내부자 위협이 책임 전가 소송 야기시킨다
내부자 위협이 책임 전가 소송 야기시킨다
  • 이광재 기자
  • 승인 2019.02.08 09:57
  • 댓글 0
이 기사를 공유합니다

마레네 코놀리(Marlene Connolly) 포스포인트 그룹 법률 고문 및 수석 이사

2019년에는 데이터가 유출된 후 직원은 무죄라고 주장하고 고용주는 의도적인 행동이라고 주장하는 법정 소송 사건을 보게 될 것이다.

직장에서 데이터 유출이 발생했을 때 특히 개인 식별 정보 (PII)가 노출될 경우 데이터 보호 규정은 규정 위반을 주장할 수 있는 직원의 능력을 강화시켰다. 하지만 의도적으로 데이터를 훔쳤거나 데이터 침해를 초래했다는 이유로 고용주가 직원을 고소할 경우 어떻게 될까?

이는 흔히 있는 과실과 혼동해서는 안 되는 일이다. 영국 직원의 24%가 기업의 기밀 정보를 공유하는 것을 인정하는 세계에서는 중요한 데이터의 보호를 해결할 필요가 있다.

심지어 선출직 의원들조차 직원들과 작업 컴퓨터의 암호를 공유하는 일을 공개적으로 논의했다. 많은 사건이 실수로 분류될지라도 악의적인 의도 때문에 발생하는 사건은 더 많은 데이터 유출을 야기시키는 경향이 있다.

마레네 코놀리(Marlene Connolly) 포스포인트 그룹 법률 고문 및 수석 이사 (사진=포스포인트코리아)
마레네 코놀리(Marlene Connolly) 포스포인트 그룹 법률 고문 및 수석 이사 (사진=포스포인트코리아)

절도, 맬웨어 사용 또는 무단접속 등이 의도하지 않거나 부주의한 사건보다 데이터 유출로 분류될 수 있는 가능성이 여전히 3배 더 많다.

2019년에는 데이터가 유출된 후 직원은 무죄라고 주장하고 고용주는 의도적인 행동이라고 주장하는 법정 소송 사건을 보게 될 것이다. Int’l Airport Centers, L.L.C. 대 Citrin. 사건에서는 한 직원이 사업을 시작하기로 결정한 후 자신의 회사 소유 랩톱 컴퓨터에서 데이터를 지운 후에 고소당했다.

또 2017년 10월에 토드 레이링(Todd Reyling)은 직장을 그만두기 전에 고용주의 컴퓨터 파일 여러 개를 복사한 후에 삭제했다는 이유로 유죄 판결을 받았다. 법원은 직원이 파일에 접속할지라도 고용주를 배신하는 방식으로 정보를 사용할 경우 그 접속이 ‘더 이상 승인되지 않고 있다’는 입장을 고수한다.

2018년 6월20일에 테슬라의 전 직원인 마틴 트립(Martin Tripp)에 대한 소송이 제기됐다.

법원 문서에 따르면 그는 투자자와 대중에게 경고하기 위해 오도한 제조 보고서와 테슬라 자동차에 설치된 불량 배터리 모듈과 관련된 데이터를 수집한 후 유출했다. 테슬라는 트립의 주장을 반박하며 트립이 심지어 회사를 떠난 후에도 데이터를 계속 수집할 수 있는 소프트웨어를 설치했다고 비난하면서 트립을 산업 파괴 행위인 사보타주로 이끈 것은 결국 그의 업무 능력이 떨어져서 최종적으로 재배치된 결과라고 주장한다.

트립은 또 기밀 사진과 테슬라의 제조 시스템에 대한 동영상도 공개했다.

마틴 트립이 사보타주를 행한 사람인지 아니면 내부 고발자인지의 여부는 여전히 결정돼야 하는 일이다. 일반적으로 직원이 의도적으로 데이터를 파괴하거나 경쟁 업체 또는 신규 고용주에게 지적 재산(IP)을 보낼 경우 보통 직원 및 기존 회사간의 주장이 엇갈리는 결과가 초래된다.

이 경우 트립의 기밀 정보 유출 행위는 논쟁의 여지가 없는 행위다. 하지만 그런 일을 한 그의 동기는 당사자가 법원의 보호와 대중의 동정을 얻는 데 상당한 영향을 미치게 된다.

모든 것이 회사에 잠재적으로 재정적인 악영향을 미친다. 데이터 침해 및 지적 재산(IP) 손실이 발생할 경우 회사의 명성에 금이 갈 뿐만 아니라 일반 데이터 보호 규정(GDPR) 및 기타 관련 규정에 따른 벌금이 언론 매체의 헤드라인을 장식한다. 이 경우 데이터 유출과 관련된 전후사정 및 동기가 훨씬 명확해진다.

데이터 유출의 경우 직원의 부주의나 나쁜 의도를 입증한 고용주가 법정에서 거둔 승리는 너무나 많은 대가를 치르고 얻은 승리에 불과하다. 대신 그것은 조직의 부족한 정보보안 수준을 대중에게 부각시킬 뿐이다.

판사가 고용주 또는 직원 누구에게 승소 판결을 내리는지 여부와 상관없이 경영진은 적절하고 적합한 기술 및 조직 보안 수단을 입증하는 데 있어 그 책임이 내부 절차와 시스템에 있다는 것을 깨닫게 된다.

조직은 반드시 악의적인 활동을 파악해 그것이 중요한 시스템과 지적 재산(IP)에 손상을 입히기 전에 멈추게 해야 한다. 사건의 전체적인 내용을 이해하고 최종 사용자의 의도를 입증하기 위해 업무 현장을 모니터링할 수 있는 정보 보안 기술을 정보 기술(IT) 환경에 활용하는 조치를 취해야 한다.

이것은 2019년이 ‘우리 대 그들’, 또는 고용주에 맞서는 수렁에 빠진 직원의 해가 될 거라는 말은 아니다. 직장을 모니터링해 조직 내부의 위협을 관리하는 일은 보안 전문가가 사용할 수 있는 보안 수단 중에서 필수적인 요소다.

이는 고객, 지적 재산(IP), 브랜드뿐만 아니라 자사 직원의 좋은 평판을 보호하는 신뢰할 수 있는 방법이다. 하지만 직장 모니터링 프로그램에는 합법적인 목적, 과잉조치 금지의 원칙, 모니터링 기간 동안의 완전한 투명성이라는 3가지 핵심 원칙이 반드시 도입돼야 한다.

개인 데이터 및 사생활을 보호하는 것은 더 이상 모범사례는 아니다. 하지만 성공적인 조직에서는 기본적인 필수사항이다. [파이낸셜신문=이광재 기자]


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 정기간행물 · 등록번호 : 서울 다 08228호
  • 등록번호 : 서울 아 00825
  • 등록 · 발행일 : 2009-03-25
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2019 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트