몰라서 그러는데 글을 쓴 조 스탠가넬리가 보안 전문가인가요? 아닌 신문기사를 잘못 뽑은건가요? ------------------------------
보안 & 편리성이 공존하는 정책 필요
[보안뉴스 주소형] 구글 검색창에 ‘힐러리 클린턴 이메일(Hillary Clinton email)’을 치고 엔터를 누르면, 수 백개의 기사가 뜬다. 힐러리가 국무장관 재직 당시, 개인 이메일 계정을 사용하여 공적 업무를 처리했다는 것이 뒤늦게 세상에 알려졌기 때문이다. 이를 두고 공무원으로서의 기본소양이 부족한 게 아니냐는 논란이 뜨겁다. 그러나 보안전문가들은 이를 논의하는 것 자체가 틀리다고 입을 모았다. 일을 편리하게 할 수 있도록 돕는 것이 가장 최선의 정책인데 힐러리는 이를 잘 활용했을 뿐이라는 것.
사실 힐러리의 행동은 우리들과 별반 다를 게 없다. 정보보안 정책이 바뀌지 않고서는 누구든지 그렇게 행동하지 않을까. 대부분의 직원들은 보안의식을 가지고는 있다. 그런데 문제는 업무를 빠르고 효율적으로 처리하는 것에 가장 높은 가치를 두고 있다는 데 있다. 보안이 중요한 건 알지만 일을 잘 하는 게 더 중요하다는 것. 기업에서 높은 직책을 맡고 있든 말단 사원이든 관계없이 공통된 사항이다. 그리고 이는 인간의 본성에 가까운 행동이기도 하다.
클린턴의 이메일 논란으로부터 우리가 배워야 할 점은 보안정책과 효율적인 IT는 서로 융화되어야 한다는 것이다. 직원들의 최우선 순위는 사용자 경험 혹은 편리성에 있다는 것을 조화시킨 정책이 필요하다는 것으로 해석된다.
“한 개의 기기로 개인적인 업무와 공적인 업무를 함께 처리하는 것이 두 개의 기기를 사용하는 것보다 편리하다고 생각한다.” 클린턴이 공식 기자석상에서 한 말이다. 클린턴은 (그녀의 의지로) 두 개의 이메일 계정을 두 개의 기기에서 사용하는 것 대신에 한 가지를 택했다. 보안과 편리함이라는 두 마리 토끼를 모두 잡지 못한 것이다. 현실적으로 그 두 가지 모두를 충족시키는 것은 힘들다. 필자의 개인적인 생각이지만 “쉬운 것”은 언제나 “어려운 것”을 이기기 때문이다.
클린턴의 논리는 정확히 모든 직장인들의 실태를 잘 반영하고 있다. 정책을 만드는 기업들은 직원들의 니즈를 파악하고 고민하여 최대한 좋은 결과를 효율적으로 낼 수 있는 방법을 찾아야 한다. 먼저 직원들이 어떤 기기와 애플리케이션을 사용하여 가장 생산적인 결과를 가장 효율적으로 낼 수 있는 지를 분석하는 데서 시작되어야 한다.
IT(정보기술) 본연의 임무는 목적을 성취하기 위한 서비스를 제공하는 것이다. 만약 IT를 사용하여 오히려 더 불편해지거나 일이 늘어나게 된다면 직원들은 다른 방도를 찾을 것이다. 우리는 이를 ‘은둔형 IT’라고 칭한다. 클린턴 이메일 사건은 사람이라면 어쩔 수 없이 편리함을 찾아 나서게 된다는 완벽한 예다.
글 : 조 스탠가넬리(Joe Stanganelli)
2015년 3월 24일 화요일
최근에는 법무법인에서도 포렌식이나 이디스커버리 영역에 대한 접근을 많이 하고 있습니다. IT에 대한 경계가 많이 무너진것 같은 느낌입니다.
-----------------------------
행복마루, 협력업체 샅샅이 조사 일감 몰아주기·정보 유출 등 임직원 각종 비리 찾아내
현대카드 컨설팅 성공 이후 은행·식품회사 등 '러브콜' 쇄도 "로펌이 기업 감사 대안될 것"
조근호 변호사가 행복마루컨설팅 직원들의 업무 방식에 대해 설명하고 있다. 김병일 기자
“우리 회사 감사 좀 해 주시겠습니까?”
정태영 현대카드 사장이 ‘SOS’를 쳐왔다. 조근호 변호사가 법무연수원장을 마지막으로 검찰에서 퇴임한 지 사흘 만인 2011년 8월5일이었다. “사내 비리행위는 없는지, 정보유출 가능성은 없는지 점검하고 싶은데 도와달라”는 요청이었다.
사내 감사부서가 따로 있지만 현업부서→사내감사팀→외부전문가로 이어지는 ‘3선 방어’ 원칙에 따라 마지막 방어라인을 조 변호사에게 맡기는 것이 효과적이라고 정 사장이 판단한 것이다. 마침 조 변호사도 퇴직 후 뭘 해야 할지 고민하던 참이어서 선뜻 응했다. 그리곤 검찰 출신 회계사, 전직 수사관, 내부감사 전문가 및 포렌식 전문가들을 섭외했다. 두 달 뒤 행복마루 컨설팅이 탄생했다. 행복마루는 현대카드와 1년 계약을 맺고 내부감사, 정보유출 조사, 외부 부정제보 채널 제공 등 다양한 서비스를 제공하기 시작했다.
우선 기업 내 임직원 비리 조사에 착수했다. 기존 감사기법으로는 잡아내지 못했던 비리들이 포렌식 등의 수사기법을 도입하자 드러나기 시작했다. 회사 직원이 자신이 설립한 협력회사에 수억원대의 일감을 몰아준 사건 등 수많은 사례가 속속 적발됐다.
현대카드에서 수백만건의 개인정보를 위탁받아 처리하는 협력업체들의 개인정보 관리 실태도 포렌식 기법으로 점검했다. 조 변호사는 “K사의 경우 지난 4년간 250개 협력업체의 컴퓨터 1000여대를 열어봤다”고 말했다. 점검 결과를 토대로 협력업체 성적표를 매겨 하위 3개 업체는 계약을 해지하고, 상위 3개 업체는 단가를 더 높여주도록 회사에 권유했다.
의뢰 기업의 자체 정보 보안도 문제였다. 대부분 보안시스템을 깔아놓으면 충분할 거라고 생각했다. 또 외부 해커의 공격을 방어하는 데 집중했지 내부 임직원에 의한 유출에는 상대적으로 소홀했다. 조 변호사는 “암호화되지 않은 파일들이 수두룩했고, 출력통제 시스템을 무력화하기 위해 주민등록번호 일부를 영문자로 바꿔 놓는 등 직원들의 도덕적 해이도 만만찮았다”고 지적했다.
조 변호사에 따르면 검찰 수사와 마찬가지로 부정 적발에는 제보가 가장 효과적이다. 그래서 사내 홈페이지에 부정행위 제보자가 안심하고 비리를 제보할 수 있는 외부 부정제보 채널, PITO(호루라기의 스페인어)를 만들어주고 있다.
현대카드에 대한 성공적인 감사컨설팅이 입소문을 타고 퍼지면서 일감이 몰려 들었다. D화학 그룹은 임직원 비리 조사를 의뢰했고, K은행은 정보보안 상시 진단을 맡겼다. S식품회사 회장으로부터는 ‘밀어내기’ 상시 모니터링 시스템을 만들어 달라는 부탁을 받았다. 행복마루는 S사의 주문데이터를 분석, 포렌식 기법으로 조사한 뒤 핫라인을 개설해 비리 제보 시스템을 만들어 주었다.
정 사장의 요청으로 시작한 행복마루는 현재 20개 기업에 감사 서비스를 제공하고 있고, 5개 기업에 직원들이 상주하고 있다. 4명으로 출발한 회사는 어느덧 22명으로 불어났다.
조 변호사에 따르면 미국은 엔론사태 이후 회계감사만으로 기업 비리를 막는 데 한계가 있다고 판단해 기업 업무감사를 외부 컨설팅사에 맡기고 있다. 이 시장이 급성장해 46억달러에 달한다고 한다. 조 변호사는 “각종 위험에 노출돼 있는 기업의 특성상 최고경영자(CEO)는 기업 관리에 대해 늘 고민한다”며 “그동안 회계감사나 자체 감사 이외에 별다른 대안이 없었지만 앞으로 로펌들이 기업을 위해 다양한 대안을 마련해 줄 수 있을 것”이라고 말했다.
■ 포렌식
개인용 컴퓨터나 회사 서버 등에 남겨진 디지털 정보 등을 수집·분석해 범죄 흔적이 된 증거를 찾아내는 수사기법이다.
KBS 기자들 메일 주소가 참 재미있다고 생각했는데, 글로벌 비지니스에는 문제가 있네요. 근데 글로벌 비지니스 안하면 기억하기 쉬운 이메일이 장땡인거 같습니다.
=========================
1. 이메일 계정 -언젠가 한국에서 꽤나 잘나간다는 신문사 기자를 미국에서 만난적이 있다. 그의 명함에 기재된 이메일은 bonjoureverybody@xyz.com 이었다. 몇주후에 만난 한 벤처기업 마케팅 이사의 이메일은 bestandhappy@wxy.com이었다. 무슨 특별한 뜻이 있냐고 물어보니 “항상 최선을 다해서 주위 사람들을 행복하게 만들자는 뜻입니다.”라고 아주 자랑스럽게 말을 하더라 – “이거 생각해낸다고 정말 고민 많이 했어요.”라는 말도 함께. 이 분이랑 같이 미국 회사 중역들과 미팅을 하였는데, 명함의 이메일을 보고 황당해하는 그 미국인들의 표정을 아직도 잊을 수가 없다. 미국에서 비즈니스를 하려면, 이메일 주소는 무조건 이름을 사용해라. 왜 그러냐고 묻지도 마라. 그냥 무조건 자기 이름과 성을 가지고 이메일 주소를 만들어라. 이건 너무나 기본적인 이메일 원칙이며, 미국인뿐만 아니라 전세계 모든 비즈니스맨들이 이렇게 function하고 있다. 튀는것도 좋지만, 비즈니스를 하는데 있어서는 그냥 평범한 원칙을 따르는게 좋다. 괜히 말도 안되는 ‘튀는’ 이메일 계정을 만들지 말고 그냥 누가봐도 무난하고 이름을 외울 수 있는 이메일을 사용해라. 나도 여러개의 이메일 계정을 가지고 있지만 모두가 kihong, khbae, kihong.bae, kbae 이런식으로 되어 있다. 유난히 아시아인들이 (특히 한국과 일본) 독특한 이메일 계정을 사용하려고 하는데 이런걸 볼때마다 미국인들은 많이 비웃고 우습게 생각한다는 느낌을 지울수가 없다. 언제 한번 관심을 가지고 9시 뉴스를 처음부터 끝까지 봐라. 10명 중 9명의 기자들은 손발이 오그라드는 이메일 계정을 가지고 있을것이다. 특히나 언론인들은 이런걸 좀 자제해주면 좋을거 같다.
2. 회사 이메일 – 할리우드로 진출하고 싶어하는 한국의 한 엔터테인먼트 회사의 사장과 함께 LA에서 미팅을 한적이 있다. 아직 생긴지 얼마 안되는 회사라서 명함은 준비가 안되었는데 뭐 미국에서의 명함은 한국에서와 같은 절대적이고 serious한 의미를 가지고 있지 않기 때문에 그건 그다지 상관이 없었다. 그런데 그 사장이 미팅을 하였던 미국인의 명함에 적어준 본인의 이메일은 xyz@paran.com이었다. 파란을 당연히 모르는 미국인은 “파란”이 모기업의 이름이냐고 물어봤는데 내가 미쳐 중간에 끊어서 답변을 하기전에 그 사장이 다음과 같이 대답하였다. “아뇨, 파란은 그냥 웹메일입니다. 회사 메일이 있는데 그냥 귀찮아서 잘 사용안합니다.” 미팅이 끝나고 밖으로 나오면서 나는 그 사장한테 그게 귀찮아서 명함에 파란 메일을 박아서 다니려면 그냥 짐싸서 집에 가라고 했다. 이건 너무나 당연한건데 아직도 한국에서 오시는 비즈니스맨들을 보면 hotmail, hanmail이나 gmail을 명함에 박아서 다니시는 분들이 너무나 많다. 물론, 아직 법인 설립을 하지 않았거나 회사 이름을 정하지 않았다면 큰 상관은 없지만 대부분 거의 2-3년 이상 회사를 운영하신 분들이 이러니 참… 입장을 바꾸어 놓고 생각해보자. 내가 비즈니스 미팅에서 어떤 회사의 대표이사라는 사람을 만났는데 그 사람의 회사 명함에 abc@hotmail.com이라는 이메일 주소를 보면 어떤 느낌을 받을까? 엉터리 회사, 사기꾼 또는 진지하게 비즈니스를 하지 않는 사람이라는 생각을 할 것이다.
3. CC: - 한국분들과 이메일을 하다보면 cc:의 개념을 잘 이해못하시는 분들이 의외로 많다. 내가 메일을 보낼때 누군가를 cc: 하면 cc:된 사람도 계속 그 내용을 숙지하고 있어야한다는 의미이다. 그렇기 때문에 그 이후의 모든 커뮤니케이션에 그 사람도 cc:가 되어야 한다는 뜻이기도하다. 그러면 답장을 할때는 항상 reply all을 하는게 예의이다. 그런데 너무나 많은 한국 비즈니스맨들은 그냥 reply를 한다. 그러면 내가 또 다른 사람을 cc:해서 답장을 한다. 그러면 상대방은또 그냥 나한테만 reply를 한다. 분명히 이 사람은 cc:라는걸 모르는 사람일것이다. 정말 답답한 사람들이다.
NEW YORK (MarketWatch) — While Hillary Clinton is in the hot seat for using personal email for official state matters and Amy Pascal has been demoted at Sony Corp. in a separate email controversy — lawyers and software companies are making a killing.
The business of e-discovery, or the process of collecting digital data like email when a company is being sued or investigated, is quickly turning into a billion-dollar industry, with attorneys and software companies raking in the vast majority of the proceeds, and companies shelling out millions of dollars every year.
“The sheer volume of data companies need to sift through for e-discovery” is a problem, said Ben Cole, editor of TechTarget’s TTGT, -1.50% SearchCIO.com and SearchCompliance.com.
Add in instant messages and information stores in the cloud, and it quickly becomes very expensive.
‘I think instant messaging can be much more dangerous than email.’
Revenue related to e-discovery is expected to grow 8.1% in 2015, and by an average annual rate of 5.7% through 2019, according to an IBISWorld report. That puts it on track to reach $1.8 billion in four years, said the report.
The majority of Fortune 1000 corporations now spend in the ballpark of $5 million to $10 million annually on e-discovery, with several companies reporting costs as high as $30 million in 2014. A full 70% of the costs were tied directly to the physical review of documents, according to a study from FTI Consulting.
That boils down to about $1.8 million per case, or about $18,000 a gigabyte, which is about equal to a pickup truck full of data, according to a 2012 Rand study.
Lawyers benefit from the high fees they are paid during the time-consuming collection and review of data, while consulting firms like ACA Compliance Group and FTI Consulting Inc. FCN, -1.94% and software companies such as Kroll Ontrack, CommVault Systems Inc. CVLT, -2.01% and LexisNexis make money by either helping companies adopt preventive measures or selling software that organizes, filters and analyzes email, documents and messages ahead of a review.
Proponents of e-discovery software say it can alleviate some of the load on human lawyers and minimize the chance of human error. Technology has improved drastically over the past few years, said Veeral Gosalia, senior managing director with FTI Consulting, with companies now employing a number of software programs, including predictive coding — or the review of documents using technology-assisted and machine-learning platforms — which he says help “lower some of the costs.”
Other technologies can spot several duplicates of the same email or document and prompt companies to delete the excess baggage before attorneys get their hands on it.
“Reduce data as much as you can before you turn it over, because that is where you’re going to keep your costs down,” said Nadine Weiskopf, director of product management at LexisNexis.
US:FCN
US:CVLT
-20%-10%0%10%-30%20%
But email is only one problem. While employees have curtailed their email messages, they’ve started to talk more freely on time-stamped instant messages, often forgetting that a stream of consciousness is just as permanently archived as an email, said Josh Broaded, a managing director at ACA Compliance Group, who oversees the company’s analysis and review center.
“I think instant messaging can be much more dangerous,” he said. “It is a peek into an employee’s brain, quite often without the filter.”
Meanwhile, the advent of bring-your-own-device policies in the workplace and increased usage of third-party cloud platforms like Google Drive GOOGL, -1.47%Dropbox and Slack have raised new questions about who is responsible for e-discovery costs, if work data is stored off a company-operated device or platform.
All of this has become a problem from a public-relations standpoint, which can carry unquantifiable, but likely far higher, costs. In December, a hack resulted in the release of hundreds of emails involving Sony Corp. SNE, -1.96% executives and industry insiders ahead of the launch of the controversial movie “The Interview.” Among them were a series that showed former studio head Amy Pascal and producer Scott Rudin making inappropriate and racist comments about celebrities and President Barack Obama. Pascal in February stepped down as co-chairman of Sony’s Pictures Entertainment.
Hillary Clinton was caught in her own controversy this week for using her personal email, operated through a private server, for work matters during her tenure as secretary of state. If the cases of Clinton and Pascal can teach corporate America anything, it is that employees should be given guidelines about how to use work email.
“Sometimes we see employees engaging in bad behaviors,” said Broaded, “andsometimes we see employees talking in ways that could easily be misinterpreted.”
미국 시장규모, 2019년 18억 달러 전망…포춘 1000대 기업 지난해 평균 500만~1000만 달러 지출
[이투데이 배준호 기자]기업 소송 관련 이메일 소셜네트워킹서비스(SNS), 인스턴트 메시징 앱 등 디지털 증거를 공개하는 ‘E-discovery(전자증거개시제도, E-디스커버리)’ 관련 산업이 급팽창하고 있다고 8일(현지시간) 미국 투자전문매체 마켓워치가 보도했다.
E-디스커버리는 법적 분쟁에 앞서 재판에 필요한 자료 가운데 이메일과 메시징 앱 메시지, 클라우드 서버에 저장된 정보 등 디지털 증거를 제출하는 것을 뜻한다. 모바일 시대에 접어들면서 디지털을 통한 직원간 의사소통이 빈번해져 E-디스커버리 자료 확보와 분석이 갈수록 중요해지고 있다.
시장조사업체 IBIS월드리포트에 따르면 미국의 E-디스커버리 시장규모는 올해 8.1% 커지고 오는 2019년까지 연평균 5.7% 성장해 18억 달러(약 1조9800억원)에 이를 전망이다.
기업들은 새 비용부담에 울상을 짓고 있다. FTI컨설팅은 지난해 포춘 1000대 기업의 E-디스커버리 지출이 연평균 500만~1000만 달러에 이르렀고 일부는 3000만 달러까지 치솟았고, 이들 비용의 70%가 E-디스커버리 관련 자료를 분석하는 로펌으로 갔다고 밝혔다.
변호사들은 자료 분석과 컨설팅으로 새 수익원을 얻고 있다. ACA컴플라이언스그룹과 FTI컨설팅 등 컨설팅업체와 크롤온트랙, 컴밸트시스템스 등 소프트웨어업체들도 기업들이 E-디스커버리 관련 이메일과 메시지 등의 필터링과 문제 소지 발생 예방 수단 판매 등을 통해 쏠쏠한 수익을 얻고 있다고 마켓워치는 전했다.
회사에서도 개인 이메일을 이용하여 업무상 이메일을 보내는 것을 회사차원에서 금지해야 합니다. 중요 메일이 누락될 수 있고, 미래에 위험에 대비하여야 합니다. ================================================= 미국 유력 차기 대권주자인 힐러리 클린턴 전 국무장관이 장관 재직 시절 정부기관이 발급한 이메일계정 대신 개인 이메일 계정을 썼다가 구설수에 올랐다.
뉴욕타임스는 클린턴 전 장관이 국무장관으로 재직하는 동안 개인 이메일 계정을 이용했고, 업무상 이메일을 국무부 서버에 저장해야 한다는 규정도 지키지 않았다고 3일(현지시간) 보도했다. 국무장관으로서 타국 지도자들과 주고받은 민감한 정보가 담긴 이메일이 별도의 보안조치가 돼있지 않은 개인 계정을 통해 오갔다는 뜻이다. 보안전문가들은 “개인 계정에는 보안 문제가 있을 수 있다”고 지적했다.
더구나 클린턴 전 장관은 이메일을 국무부 서버에 저장하지도 않았던 것으로 알려져 미국판 ‘사초 폐기’ 논란이 일고 있다. 미국 연방법은 연방 관리들이 주고받은 이메일들을 국가기록물로 간주하고 의회 위원회 구성원들이나 사학자, 언론인 등이 찾아볼 수 있도록 보관하도록 돼 있다. 기밀이나 민감한 내용만 여기서 제외된다.
제이슨 배런 전 국립문서기록보관소(NARA) 소송담당 국장은 “장관급 인사가 의사소통 채널로 개인 이메일을 이용하도록 기관이 허용했다는 것은 상상하기 어려운 시나리오다”라고 말했다. 다른 국무장관들도 업무에 개인 이메일을 사용한 적은 있었지만, 클린턴 전 장관처럼 정부 이메일 계정을 만들지도 않고 임기 내내 개인 이메일만 사용한 경우는 거의 없었다고 배런 전 국장은 설명했다.
2013년 초 물러난 클린턴 전 장관은 지난해 10월에야 국무부의 기록 제출 요청을 받고, 수만 페이지에 달하는 개인 이메일들을 검토한 뒤 5만5000페이지 분량의 업무상 이메일을 국무부에 넘겼다. 클린턴 전 장관 측은 “규칙을 지켰다”고 답했을 뿐 개인 이메일을 이용한 이유에 대해서는 설명하지 않았다.
