출처 : http://www.boannews.com/media/view.asp?idx=36548&kind=1
기업 특성 및 환경 고려한 소송관련 가상 시나리오 수립해야 정보량 급증하는 빅데이터 시대...e-Discovery 중요성 더욱 높아져
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery 절차(1)
4회 e-Discovery 절차(1)
5회 e-Discovery 절차(2) EDRM vs. EDBP
6회 우리나라에서의 e-Discovery
7회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스=유정호, 기업보안담당자] 지금까지 언급한 내용을 정리하는 의미에서 7회에서는 우리가 알고 있는 e-Discovery와 관련된 지식들을 활용하여 어떻게 이를 준비할 것인지에 대해서 언급하고자 한다. 본 내용을 적용하는 데에는 기업마다 크고, 작은 차이가 있겠지만 보안팀과 법률팀, 인사팀 등 조직 구성을 대부분 구축한 기업을 중심으로 전개한다.
e-Discovery를 준비하는데 있어 가장 먼저 해야 할 일은 무엇일까? 각종 언론 매체를 통해서 ‘어떤 기업이 미국이나 다른 나라의 기업으로부터 소송이 제기되어 재판 도중에 ‘무슨 증거를 어떻게 삭제했다’라는 사실이 밝혀져서 패소판결을 받았고, 막대한 금액을 배상하라는 지시를 받았다’는 기사를 접한 경영진이 지금 우리회사도 당장 이런 일 없게 대책을 세우라고 한다면 어떻게 준비를 할 것인가?
필자는 이러한 상황에 직면한 담당자에게 “소송이 제기된 상황을 가정해 보세요”라고 말하고 싶다. 아마도 이런 생각을 한다면 회사 내에서 주력 산업으로 추진하는 분야들과 현재 경쟁업체와의 관계, 핵심 기술의 개발과 공개 정도, 시장에서의 비중, 해당 분야의 장래 사업에 대한 비젼 등을 토의하여 당장 가능성이 높은 시나리오를 수립할 수 있을 것이다.
이렇게 수립된 시나리오를 중심으로 소송이 제기되었거나 예상되는 상황부터 e-Discovery를 준비해 보자. 가장 먼저 해야할 계획수립 단계에서 어떤 부서의 어떤 인원을 선발할 것인지 토의를 하고, 그 인원들을 대상으로 어떠한 정보들이 소송과 연관성이 있는지를 파악한다.
이후 소송과 관련된 정보들 중 ‘보존의 의무(duty to preserve)’ 대상이 되는 것들은 어떤 것들이 있고, 어떻게 보존할 것인지 기술적인 방법과 법률적인 방법에 대해서 고민을 해본다.
이 과정에서 보안담당자나 기술자들은 관련된 정보를 어떤 매체에 어떠한 방법으로 보존할 것인지, 이러한 정보들을 특정 매체로부터 부분적으로 추출할 것인지, 정보가 저장된 매체를 복제할 것인지 등에 대해서 고민해야 하고, 법률가들은 이 정보들을 보존하는데 있어 개인정보보호법과 같이 국내법으로부터 보존의 제약을 받지는 않는지, 만약 제약을 받는다면 이를 극복할 수 있는 방법은 어떤 것들이 있는지에 대해서 고민해야 한다.
뿐만 아니라 기술자와 법률가는 미국의 법률과 법정이 요구하는 e-Discovery의 절차 중 보존과 관련된 절차는 어떠한 요구조건을 충족시켜야 하는지 법률적인 측면과 기술적인 측면을 검토해야 한다.
여기에는 관련된 정보를 취급하는 업무담당자와 정보관리자의 역할이 중요한데 업무담당자는 관련된 정보를 언제 생산해 어디에 어떤 형태로 저장했는지에 대해서 정보를 제공할 수 있어야 한다. 정보관리자는 관련된 정보들이 어떤 시스템에 어떤 형태로 저장됐고, 어떻게 관리되고 있으며, 백업시스템의 존재와 특징에 대해서 정보를 제공해야 한다.
이러한 정보들이 종합되면 자료 도표화(data mapping)를 통해 관련 정보들이 어떻게 저장되고, 관리되는지 확인할 수 있게 된다. 확인된 정보들 중에서 소송을 제기한 상대방이 요구할 것으로 예상되는 정보를 판단하고, 이를 어떤 형태로 제공할 수 있을 지에 대해서 분석한다.
이 과정에서는 소송 상대방에게 제공이 예상되는 정보를 어떠한 형태로 생산하여 제공을 할 것인지에 대한 판단과 비용에 대한 검토가 이루어져야 한다. 기술적인 비용 검토는 현 단계에서 운용이 가능한 국내와 국외의 벤더에 대한 비용과 정보의 복제 등에 필요한 장비에 대한 비용, 정보를 복제하거나 추출할 때 발생하는 시스템의 제한과 그로 인해 발생할 수 있는 손해 등이 우선적으로 고려되어야 한다.
법률적인 비용 검토는 e-Discovery 진행과 관련하여 운용할 법률회사에게 지불할 비용을 말한다. 이는 소송과 관련된 정보를 제공하기 이전 문서 검토에 소요되는 비용, e-Discovery 계획 수립 및 관리 등에 소요되는 비용 등이 반영되어야 하고, 소송 진행 과정에서 가용한 예산의 전체적인 범위까지 고려되어야 한다.
우리나라의 많은 기업들은 유사한 형태를 가지고 있는 것처럼 보이지만 저마다의 특색이 있는 구조를 가지고 있는 경우가 많다. 이러한 특수성과 조직의 복잡성 때문에 아마도 위의 내용까지 테스트를 전개했다고 가정한다면 많은 부분에서 제한사항이 발생했을 것이다.
만약 체계적인 정보 관리가 이루어지고, 소송이 제기될 때와 같은 위기 상황이 발생할 때 필요한 조치가 이루어질 수 있도록 역할 분담과 과업이 부여되어 있는 조직이라면 비교적 수월하게 준비를 할 수 있다. 그러나 그렇지 않은 조직이라면 많은 부분에서 제한사항이 발생하거나 어떻게 진행해야 할지 몰라 난관에 부딪힐 수도 있다.
지금 e-Discovery를 준비하려고 한다면 위에서 언급된 상황이 자연스럽게 이루어 질 수 있도록 만들기 위한 계획을 수립하고, 인원과 부서별로 과업을 할당하며, 해당 상황에 필요한 예산을 확보하는 일을 해야 한다. 사실 이 부분은 많은 비용과 노력이 소요된다.
하지만 소송이 발생했을 때 어떻게 조치할 지에 대한 구체적인 계획이 없어 허둥대다가 검증되지 않은 법률회사와 기술벤더를 고용하여 주먹구구식의 정보 선별과 복구를 하고, 보존이 제대로 이루어지지 않아 일부 자료가 삭제되며, 소송 상대방이 요구한 정보를 정해진 시간 내에 제출하지 못했을 때 발생하는 경제적·사회적 손해에 비교하면 e-Discovery를 준비하는데 발생하는 소요는 작게 보일 것이다.
그래서 기업이 e-Discovery와 관련된 손해를 예방하고, 기업의 가치를 보존하기 위해서는 소송이 발생하기 전부터 준비가 필요하다. 책임있고 유능한 직원에게 e-Discovery와 관련된 준비의 임무를 부여하고, 필요한 인력과 장비, 물자, 예산을 도출할 수 있도록 해야 한다.
이 과정에서 e-Discovery 준비를 책임질 사람은 기업의 입장에서 볼 때 법률팀의 변호사를 선정하는 것이 본래 e-Discovery의 취지와 목적에 부합하는 결과를 도출하는데 도움이 되겠지만 반드시 변호사를 e-Discovery의 매니저로 선정할 필요는 없다고 본다.
임원급 직원과 같이 고위직에 있는 직원 중 회사에서 담당하는 각종 업무에 대한 폭넓은 이해를 하고 있고, 변호사와 기술자, 정보관리자, 소송의 대상이 될 수 있는 업무를 담당하는 부서의 직원을 통제하여 e-Discovery를 준비할 수 있는 사람이 있다면 그 사람이 적임자가 될 수 있다.
여기서 임원급 직원을 추천하는 이유는 e-Discovery 준비에 투입된 인원들은 평시 담당 업무가 상이한 부서에서 근무하는 담당자들일 것이고, 우리나라처럼 경력에 비해 직급과 급료에 있어 높은 대우를 받는 변호사들과 다른 부서의 담당자들을 조화시켜 업무를 하려면 구성원 모두가 공감할 수 있는 직급과 경력이 필요하기 때문이다.
각기 다른 방파에서 하나의 깃발 아래 모여든 고수들은 저마다의 무공을 자랑하거나 검증되지 않은 정보와 관련없는 사실로 구성원들의 단합을 저해할 수도 있기 때문에 규화보전(葵花寶典)과 같은 절대 무공을 연마한 지존급 고수가 반드시 필요할 수도 있다.
각기 다른 방파에서 하나의 깃발 아래 모여든 고수들은 저마다의 무공을 자랑하거나 검증되지 않은 정보와 관련없는 사실로 구성원들의 단합을 저해할 수도 있기 때문에 규화보전(葵花寶典)과 같은 절대 무공을 연마한 지존급 고수가 반드시 필요할 수도 있다.
이렇게 편성된 e-Discovery 관련 조직은 평소 소송이 제기되지 않는 상황에서 상설 조직의 형태로 운용할 필요는 없고, 소송이 제기되는 상황이 발생하면 TF(Task Force)와 같은 형태로 관련 인원을 소집시켜 운용하면 된다. 이 때 소집되는 인원은 평소 지정된 기술자와 변호사, 정보 관리자, 소송이 제기된 분야에서 소송과 관련된 업무를 담당할 직원들로 구성하고, 구성된 직원은 e-Discovery가 진행되는 동안 다른 업무에 대한 부담이 없어야 한다.
평소 e-Discovery에 대한 준비를 하는 기업은 이러한 조직이 정기적으로 소송과 관련된 준비를 하고, 분야별로 미비된 사항은 없는지 확인할 수 있어야 한다. 이 때 변호사는 미국의 연방민사소송규칙과 같은 e-Discovery 관련 법률과 판례에 변화가 없는지 확인하고, 확인된 변화에 부합하는 조치를 준비해야 한다.
또한, 우리나라의 법률 중에서 e-Discovery와 관련된 정보를 수집하고, 제공하는데 제한사항이 될 수 있는 법률을 확인하여 발견된 제한사항을 극복할 수 있는 대책을 마련해야 한다. 이러한 대책들은 최초 정보를 수집할 당시 e-Discovery와 관련하여 정보를 제공할 수 있도록 개인의 동의를 구하는 방법이 될 수도 있고, 개인정보에 대한 명시적인 활용 목적과 기간을 조정하는 방법이 될 수도 있다.
기술자들은 기업 내에서 보유하고 있는 기술자들의 수준과 장비 등을 종합적으로 파악하여 e-Discovery에 필요한 정보의 보존과 추출 가능 범위를 판단해야 한다. 그래서 자체적으로 소화할 수 있는 부분에 대해서 복구와 분석, 추출이 가능하도록 훈련하고, 시스템을 구축해야 한다. 외부의 기술 벤더들에게 의뢰할 부분에 대해서는 사전에 그 범위와 종류가 판단되어 있어야 하고, 어떠한 기술 벤더가 어떤 특징과 장점이 있는지에 대해서 사전에 파악이 되어 있어야 한다.
이 중에서 가장 중요한 준비는 빅데이터에 대한 관리 시스템이라고 본다. 앞서 언급한 것처럼 e-Discovery의 대상이 되는 ESI가 손쉽게 검색되고, 추출이 용이한 양의 정보라면 e-Discovery는 훨씬 수월하게 진행될 것이다. 하지만 대상이 되는 정보들의 양은 방대하고, 기업의 정보화 시스템이 진행되는 과정에서 발생한 각종 시스템의 도입에 따라 그 종류가 다양해질 수 있기 때문에 e-Discovery는 쉽게 진행될 수 없다.
많은 기업들이 정보화 시스템의 도입 초기 소수의 컴퓨터에서 작성되는 정보들을 그 컴퓨터의 하드디스크 드라이브나 플로피 디스크에 저장을 했었다. 이후 서버라는 개념의 장비가 도입되면서 개개인이 작성된 정보들이 공유되거나 종합되는 일들이 발생하기 시작하고, 이러한 장비는 저장공간의 확대와 기능의 향상으로 인해 그 종류가 다양해지게 된다 .
이 과정에서 초기 단계에 생산된 정보들은 부서 구분없이 저장되었다가, 정보의 양이 증가함에 따라 세분화되기 시작하고, 이러한 구분은 조직의 규모와 정보통신 장비의 증가에 따라 점점 더 세분화되게 된다.
만약 저장되는 정보의 양이 증가하고, 저장장소가 세분화되기 시작할 때 체계적인 관리 시스템이 구축되어 정보에 대한 이력 관리가 가능하다면 e-Discovery는 수월하게 진행될 수도 있다. 하지만 많은 기업들이 정보의 양이 증가함에 따라 저장공간을 증축하는 형태로 운용하고, 기존에 구축된 장비에 저장된 정보의 재분류에 소홀했기 때문에 이는 쉽지 않을 것이다.
그렇기 때문에 e-Discovery를 준비하는 기업은 해당 기업에서 생산되는 정보들이 어떻게 관리되는지 파악하고, 효율적인 관리와 이력에 대한 유지가 이루어질 수 있도록 조치를 해야 한다. 이는 비단 e-Discovery를 위해서만이 아니라 장차 기하급수적으로 증가할 정보들을 기업의 목적에 맞게 효율적으로 관리하기 위한 조치가 될 것이다.
지금까지 7회에 걸쳐 e-Discovery를 주제로 기고문을 작성한 이유는 국내 기업들이 많은 시간과 노력을 투자하여 구축한 경제적 가치가 외국에서의 재판 과정에서 해당 국가의 법을 정확하게 이해하지 못해 훼손되는 사례들을 예방하기 위해서이다. 지금 이 시간에도 외국 기업과의 경쟁에서 승리하여 외화를 벌어오는 우리나라의 기업들이 오랜 시간의 노력으로 구축한 가치를 외국 기업에게 빼앗기고, 그 명예를 훼손당한다는 것은 슬픈 일이 아닐 수 없다.
특허 괴물과 같은 막대한 자본과 규모를 자랑하는 기업과 국내 기업들을 대상으로 경쟁하는 외국의 기업들이 우리 기업들이 피땀 흘려 일궈 놓은 가치를 훼손하는 것을 막아야 한다. 이를 위해 기업들은 e-Discovery 뿐만 아니라 외국 기업으로부터 공격의 대상이 될 수 있는 각종 위험들에 대해서 사전에 철저한 준비를 해야 한다.
하지만 국내에서 강력한 법률조직을 비롯한 위기 대응 조직을 구축한 대기업들도 이러한 소송에 직면하면 그 상황을 해결해 나가는 과정이 수월하지 않았다. 하물며 변호사 한 명조차 고용하지 못한 중소기업들은 그들의 창의성과 노력으로 구축한 탑을 외국의 기업들에게 손쉽게 빼앗길 수도 있다.
정부는 이러한 기업들이 그 가치를 보존할 수 있도록 지원하는 방향도 모색을 해야 한다. 무한한 가능성을 가지고 있으나 현재 보유한 자본과 조직이 부족하여 그 가능성을 빼앗길 기업이 있다면 국가가 그들이 마음 놓고 경제활동을 할 수 있는 여건을 만들어 주어야 한다고 생각한다.
세계 스마트폰 시장에서 가장 높은 점유율을 자랑하는 운영체제인 안드로이드는 처음부터 구글이라는 기업이 만든 것이 아니라 어느 중소기업에서 시작되었다는 것을 기억한다면 지금 국가와 대기업이 해야 할 역할에 대해서 조금은 다시 생각해 볼 수 있지 않을까라는 생각이 든다. 또한 중소기업도 그들의 자본과 환경만 생각할 것이 아니라 중소기업들끼리 상생을 해 나아갈 수 있도록 힘을 모아야 한다.
기업은 e-Discovery를 계기로 정보화 시대의 커다란 문제로 등장한 빅데이터에 대해서 다시 생각해볼 필요가 있다. 앞으로 생산되는 정보의 체계적인 관리를 위한 계획과 조치가 필요한 것은 물론이고, 과거에 생산된 정보들에 대한 재분류 작업도 고려해야 한다. 하루가 다르게 증가할 정보의 양은 e-Discovery 뿐만 아니라 기업의 정상적인 운용과 위기 관리에 있어 필수적인 관리대상이 될 것이다.
[글_유 정 호(griphis77@me.com) 기업보안담당자]
[보안뉴스 유정호, 기업보안담당자]1회부터 5회까지의 기고에서는 e-Discovery가 이루어지는 환경과 미국의 사법체계, e-Discovery의 개념적인 정의와 달성하고자 하는 목적, 디지털 포렌식과의 비교와 활용 방안, e-Discovery의 세부 절차와 참조모델에 대해서 언급했다.
6회에서 언급한 국내의 사법환경과 전산시스템, 보안시스템 등의 환경은 e-Discovery의 준비에 있어 필요한 일부를 예를 들어 제시한 것이고, 실제 고려해야 할 법률과 시스템들은 그 종류가 더 많을 것이며, 그 범위도 방대할 것이다.
입력날짜 : 2013-06-03 19:05
하지만 EDBP의 내용은 EDRM과 같이 e-Discovery의 내용을 전반적으로 전개하고 있을 뿐만 아니라 모든 과정에서 이루어지는 세부 절차들의 법률적인 근거와 의미를 제시하고 있다는 측면에서 조금 더 발전적인 모델이라고 할 수 있다.
