 |
최경진 가천대 법대 교수(한국인공지능법학회장) |
올 한 해 우리 국민은 디지털 일상이 송두리째 흔들릴 수 있다는 우려를 현실에서 느끼게 해준 일련의 디지털 기반 침해사고를 경험했다. 대형 통신사뿐만 아니라 국내외 쇼핑몰·여행사, 대학교·공공기관을 가리지 않는 연쇄적 침해사고는 더이상 특정 기업의 문제가 아니라 국민의 일상과 디지털 신뢰의 기반을 흔드는 사회적 사건임을 보여줬을 뿐만 아니라 '사고가 났을 때만 반짝' 관심이 높아졌다가 평상시에는 무뎌지는 우리의 취약한 현실을 다시 드러냈다.
이들 일련의 사고를 들여다보면 우리가 특별히 주목해야 하는 원인을 발견할 수 있다. 우선 기본통제 부실형 사고가 빈번하다는 점이다. 자산·계정·권한이 정리되지 않고 패치·취약점 조치가 지연되며 로그·모니터링이 형식화되면 침해발생은 말할 것도 없고 침해가 발생했다는 사실을 발견하는 것도 지연됨으로써 결국 적시에 대응하지 못해 피해가 확산할 수밖에 없다. 사람·문화취약형 사고도 이어진다. 규정과 매뉴얼이 있어도 CEO부터 실무자까지 개인정보보호를 '남의 일'로 여기면 작은 편의가 큰 사고로 이어진다.
디지털 시대에 침해사고를 100% 막는다는 것은 불가능에 가깝다. 사고가 발생하더라도 신속하고 효과적으로 대응함으로써 어떻게 정상으로 회복할 것인가, 즉 회복탄력성이 중요하다. 그런데 사후 커뮤니케이션 및 대응실패로 2차 피해가 확산하기도 한다. 기술적 조치와 별개로 투명한 정보제공이 뒤따르지 않으면 불안은 증폭되고 부정확한 정보가 확산하면서 2차 피해의 토양이 만들어진다. 데이터 과잉·운영의 복잡성으로 인해 사고가 발생하기도 한다. 즉 필요이상으로 수집·보관된 개인정보, 개발편의를 위한 실데이터 사용, 클라우드 설정오류와 그림자 IT(shadow IT) 같은 운영의 복잡성은 사고의 '표면적 원인' 뒤에 숨어 반복되는 구조적 원인이 된다.
이러한 고질적 사고원인이 재발하지 않으려면 우선 개인정보보호가 제도나 관리체계만으론 완성되지 않는다는 점을 인식해야 한다. 아무리 정교한 가이드라인과 감시체계를 갖춰도 현장에서 '개인정보 감수성'이 부족하면 공허한 외침에 그치기 마련이다. 개인정보 감수성은 단지 민감하게 반응하는 태도가 아니라 개인정보가 어떻게 처리되고 어떤 영향을 낳는지, 그리고 수집부터 파기까지 전생애주기에서 적절히 관리되는지를 판별하는 역량이다. 이 감수성이 조직 안에서 공유되려면 '상시실천'이 일상이 돼야 한다. 결국 시스템은 도구고, 사람은 실행 주체다. 사람을 취약점으로 두지 않으려면 항상 깨어 있어야 한다는 원칙을 기업의 경영과 현장으로 끌어와야 한다.
이 지점에서 ISMS-P를 무용하다고 치부하는 논쟁은 생산적이지 않다. 중요한 것은 서류 중심의 준수에서 벗어나 기본을 '지속적으로' 수행하도록 제도를 설계하는 일이다. 예컨대 계정·권한 정기점검, 중요 로그 상시 모니터링, 핵심 시스템 패치 리드타임 관리, 외주·협력사 접근통제, 개인정보 최소수집·보관기간 준수, 암호화·키관리, 침해사고 모의훈련과 경영진 보고 등 가장 기본적인 항목의 상시점검·실천을 증명하지 못하면 ISMS-P를 유지할 수 없도록 실효성을 높일 필요가 있다. 동시에 과도한 형식 규정으로 중소기업의 진입장벽을 키우기보다 위협·피해수준에 비례해 유연하게 적용하고 실질적 역량을 갖춘 기업엔 인센티브를 부여하는 '비례의 원칙'도 함께 세워야 한다.
예방체계와 함께 사후 대응체계도 정비해야 한다. 침해사고를 100% 완벽히 예방하는 것은 현실적으로 어렵다. 그렇기에 사고 이후 디지털 환경을 안전한 상태로 회복하는 힘, 즉 회복탄력성(Resilience)이 핵심이다. 회복탄력성은 단순 복구를 넘어 위기 이후 더 나은 보호체계로 '진화'하는 능력을 포함한다. 이를 위해서는 신속·투명한 정보공유, 2차 피해차단 조치, 피해구제의 접근성, 그리고 재발방지를 위한 원인규명과 재설계가 한 묶음으로 작동해야 한다. 비난과 책임추궁은 사실관계가 명확해진 뒤에도 가능하다. 중요한 것은 국민의 불안을 최소화하고 추가 피해를 막는 '차분하고 객관적인 기술적 대응'이다.
이제는 추상적 구호보다 디테일과 실천에 집중하며 정보보호의 '기본'을 바로세워야 할 때다. 기본을 상시실천하게 만드는 제도, 그리고 사고가 나더라도 신뢰를 회복할 수 있는 회복탄력성의 체계를 동시에 갖추는 것, 그것이 AIX 시대 '신뢰 기반 디지털 대한민국'의 최소조건이다.
최경진 가천대 법대 교수(한국인공지능법학회장)
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.