[법무법인 화우 이근우 파트너변호사] 디지털보안의 필요성과 중요성은 굳이 여러 차례 언급할 필요가 없을 정도며, 그에 대해서는 이견이 있을 수 없다. 

다만 AI, 클라우드, IoT와 같은 다양한 환경에서 디지털보안과 관련해서 이를 국가 중심의 규제위주로 가야 할지 아니면 기업의 자율성을 강조하는 방향으로 가야 할지에 대해서는 명확한 컨센선스가 존재한다고 보기 힘들다. 

즉 혹자는 디지털보안이 중요하므로 더욱 국가가 나서서 규제를 강화하고 인증을 강화하는 방향으로 가야한다고 주장할 수 있고, 다른 한편에서는 국가 중심의 규제보다는 기업의 자율성을 강화하는 방향으로 가는 것이 맞다고 주장할 수도 있다. 

어느 견해가 맞다고 딱히 말할 수 없다. 다만 우리나라 디지털보안의 경우 특정 영역에서는 국가 중심의 규제나 인증이 이미 표준으로 자리잡은 것이 존재하고, 다른 특정 영역에서는 국가 중심의 규제나 인증보다는 기업의 자율성을 강조하는 방향으로 나아가는 경향성을 보이고 있다. 

우선 전자로서 국가 중심의 규제나 인증이 이미 표준으로 자리잡은 것의 예시로는 클라우드 서비스 보안인증(CSAP: Cloud Security Assurance Program)을 들 수 있다. CSAP는 클라우드서비스 제공자가 제공하는 서비스에 대해 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위해 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대해 보안인증을 수행하는 제도이다. 

CSAP의 목적은 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고, 객관적이고 공정성을 가지고 이용자의 보안 우려를 해소하며, 서비스의 경쟁력 확보하는 것이다. 

최초평가 후 1년 뒤 사후평가를 매년 1회 이상 수행해 총 4회 수행 후 1년 뒤 갱신평가로 CSAP가 수행된다. 기존의 인증 기준은 IaaS, SaaS, DaaS로 구분되며 관리적·기술적 및 국가기관용 추가 보호조치로 총 14개분야 116개 통제항목으로 구성되고, DaaS는 14개 분야 11개 통제항목, SaaS는 11개 분야 31개 통제 항목으로 구성돼 있다. 

국내 소프트웨어 업계에서는 클라우드 서비스 보안인증(CSAP)에 대해 인증심사 소요 시간이 길고, 매년 수천만원의 비용이 발생함에 반해 그 실효성이 떨어진다 판단하고, 인증 제도 개선의 필요성을 강조하고 있다. 

한편 AWS, 구글 등 해외업체는 클라우드 서비스 보안인증(CSAP) 인증을 받기 위해 평가 신청 작업을 개시한 것으로 알려져 있고, 알리바바와 텐센트 등 중국 클라우드 사업자들도 인증 신청 여부를 저울질하고 있는 것으로 알고 있다. 참고로 해외업체와 관련해서는 클라우드서비스 보안 인증제는 국가·공공기관을 대상으로 클라우드 서비스를 제공하기 위해 필요한 인증제도이므로 인증평가를 받는 클라우드 서비스와 관련된 주요 시스템이 해외에 있는 경우 인증 획득이 어렵다.

후자로서 기업의 자율성이 더 강조되는 디지털보안 관련 영역은 금융보안규제 선진화라 할 수 있다. 디지털 전환으로 인해 금융 산업에서도 클라우드 컴퓨팅, 빅데이터 등 신기술을 적극적으로 도입하고 있는 추세인데, 오랫동안 전통적 금융기관 중심의 시장이 유지돼 왔으나 인터넷은행과 다양한 전자금융거래방식이 시장에서 비중을 점차 늘리고 있으며, 이로 인해 전통적 금융기관들의 디지털 전략도 가속화되고 있다. 

이처럼 금융 서비스의 혁신이 촉진되면서 동시에 새로운 보안 리스크도 발생하고, 신기술 도입으로 인해 사이버 위협의 유형도 다변화됐다. 사이버 공격의 형태가 다양해지고 정교해지면서 기존의 고정된 보안 체계로는 효과적인 대응이 어려워진 것이 사실이다. 

그러한 상황에서 규모, 업무의 특성, IT 인프라 현황 등이 금융기관마다 다르므로 보안 리스크의 수준도 달라질 수밖에 없어 일률적인 보안 규제를 모든 금융기관에 적용하는 것은 비효율적이며 일괄적인 보안체계는 금융기관이 서비스를 제공하는 현황과 맞지 않는 경우가 생길 우려가 있으며, 빠르게 바뀌는 금융 서비스의 제공 방식과 IT 인프라를 반영하는 것도 어렵다. 이에 금융규제 영역에서는 전통적으로 모든 규제를 세세하게 규정하고 통제하는 사전통제의 페러다임을 수정할 필요가 생겼다. 

결국 금융당국은 디지털 금융혁신을 뒷받침하면서 리스크에 효과적으로 대응할 수 있는 금융보안 규제 선진화 방안을 마련하고 이를 구체화하는 방향으로 나아가고 있다. 이를 위해 우선 금융회사 등이 전사적 차원에서 금융보안을 준수하고, 자율보안체계를 구축할 수 있도록 규율체계를 개선해서 금융회사 등이 보안리스크를 스스로 분석‧평가하고, 리스크에 비례해 보안방안을 수립할 수 있는 리스크 기반의 “자율보안체계”로의 전환을 추진하고 있다. 

그리고 관련 보안규제를 현재의 사전통제방식에서 목표, 원칙 중심으로 수정하고 사후책임 중심으로 규제를 전환하고 있다. 당장 전자금융감독규정에서 필수사항만 남기고 세부적 규율사항은 가이드라인 내지 해설서로 전환해서 기업의 자율성을 높이도록 하되, 금융회사가 자율보안체계를 구축하지 않거나, 보안사고가 발생한 경우 그에 따른 사후책임을 강화하는 방식으로 감독태도를 바꾸고 있다. 

금융당국도 금융권의 보안규정 위반여부 감독 중심에서 자율보안체계 수립‧이행 등에 대한 검증 중심으로 그 활동을 전환하겠다는 태도를 취하고 있다. 그리고 이를 위해 전자금융감독규정의 개정안을 제시했는데, 금융회사가 스스로 새로운 리스크에 대응할 수 있도록 293개에 달하는 세세한 행위규칙(Rule)을 166개로 획기적으로 줄였다. 

규정 형식도 사전통제적·열거적 형식을 지양하고 원칙과 목적을 제시하는 방향으로 개선했고, 나머지 세세한 부분은 금융회사가 스스로 결정할 수 있도록 했다. 당장 비밀번호 설정방식도 규정상의 원칙만 제시하고 비밀번호를 만드는 구체적인 방식제시는 삭제했다.

흑묘, 백묘의 이야기는 중요한 것은 목표달성이고 이를 위한 수단에 대해서는 유연성을 발휘하는 것이 필요하다는 점을 알려주는 대표적인 예시다. 디지털보안을 국가가 주도해야 하는지 기업의 자율에 맡겨야 하는지는 절대적 명제가 아니다. AI, 클라우드 등 기술변화 및 고도화되는 사이버 위협에 제대로 대응하기 위한 디지털보안이라는 목표를 제대로 달성하기 위해서는, 상황에 맞게 국가가 주도하기도, 때론 기업의 자율성을 강조할 수도 있는 것이다. 

결국 디지털보안의 발전방향은 그 목표를 달성하기 위해 각 영역별로 국가와 민간이 적절하게 각자의 역할을 수행할 수 있도록 규제의 페러다임을 만들고 실행하는 것이다.

<이근우 변호사 약력>

(현)법무법인(유) 화우 파트너변호사

(현)개인정보보호위원회 자문변호사

(현)대한변호사협회 ESG 특별위원회 위원

(현)산업통상자원부 산업기술분쟁조정위원회 위원

(현)한국정보법학회 회원

(현)산업기술보호협회 영업비밀보호 전문위원(강사)

(현)법무부 해외진출 중소기업 법률자문단 자문위원