해 내린 결정과 중범죄를 신고하지 않은 점에 관한 것이었다. 증언에서 주장한 바와 같이 설리번이 동료 임원진을 속인 것은 범죄 발생 사실을 인지했다는 의미였다.또한 미 법무부는 2016년 체포된 우버 데이터 유출 사건의 범인 2명이 우버의 버그 바운티 프로그램에 참가하지 않았으며, 사이버 범죄를 저지른 혐의로 유죄 선고를 받은 점을 분명히 했다. 범인들은 2019년 말 컴퓨터 사기 모의 혐의에 대한 유죄를 인정했고 처분 판결을 기다리고 있다. 법무부는 공고에서 "각 해커들이 제출한 유죄 인정 답변에 따르면, 설리번이 우버 해킹 사실을 은폐하도록 도운 이후 이들은 다른 기업(린다닷컴)에 추가로 침투해 데이터에 대한 몸값 요구를 시도할 수 있었다"라고 밝혔다.
설리번의 재판은 개인의 책임에 관한 것이었고, 그 결과 CISO들 개인의 법적 책임에 큰 변화를 야기했다. 이제 기업과 데이터의 보안을 담당하는 임원은 데이터 유출 과정의 어떤 지점에서 결과에 대한 책임을 지게 될지 돌아봐야 하는 상황에 처했다.
앞으로 CSO와 CISO는 기업을 위험에 빠뜨리거나 위험을 완화하는 전략적 결정을 내릴 때 동료 고위 임원진과 의견이 충돌할 수 있다. 모든 CSO/CISO가 인지하고 있는 것처럼 100% 안전한 것은 없기 때문이다. 이번 평결을 계기로 데이터 유출 피해자가 정보를 맡긴 기업뿐 아니라 정보 보호에 책임이 있는 임원진까지 추궁할 길이 열린 것일까? 환영할 만한 전환점인지, 시스템에 가하는 충격인지는 앞으로 몇 달간 다른 기업의 법무팀들이 이번 평결에 비추어 자사의 입장을 평가하면서 알게 될 것이다.
CISO의 법적 책임의 시작과 끝은 어디인가?
이번 평결과 관련해 고위 임원들이 반드시 검토해야 할 또 다른 문제는 기업을 대상으로 한 책임 보험이 임원진 개인의 책임을 어느 정도까지 보장할 수 있는지다. 임원진의 개인적인 법적 책임에 대한 보험 가입의 필요성도 논의해야 할 주제다. 데이빗 섀클포드는 워싱턴 포스트에 "이해관계자의 의견이 반영된 기업 의사결정에 대한 개인의 법적 책임은 보안 임원진에게는 다소 새로운 미지의 영역이다. 이로 인해 정보보안 분야에 대한 관심이 부족해지고 전반적으로 회의적인 시각이 커지게 될 것을 우려한다"라고 말했다. 섀클포드의 우려는 법정에서 현실로 나타났다. 우버 임원진은 설리번에게 들은 이야기를 참조했으며, 우버가 설리번의 결정과 거리를 두었다는 사실을 명확히 했다. 우버 법무팀은 설리번이 아닌 우버를 보호하고 있는 것이 분명했다.
CISO가 지닌 전반적인 법적 책임을 새롭고 부정적으로 보는 시각이 많을지 모르지만, 그 영향은 개인을 넘어 정보보안팀에까지 닿는다.
문서화의 중요성
이번 평결이 주는 주요 교훈은 아무리 사소해도 의사결정은 반드시 문서화해야 하고 해당 의사결정을 내부적으로, 그리고 규제 당국과 조사관에게 변호할 준비를 해야 한다는 점이다. 의사결정을 문서화하면 CISO는 향후 미 국무부, FTC, SEC(Securities and Exchange Commission)를 상대할 때 법정에 출두할 일이 없어질 수도 있다. 2022년 초 SEC가 상장사를 대상으로 한 사이버보안 위험 관리 전략/방식/사고 고지 규칙을 수정할 것을 제안했고 법정에서 피고에게 자신의 운영 의사결정을 변호하라는 요구하는 가운데, 모든 기업이 ‘사이버보안 상태’ 보고서를 주기적으로 제출하는 쪽으로 발전하는 것이 좋을 것이다. 사이버보안 자문 기업 TAG 사이버(TAG Cyber)는 CISO들이 새로운 보고 요건을 준수하고 시스템이 이런 보고 사항에 압도당하는 모습을 재치 있게 풍자했다.
분명한 것은 이제 CISO의 역할이 변했으며, CISO 개인의 법적 책임이 현실이 됐다는 점이다.
editor@itworld.co.kr