오바마 행정부 사이버 정책담당 차관보 역임, 사이버 보안 전문 변호사
‘최선의 해킹 방어는 철저한 준비’
[한경비즈니스=이정흔 기자] 전 세계적으로 ‘랜섬웨어’와 같은 사이버 해킹에 대한 공포가 커지고 있다. 최근에도 유럽 지역을 중심으로 ‘나쁜 토끼(Bad Rabit)’라는 랜섬웨어 악성 코드가 급속히 퍼지고 있다. 5월 ‘워너크라이(WannaCry)’와 6월 ‘낫페트야(NotPetya)’에 이어 올 들어서만 셋째 대규모 랜섬웨어 공격이다. 국내 기업들 중에서도 랜섬웨어 공격에 따른 피해 사례가 잇따라 전해지며 ‘사이버 보안’에 대한 경각심이 커지고 있다.
미국에 본사를 둔 글로벌 로펌인 폴헤이스팅스의 로버트 실버스 변호사는 워싱턴 사무소에서 기업 범죄와 개인 정보 및 사이버 보안 분야를 전문적으로 다루고 있다. 미국 오바마 행정부의 국토안보부 사이버 정책담당 차관보를 역임하며 사이버 보안 정책을 기획하고 민간 기업에 대한 사이버 보안 지원, 보안 사고 대응 등의 업무를 담당했다. 10월 24일 한국을 찾은 실버스 변호사를 만났다. 기업들의 사이버 보안 이슈와 함께 이와 같은 보안 사고를 당했을 때 어떻게 대응할 수 있을지에 대한 조언을 들어봤다.
사실 랜섬웨어와 같은 사이버 공격은 한국뿐만 아니라 전 세계적인 문제다. 그중에서도 국내 기업들이 집중 공격의 대상이 되고 있다는 우려가 제기된다. 실버스 변호사는 이에 대해 “한국은 특히 사이버 보안과 관련해 다른 나라와 구별되는 취약점을 갖고 있다”고 운을 뗐다.
◆사이버 보안, 한국 기업들의 취약점은
한국은 정보기술(IT)이 매우 발달된 국가다. 놀라운 수준의 IT 인프라를 갖추고 있고 스마트폰을 포함한 인터넷 보급률도 매우 높다. 그만큼 한국 국민들의 일상생활에 IT가 자연스럽게 스며들어 활용되고 있다는 얘기다. 실버스 변호사는 바로 이 놀라운 기술 혁신이 사이버 보안 측면에서는 한국의 가장 큰 강점이자 약점이라고 지적한다. 인터넷을 통해 더 많은 곳과 연결될수록 그만큼 공격당할 수 있는 취약점이 많아지기 때문이다.
“또 하나 한국의 특수한 상황을 덧붙이자면 북한의 영향이 큽니다. 북한은 사이버 보안에 매우 위험한 존재입니다. 뛰어난 컴퓨터 사용 능력을 갖추고 있을 뿐만 아니라 이를 해킹과 같은 사이버 공격에 ‘기꺼이’ 사용할 의지를 숨기지 않고 있으니까요. 사이버 보안은 글로벌 무대에서 활동하는 기업들이라면 누구에게나 중요한 문제지만, 특히 한국 기업들은 더 철저한 준비와 대응 방안을 마련할 필요가 있는 이유입니다.”
불과 5년 전까지만 하더라도 사이버 공격은 기업의 IT 부서가 책임져야 할 문제라는 인식이 대부분이었다. 하지만 더 이상은 아니다. 사물인터넷(IoT) 기술 등의 발달과 함께 어떤 기업이라도 사이버 공격의 대상이 될 수 있기 때문이다. 무엇보다 그에 따른 소비자들의 피해 또한 예전과 비교할 수 없을 정도다. 그러니 더 이상 IT 부서 차원에서 보안 관련 시스템을 개선하는 것만으로는 부족하다. 보다 ‘다층적인’ 접근이 필요하다. 그중에서도 최근에는 법률적인 처리 문제가 중요한 이슈로 부각되고 있다.
“중대한 사이버 공격을 당했을 때 정부 차원에서 수사에 착수할 가능성이 높아집니다. 이때 기업들이 사후 처리를 어떻게 하느냐에 따라 이와 같은 정부 수사로 연결되는 상황을 막을 수 있습니다. 수사가 불가피한 상황이라고 하더라도 정부 당국은 ‘이 기업이 사전에 얼마나 사이버 보안과 관련한 준비를 철저히 했느냐’를 기준으로 판단합니다. 각 나라마다 규제 당국이 기업들에 기대하고 있는 ‘구체적인 보안 요건’들이 있습니다. 실제로 미국 기업들의 사이버 보안 이슈를 다루면서 이와 같은 구체적인 규제 요건들을 충족하지 못하는 사례를 많이 봤습니다.”
어떤 기업이든 사이버 공격의 대상이 될 수 있는 환경에서 이와 같은 규제 당국의 기준들을 선제적으로 챙겨 놓는 것이 기업들엔 ‘최선의 방어’라는 얘기다. 그는 “사이버 범죄자들은 어디든 공격을 시도해 본 뒤 성공하지 못하면 ‘더 취약한 보안 체계’를 갖춘 곳으로 쉽게 옮겨가는 특성이 있다”며 “사이버 공격은 이미 공격을 당한 뒤에는 대응할 시간이 부족하기 때문에 그전에 어떻게 준비하느냐가 중요하다”고 강조했다.
◆미국 기업 인수, 더 깐깐해졌다
‘사이버 공격’과 관련한 이슈가 기업들의 주요 관심사로 떠오르면서 이와 함께 국가적인 차원에서의 기술 유출이나 사이버 안보 문제도 주요 이슈로 떠오르고 있다. 예를 들어 서로 다른 국적의 기업들 간 인수·합병(M&A) 때 이 기업들이 보유한 각국의 데이터나 기술이 유출돼 국가 안보에 위협을 줄 수 있는 상황이 생겨날 수 있는 것이다.
최근에는 4차 산업혁명을 맞아 인공지능(AI)·반도체·데이터와 같은 최첨단 기술을 보유한 기업들 간의 M&A가 늘어나면서 국제적으로도 이 문제가 더욱 예민하게 다뤄지고 있는 추세다. 미국 역시 이와 같은 이유로 한국을 비롯한 외국 기업들이 미국 내 기업을 인수할 때 ‘외국인 투자자의 국가 안보 관련 검토’ 작업을 매우 까다롭게 수행하고 있다.
“미국 정부가 외국인 투자자에 대한 보안 이슈 검토 작업을 실시해 온 것은 오래전부터입니다. 외국의 기업들이 미국 기업을 인수할 때 미국의 보안을 위협할 가능성이 있는지 검토하는 겁니다. 실제로 이에 대한 우려가 있다고 판단되면 M&A와 관련한 모든 거래를 중단할 수 있을 만큼 중대한 권한을 갖고 있기도 합니다.”
문제는 트럼프 행정부에 들어서면서 이 절차가 더욱 엄격해지고 있다는 것이다. ‘미국 우선주의’를 앞세우며 보호주의 정책을 강화하고 있기 때문이다. 한국 기업들로서는 미국 기업을 인수할 때 ‘국가 안보 관련 검토’ 과정의 문턱을 넘기가 한층 더 어려워질 것으로 예상된다. 실버스 변호사는 오바마 행정부에서 외국인 투자 관련 보안 이슈를 검토하는 작업의 실무를 진행했다. 그 덕분에 누구보다 예민하게 트럼프 행정부의 ‘보안 이슈’에 대한 태도 변화를 느끼고 있다고 설명했다.
“오바마 정부 시절에도 물론 이 과정을 통과하기가 쉽지는 않았습니다. 트럼프 정부 들어 한층 엄격해지고 있습니다. 절차를 통과하는 데 더 오랜 시간이 걸리고 승인을 받기가 어려워졌습니다. 기업들이 이 과정을 통과하지 못해 M&A 자체가 불발될 가능성도 커진 게 사실이죠.”
이를 단적으로 보여주는 것이 미국 기업을 인수하려는 해외 기업들에 대한 요구의 수준이다. 미국 시민들의 데이터를 어떻게 보호할 것인지에 대한 질문은 기본이다. AI나 데이터와 관련된 정교한 기술들일수록 미국 내에서만 데이터를 관리하도록 하는 등의 조항이 따라붙는 경우가 많다.
“현재 얼마나 많은 기업들이 이 절차를 겪고 있는지는 파악되지 않습니다. 국가 보안과 관련한 문제인 만큼 외부로 공개되지 않거든요. 하지만 수많은 기업들이 미국 기업을 인수하기 위해 보안 검토 절차를 밟고 있고 그중에는 한국 기업도 상당수입니다. 어떻게 보면 ‘사이버 보안’과 관련된 이슈는 기업과 기업 간의 딜을 넘어선 기업과 정부와의 협상이라고 볼 수 있습니다.한국 기업들처럼 AI·데이터와 같은 정교한 최첨단 기술을 다루는 기업들일수록 협상 성공을 위해 믿을 수 있는 로펌으로부터 정교한 법률적 가이드가 필요한 이유입니다.”
실버스 변호사는 이에 대해 폴헤이스팅스와 같은 글로벌 로펌들이 강점을 가질 수 있는 분야라고 자신감을 보였다. 이와 함께 지난해 11월 삼성전자의 미국 전장 부품 기업 하만 인수를 성공 사례로 들었다. 당시 폴헤이스팅스는 삼성 측의 법률 대리인을 맡아 까다로운 ‘국가 안보 검토’ 작업을 통과하는 데 결정적인 역할을 했다.
“이미 한국의 기업들은 세계를 무대로 움직이고 있습니다. 기업들 내부적인 사이버 보안 문제뿐만 아니라 기업들이 도약하기 위한 M&A에 있어서도 미국뿐만 아니라 각국의 ‘사이버 안보 검토 과정’을 넘는 것이 매우 중요합니다. 이를 위해서는 기업들도 법률적인 부분에서 ‘국제적인 스탠더드’에 맞춰 대응해야만 한다는 얘기입니다. 삼성전자의 하만 인수 사례에서도 알 수 있듯이 한국 기업들에 미국 내 사이버 보안에 대한 제대로 된 가이드만 주어진다면 성장 가능성과 기회는 무궁무진하다고 생각합니다.”
로버트 실버스 파트너 변호사는 폴 헤이스팅스 워싱턴사무소에서 기업 범죄, 개인 정보 및 사이버 보안 부문을 담당하고 있다. 미국 오바마 행정부의 국토안보부 사이버 정책 담당 차관보를 역임했다. 이전에는 미국 국토안보부 부보좌관 직책을 맡아 미국 비밀경호국, 관세국경보호청 등 22개 정부기관의 업무 정책을 관리했다. 국토안보부 근무 기간 동안 있었던 샌버나디노 테러리스트 총격 사건, 주요 기간사업자를 겨냥한 사이버 공격, 2014년 남부 국경지대의 어린이 난민 이슈, 에볼라 바이러스 창궐 등 여러 보안 이슈에 대한 위기 관리 업무를 총괄했다. 뉴욕대 로스쿨 겸임교수로 재직 중이다.
vivajh@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지