기업이 고객 데이터 보호를 비롯한 '정보관리'에 실패했을 때 사업적 손실을 빚는 건 필연이다. 차이가 있다면 손실의 규모 정도다. 그게 아무리 작아도, 애초에 실패를 예방하기 위한 투자보다는 비싸다고 봐야 한다.
얼마 전 만난 조원영 베리타스테크놀로지스코리아 대표가 강조한 기업 정보관리의 중요성은 이렇게 요약된다. 베리타스는 미국에 본사를 둔 다국적 정보관리솔루션 전문업체로 개인정보나 민감한 데이터를 다루는 기업 및 기관을 위한 IT인프라 기반 데이터 보호 기술 제공 사업을 강화하고 있다. 조 대표는 투자전략 차원에서 생각하더라도 기업들이 정보관리를 바라볼 때 사후약방문식 대응을 하기보다는 '예방주사'를 맞는게 이익이라는 견해를 제시했다.
"기업들이 데이터유출에 따른 피해를 예방하는 차원에서 정보관리 솔루션을 도입하고 활용하는 비중을 키우는 게 국제적인 추세다. 유럽에선 데이터유출 사고를 내면 막대한 벌금을 부과하는 제도가 시행되고 있다. 직설적으로 표현하면 한 번이라도 정보관리를 잘 못 해서 데이터유출 사고를 낼 경우 그런 회사는 망하라는 얘기일 수 있다."
영국일간지 인디펜던트의 관련 보도에 따르면 유럽연합(EU)은 올해 4월 14일 '일반데이터보호규정(GDPR, General Data Protection Regulation)'이란 법안을 4년간의 논의 끝에 통과시켰다. 이에 기업은 고객 개인정보와 행동정보 등 민감한 데이터를 보유할 경우 이를 다루는 데이터보호 책임자를 두고 개인정보관련 이력을 추적할 수 있는 시스템을 갖춰야 하고, 규정 위반사유 발생시 3일(72시간)내 고지 의무를 진다. 이 규정을 어기면 최대 "전년도 세계 연매출의 4% 또는 2천만유로(약 265억원) 중 큰 액수"를 벌금으로 물게 된다. [☞참조링크: EU data protection regulation passes in Brussels giving citizens right to be forgotten online]
그간 한국 사정은 이와 달랐다. 개인정보 유출 사고시 그 주체가 되는 기관이나 기업이 배상 책임을 지는 부분은 EU를 비롯한 다른 지역과 같고, 국내 개인정보보호법도 수차례 개정을 통해 개인 피해자의 권리를 보호하고 기관이나 기업의 유출 책임을 무겁게 만드는 방향으로 가고 있긴 하다. 그러나 국내 법상 정보보호 의무 위반의 처벌 한도가 유출 사고를 낸 기업을 폐업에 이르게 하는 수준이라 단정할 수 없다. 다음달 25일부터 시행될 개정 개인정보보호법을 근거로 부과될 수 있는 징벌적 손해배상의 규모는 '피해액의 최대 3배'라 표현돼 있다. 개인이 피해 규모를 입증하지 못했을 때 보상받을 수 있는 최대 피해액은 300만원이다. [☞관련기사: 개인 정보유출시 최대 300만원까지 피해보상] 또 오는 9월 23일부터 시행될 개정 정보통신망법을 근거로 삼을 경우 개인정보 관련 규제를 어긴 사업자는 최대 매출 3% 이하의 과징금이 부과될 수 있게 됐는데, 이는 개인정보를 당사자 동의 없이 국외에 제공한 경우에 한정된다. [☞참조링크: 정보통신망 이용촉진 및 정보보호 등에 관한 법률
조 대표도 국내 기업들에게 적용되는 개인정보 등 데이터 유출에 따른 징벌적 배상제도가 EU의 GDPR같은 규정처럼 촘촘하고 강력하지 못하다는 점을 부정하진 않았다. 그러나 그는 기업들이 정보보호 전략과 투자에 관한 의사결정시 반드시 염두에 둬야 할 게, 정보보호 관련 법과 규정밖에 없는 건 아니라고 지적했다.
"한국의 징벌적 배상 제도가 EU 수준만큼 강력한 건 아닐 수 있다. 그럼에도 국내 기업들이 정보 유출의 후폭풍을 무시할만한 상황이 아니다. 일단 유출 사고가 터지면 사장을 비롯한 임원진이 해임, 교체되거나 징계를 받지 않나. 나아가 그 사고로 인한 기업 브랜드 가치가 하락하고, 이미지가 악화된다. 결국 상당한 사업적 손실을 질 수 밖에 없다."
다만 그는 국내 기업 환경엔 아직 이런 피해의 규모와, 조직내 유출사고 방지 기술과 프로세스를 도입하려는 노력 및 비용을 견주는 관점이 확립되지 않은 것 같다는 점을 지적하며, 이런 인식이 확산되길 바란다고 덧붙였다. 정보유출 사고 발생에 따른 기업이미지 타격이 야기할 손실에 비하면, 데이터 보호 기술과 프로세스 도입을 통한 예방조치는 그보다 훨씬 적은 비용으로 가능하다는 설명이다.
이 회사는 2005년 보안기술업체 시만텍에 135억달러로 인수돼 '정보관리부문' 사업조직으로 움직이다가 10년만인 지난해(2015년)부터 독립을 추진하며 기존 브랜드를 부활시켰다. 작년 10월 시만텍코리아와 분리 운영을 시작한 베리타스코리아는 올해 2월 본사의 법인간 거래가 최종 완료됐음을 밝히며 사업 전략을 구체화했다. 당시 회사 주력 분야인 세계 정보관리 시장이 내후년(2018년)까지 240억달러(약 28조9천억원)로 성장할 것이라 강조했다.
[☞관련기사: 시만텍 정보관리부문, '베리타스'로 독립]
[☞관련기사: 베리타스 "시만텍에서 완전 독립…정보관리 선도하겠다"]
조 대표와 따로 만나 들은 얘기에선 분야별로 세분화된 전략을 들을 수 있었다. 그는 한국에서도 기업내 커뮤니케이션 데이터 보유와 관련된 규제 준수를 지원하는 이디스커버리 플랫폼의 수요가 늘어날 가능성이 있다는 견해를 밝히기도 했다. 이디스커버리 플랫폼은 업무용 메일이나 포털시스템을 비롯한 기업내 커뮤니케이션을 백업, 보관하고 관련 법적 분쟁 발생시 해당 내용을 증거로 제출해 법률적인 증빙 효력을 지원할 수 있는 전산시스템을 뜻한다. 이 시장의 국내 수요 발생 가능성을 점친 조 대표의 발언은 대략 다음과 같다.
"한미FTA 협정에 따라 분야별 시장이 단계별로 개방되고 있지 않나. 내년에 아마 법률서비스 부문이 포함될 거다. 그럼 미국의 대형 글로벌 로펌이 한국에서 사업을 할 수 있게 된다. 글로벌 로펌 중엔 고객 의뢰대로 움직이는 곳 외에도, 국제 표준화된 규제에 대응하지 못한 기업들의 허점을 직접 찾아내 소송을 걸고 수익을 내는 곳도 있다. 이런 행태에 대응하려면 국외 시장에 진출한 국내 기업들이 글로벌 규제에 맞는 정보관리 활동을 수행해야 한다. 소송이 들어왔을 때 기업 내부에, 미국과 유럽 지역의 명문화된 규제에 맞춰 개인정보보호 암호화, 보관, 관리 절차같은 걸 수행하려 노력했다고 증빙하고 소명할 수 있는 시스템이 있어야 한다."
시만텍에 인수되기 전부터 베리타스의 주특기였던 스토리지 관련 소프트어와 백업솔루션 얘기도 나왔다. 해당 발언을 간단히 재구성하면 다음과 같다.
관련기사
- "기업용 스토리지, 지울 데이터는 지워가며 사야"2016.06.14
- 베리타스 "시만텍에서 완전 독립…정보관리 선도하겠다"2016.06.14
- 대통합 시대, 새출발하는 베리타스 주목2016.06.14
- 시만텍, 분사하려던 베리타스 80억달러에 매각2016.06.14
"기업들에게 하이브리드클라우드 도입과 같은 인프라 변화의 흐름에 대응하는 것도 중요해졌다. 국내 클라우드 시장이 빠르게 열리고 있다. 베리타스의 백업 및 복구 솔루션은 하이브리드클라우드 환경에도 아주 잘 대응한다. 백업은 기업 피해가 늘고 있는 '랜섬웨어'의 저렴하고 확실한 대책이기도 하다. 청정상태의 데이터를 수시로 백업하고 문제가 생겼을 때 그걸 복구시키는 게, 랜섬웨어에 걸렸을 때 암호화 해제 여부도 장담할 수 없는 공격자에게 돈을 보내는 것보다 낫지 않겠나."
그는 시만텍 일개 사업부문에서 독립적인 정보관리 전문업체로 거듭난다는 최근 선언과는 별개로, 사업 전략상 여러 보안솔루션 업체들과의 상호운용성 지원 노력은 지속될 것이라고 첨언했다. 시만텍과의 공조 체제도 유지되고 있다고 한다. 다만 양사간 솔루션 사업이 교차판매를 위한 공동 프로모션을 대대적으로 추진할만큼 연관성이 높진 않다는 설명이다.
