2019년, 러시아의 해커 조직이 텍사스에 본사를 둔 비즈니스 소프트웨어 업체 솔라윈즈(SolarWinds)를 겨냥하기 시작했다. 처음에는 단순한 악성코드 침투 테스트 수준이었지만, 이후 이는 사상 가장 대담한 소프트웨어 공급망 해킹으로 발전했다. 이 공격은 솔라윈즈의 대형 고객사들에 악성 백도어를 확산시키며 사이버보안 역사에 뼈아픈 이정표로 남게 됐다.
사건의 피해 규모가 워낙 광범위했던 탓에 미국 연방 당국도 즉각 주목했으며, 미국 증권거래위원회(SEC)는 상장사인 솔라윈즈에 대한 조사를 개시했다.
2023년 10월, SEC는 솔라윈즈와 당시 최고정보보호책임자(CISO)였던 티모시 G. 브라운을 기소했다. 이례적인 조치로, SEC는 두 당사자가 ‘이미 알려진 위험’을 공개하지 않고, 회사의 사이버보안 상태를 정확히 전달하지 않았다는 이유로 투자자들을 오도했다고 주장했다. 이 외에도 커뮤니케이션 관련 다수의 위반 혐의가 포함됐다.
솔라윈즈와 브라운을 상대로 한 혐의는 복잡한 구조를 띠고 있으며, 이 사건을 담당한 판사는 지난해 대부분의 혐의를 기각한 바 있다. 올해 RSA 컨퍼런스를 앞두고, 솔라윈즈와 브라운은 남은 혐의에 대해서도 요약판결을 요청한 상태다.
이번 소송은 솔라윈즈와 브라운이 업무 중 남긴 발언이나 문서를 기반으로 제기됐다. 이는 CISO들이 직무 수행 중 남긴 말이나 글이 향후 소송의 단서로 활용될 수 있다는 점을 명확히 보여준다.
시스코의 수석 법률 고문 마이크 세라는 올해 샌프란시스코에서 열린 RSA 컨퍼런스의 ‘보안 전문가의 법적 리스크: 말의 위험을 경계하라’ 세션에서 “SEC가 솔라윈즈와 그 소속 사이버보안 전문가 브라운을 상대로 제기한 소송은 우리가 반드시 피해야 할 대표적 사례”라고 전했다.
공식적인 발언도 CISO를 법적 리스크에 노출시킬 수 있지만, 비공식적이고 비공개적인 커뮤니케이션은 오히려 더 큰 위험이 될 수 있다.
브라운은 CSO와의 인터뷰에서 “온라인에 게시하는 모든 내용에 주의해야 한다. 자신이 일하는 기업이나 보안 상태에 대해 공유하는 정보는 신중히 다뤄야 하며, 공개적으로 하는 말도 과하게 확장하지 않도록 조심해야 한다”라고 조언했다.
이런 상황을 감안할 때, CISO가 외부와 소통할 때에는 다음 네 가지를 염두에 두는 것이 도움이 될 수 있다고 법률 전문가는 말한다.
1. 표현은 신중하게 선택하라
브라운에 대한 기소는 CISO 업계에 큰 충격을 주었고, 말의 중요성을 일깨워주는 극단적인 사례가 되었다. 로펌 윌머헤일(WilmerHale)의 파트너 매트 존스는 RSA 패널에서 “브라운이 겪은 법적 고난은 끔찍하고 다행히도 드문 일이지만, 우리가 어떻게 말하느냐에 따라 법적 위험이 커질 수 있음을 보여준다”라고 말했다.
존스는 규제기관을 비롯한 외부 이해관계자들이 CISO의 발언과 표현 방식에 따라 조직의 보안 수준을 판단한다고 조언했다. 그는 “보안 프로그램에 대해 어떻게 말하는지가 매우 중요하다”라며 “말한 내용과 실제 보안 수준 간에 차이가 있다면, 그 차이를 근거로 법을 집행할 수 있는 규제기관과 인물이 많기 때문이다”라고 밝혔다.
브라운은 “법적 절차에서는 말의 무게가 매우 중요하다”라며 “가장 먼저 진행되는 것은 증거 공유 및 검토 절차다. 이 과정에서 이메일, 팀즈, 슬랙 등 모든 커뮤니케이션 수단이 수집되고, 해당 정보에 대해 다양한 검색이 이뤄진다”라고 설명했다.
존슨앤드존슨(Johnson & Johnson)의 수석 법률 고문 스콧 존스는 “전문적인 어조로 말하는 습관은 강력한 보안 프로그램 구축뿐 아니라 법적·규제적 리스크를 예방하는 데도 큰 도움이 된다”라며 “보안 전문가로서의 언행은 기술적인 보안뿐 아니라, 제재나 소송을 통해 기업에 닥칠 수 있는 피해에도 영향을 미칠 수 있다”고 전했다.
또한 존스는 지난친 과장도 사용하지 말 것을 경고했다. 그는 “무언가를 ‘최악’이라거나 ‘범죄 수준’이라고 표현하는 건 적절하지 않다”라며 “보안 분야에서는 어떤 상황도 그런 식으로 묘사해서는 안 된다”라고 말했다.
자신의 역량을 과시하는 것도 문제를 일으킬 수 있다. 브라운은 “‘우리 프로그램은 아주 훌륭하다’고 말하는 것처럼 단순한 표현도 문제가 될 수 있다”고 언급했다. 그는 “‘우리 프로그램은 매주 1,000건의 취약점을 관리한다’처럼 구체적인 수치와 사실에 기반한 설명이 훨씬 바람직하다”며 “적절한 형용사를 사용하고, 검증 가능한 데이터를 활용해야 한다”고 강조했다.
전문가가 흔히 빠지기 쉬운 함정 중 하나는 유머다. 이는 맥락과 환경에서 벗어나 왜곡될 수 있으며, 실제로는 법적 소송에서 최고정보보안책임자(CISO)에게 불리한 증거로 활용될 수 있다. 예를 들어 ‘쓰레기통에 불이 난 밈’을 공유하거나 메시지에 ‘ㅋㅋㅋ’같은 웃긴다라는 메시지를 남기는 행동조차도 보안에 대한 무책임한 태도로 해석돼 법적 책임을 증폭시킬 수 있다.
윌머헤일의 존스는 “우리가 ㅋㅋ이라고 쓸 때 실제로 웃고 있는 경우는 10%도 안 된다”며 “이처럼 너무 캐주얼한 커뮤니케이션은 심각한 사이버 사고가 발생했을 때 재판 과정에 빈번히 등장한다”고 설명했다. 그는 “‘ㅋㅋ’나 ‘쓰레기통 화재’ 같은 표현은 내부 커뮤니케이션에서 피해야 한다”라며 “이런 내용이 그대로 소송 자료에 포함되기 때문”이라고 덧붙였다.
2. 누구에게, 어디서 말하느냐에 따라 표현을 달리하라
CISO는 어떤 매체를 통해 의사소통하느냐에 따라 말하는 내용과 방식에 더욱 주의를 기울여야 한다. 미 방산업체 노스럽 그러먼(Northrop Grumman)에서 사이버 및 개인정보 보호 담당 법률 고문을 맡고 있는 안젤라 마우세리는 RSA 컨퍼런스에서 “어떻게 소통하는지, 누구와 소통하는지, 어떤 플랫폼을 사용하는지, 그리고 구두인지 서면인지에 따라 그 결과는 달라진다”라며 “특히 서면 커뮤니케이션은 오랫동안 기록으로 남는다”라고 설명했다.
그는 이어 “이와 관련해 전자 커뮤니케이션 플랫폼의 데이터 거버넌스, 더 나아가 데이터 보존 정책을 정확히 이해해야 한다. 예컨대 데이터가 60일, 90일, 혹은 6개월 동안 보관되는지 여부를 알아야 한다”라고 밝혔다.
불필요한 커뮤니케이션 리스크를 피하는 방법 중 하나는 가능한 한 대면으로 소통하는 것이다. 마우세리는 “나는 채팅, 인스턴트 메시지, 팀즈 같은 서면 도구보다는 대면 또는 얼굴을 마주한 방식의 커뮤니케이션 문화를 정착시키는 것을 추천한다”라며 “대면 커뮤니케이션은 뉘앙스와 의도를 정확하게 전달할 수 있는 장점이 있기 때문에 더욱 중요하다”라고 말했다.
3. 역할을 명확히 정의하고 정책을 수립하라
CISO는 자신의 역할을 명확히 정의하고 관련 정책을 수립함으로써, 향후 법적 책임으로 이어질 수 있는 커뮤니케이션 리스크를 최소화할 수 있는 가이드라인을 마련해야 한다. 브라운은 CSO와의 인터뷰에서 “시작은 명확하게 정의된 직무 기술서에서 출발한다”라며 “누구나 볼 수 있고, 모두가 알고 있어야 한다. 사람들은 CISO가 무슨 일을 하는지 잘 모른다. 법무팀조차도 마찬가지다”라고 설명했다.
그는 “처음부터 ‘이것은 내가 맡은 일’, ‘이것은 내가 맡지 않는 일’이라고 명확히 구분해야 한다”라며, “예를 들어 법적 공시에 관한 사안은 논의에 참여할 수는 있지만, 최종 결정을 내리는 역할은 아니라는 식으로 자신의 역할을 분명히 해야 한다”라고 말했다.
브라운은 또 “CISO는 의사결정자가 아니라 승인 절차에 참여하는 팀의 일원임을 명확히 밝혀야 한다”라며, “CISO는 의견을 제시하는 역할이며, 웹사이트에 게시되는 내용은 마케팅과 법무 검토를 거친 뒤 일부 항목에 대해 CISO의 확인이 요청될 수는 있지만, 무엇을 게시할지는 CISO가 아닌 다른 주체가 최종적으로 판단한다는 점을 분명히 해야 한다”라고 강조했다.
마찬가지로, CISO는 자사의 사이버보안팀이 리스크를 어떻게 관리하고 커뮤니케이션할 것인지에 대한 정책, 절차, 프로세스를 문서화하는 것도 고려해야 한다. 노스럽 그러먼의 마우세리는 “위험이 감지됐을 때 내부 보고와 상부 보고가 어떤 방식으로 이뤄져야 하는지에 대한 기대치를 문서로 명확히 규정해야 한다”라며 “위험을 식별하고 평가해 이를 시스템의 약점이나 취약점으로 판단했다면, 사용하는 언어도 매우 구체적이어야 한다”라고 조언했다.
마우체리는 “이러한 문서들은 향후 소송이나 감사를 통해 공개될 수 있다는 점을 항상 염두에 둬야 한다”라며 “위험을 식별했을 때 이를 기록하고, 중요 시스템 변경이나 핵심 결정, 취약점을 신중하게 해결하고 있다는 점을 문서로 남기는 것이 좋다. 표현은 사실에 기반하고 중립적이어야 한다”라고 덧붙였다.
4. 법률을 이해하고 법률 자문을 구하라
CISO는 법률과 규제의 세부 사항을 이해함으로써 불필요한 오해나 법적 위험을 초래하는 커뮤니케이션을 방지할 수 있다.
노스럽 그러먼의 마우체리는 “공식적으로 사고로 선언되지 않은 상황에서 성급하게 사이버 사고라고 부르지 말라”라며 “‘사이버 사고(cyber incident)’는 기업 유형에 따라 달라지는 법률 용어다. 미국 증권거래위원회(SEC)의 규정에도 사이버 사고의 법적 정의가 있으며, 방위산업체이거나 연방 또는 국방 조달 규정을 따르는 정부 계약을 수행하는 경우에도 마찬가지다”라고 설명했다.
이를 위해 CISO는 사내 또는 외부 법률 자문과의 긴밀한 협력 관계를 구축해야 한다. 브라운은 “법률 자문의 조언에 귀 기울이라”라며, “SEC와 같은 기관을 상대하는 경우, 이미 회사 또는 개인 법률 자문이 있을 것이다. 이들은 보통 매우 경험이 많으며, 유사한 상황을 여러 차례 겪어본 이들이다. 이들은 적절한 커뮤니케이션을 위한 메시지 구성에도 도움을 줄 수 있다”라고 말했다.
법률 자문이 없는 CISO는 숙련된 법률 전문가나 자문을 제공하는 비영리 단체에 연락해야 한다. 브라운은 “내 소송이 시작된 이후, 우리 법무팀은 약 10명의 CISO와 통화했다. 많은 경우, 초기 상담은 사실상 무료로 진행된다”라고 전했다.
그는 또 “불편함을 느끼기 시작한 시점에는 조언을 구할 수 있는 사람을 반드시 확보해 둬야 한다”라며 “소속된 단체나 개인적인 네트워크를 통해 연락할 수 있는 사람을 몇 명쯤은 두는 것이 좋다”라고 강조했다.
현재 CISO들이 법적 책임에 대한 노출로 인해 혼란을 느끼고 있을 수 있지만, 시간이 지나면서 관련 규정은 점차 명확해질 가능성이 크다.
브라운은 “보안 업계는 아직 젊다. 최초의 CISO가 등장한 것이 불과 30여 년 전이다”라며 “지금은 성숙해지는 과정에 있으며, 내 사건도 그 과정에서 나타난 하나의 단면일 뿐이다. 우리는 이 과정을 극복하면서 더 강해질 것이고, 앞으로 나아갈 수 있을 것이다. 다만, 조금만 인내심을 가져달라”라고 말했다.
[email protected]
Read More from This Article: 보안 자랑, 잘못하면 소송감?···법률 전문가가 전하는 CISO 커뮤니케이션 원칙 4가지
Source: News