우리는 환경 보존에 힘쓰고, 협력업체와의 상생을 위해 노력하는 기업들을 향해 착한 기업 또는 윤리적인 기업이라고 부른다. 착한 기업의 이러한 활동은 SNS를 통해 회자되며 기업의 평판과 신뢰는 한층 올라가게 된다. 디지털 경제시대를 보자. 고객의 개인 정보는 사고로 또는 의도적으로 유출이 되어 팔리고 있다. 고객의 소중한 개인 정보는 보호되어야 하는 권리임에 틀림없다. 개인의 권리를 보호하는 기업 활동이야말로 정보가 돈이 되는 시대에 착한 기업이 해야 하는 윤리적인 행동이 아닐까?
이번 보고서리뷰에서는 일리노이 대학 연구(University of Illinois Law Review) 저널에 2016년 게재된 ‘지속가능한 사이버안보: 사이버공격 관리에 녹색운동으로부터의 교훈 적용(Sustainable Cybersecurity: Applying Lessons from the Green Movement to Managing Cyber Attacks)’을 통해 기업윤리와 정보보호 간의 연결고리를 찾아보고자 한다.
본 논문에 등장하는 아비-요나(Avi-Yonah) 교수는 로마시대 이후 기업형태가 네 단계에 걸쳐 진화해 왔음을 주장한다. 그에 따르면, 14세기 이전, 기업은 공공의 이익을 증진시키기 위한 법인으로써 등장하였으며, 이후 영리를 추구하는 목적을 가진 조직으로, 분산된 소유구조를 보유하는 형태로, 한 가지 국적이 아닌 다국적 기업의 형태로 진화해 왔다. 형태뿐만 아니라 기업의 정의 또한 많은 변화를 거쳐 왔다. 불과 10년 전만 해도 많은 경영학서에서 기업을 ‘투입물(Input)과 산출물(Output) 사이의 블랙박스’, ‘이윤극대화를 위한 존재’로 정의 했지만, 지금은 ‘계약으로 이루어진 유기체’, ‘가치극대화를 위한 존재’, ‘사회적 책임을 위한 존재’로 정의가 변화하고 있다.
이렇게 기업의 형태와 정의가 변해온 것으로부터, 기업에 대한 사회 구성원들의 기대 또한 그 관점과 범위 역시 변화해 오고 있음을 유추할 수 있다. 기업의 사회적 책임에 대한 이해관계자들의 날로 증가하는 요구에는, 기존의 ‘이윤 극대화’와는 달리 법인 또한 자연인과 같은 하나의 인격체로서 사회 구성원의 역할을 다해야 한다는 주장이 담겨져 있는 것으로 보인다.
이번 보고서리뷰에서는 이러한 사회적 책임의 범위가 정보보호에까지 닿을 수 있는지 살펴보고자 한다. 일각에서는 사회적 책임 활동에 정보보호를 포함할지 논하는 것 보다 정보유출의 빈도, 시기, 위험 등을 아는 것이 더 시급하고 생산적일 것이라는 비판도 있다. 그러나, 기업의 사회적 책임이 강조되고 있는 현실 속에서, 기업이 정보보호의 실패로 얻게 되는 위험이 단순히 손해배상 차원의 금전적인 손실에만 그치지 않는 만큼 기업의 역할에 대해 다시 한 번 생각해 봐야 한다.
이번 보고서리뷰의 논문은 환경으로부터 보안과 기업윤리의 연결고리를 찾을 수 있다고 주장하며, 미국에서는 잘 알려진 최악의 환경 재난사례인 ‘Love Canal’사건을 소개한다. 19세기 후반에서 20세기 초반 사이에, 미국 나이아가라 폭포 인근에서는 Love라는 사람의 운하공사가 경제공황 등으로 인해 중단되게 된다.
공사가 중단된 운하부지는 한 화학회사의 화학폐기물 매립지로 사용되었고, 약 10년간 축적된 화학폐기물이 묻힌 이 장소는 1달러에 나이아가라 시(市)에 매각되어 학교부지로 사용되었다. 덮혀진 매립장 위에 생겨난 마을의 주민들은 원인모르는 고통을 받아야했다. 아이들의 몸에는 화상 자국이 선명했고, 마을의 유산률과 암 발병률은 타 지역에 비해 월등히 높았다. 이 사건으로 인해 수많은 환경규제들이 생겨나게 되었고 당시 이 화학회사의 행동은 위법이 아니었지만, 기업이 했어야 할 사회적 책임을 다하지 못했다는 거센 비판을 받아야만 했다.
기업의 사회적 책임이란 위법 여부에 초점을 맞추지 않는다. 법의 그물망에서 벗어날 수는 있어도 신뢰에 돌이킬 수 없는 손상을 입게 된다. 정보가 행동을 결정한다는 주장이 나올 만큼 정보가 전부인 시대에서, 정보가 유출이 되었을 때 법적으로 큰 책임이 없는 만큼 정보보호에 애를 쓰지 않아도 될까? 데이터가 행동을 결정하는 정보화 시대에서, 이러한 행동이 이해관계자와의 신뢰를 저버리는 행동은 아닌지 진지하게 생각해 봐야 하는 것이다.
본 논문에서는 신뢰를 크게 Hard trust, Real trust, Good trust 등의 세 가지로 분류하고 있다. 구체적으로, 사회 구성원들의 합의를 통해 도출된 법률과 같은 Hard trust, 기업이 외부에 비춰지는 이미지나 명성과 같은 Real trust, 마지막으로 내부 구성원의 행동을 이끌어낼 수 있는 Good trust가 신뢰를 분류할 수 있는 방법 중 한 가지라는 것이다.
기업의 정보보호 활동을 위의 3가지 신뢰측면으로 분류해 보자. 법률과 제도의 수립(Hard trust), 개인정보보호를 위한 의지표명 등 고객을 위해 헌신하는 이미지(Real trust), 회사 내부에 윤리문화 정착(Good trust) 등을 통해 신뢰를 구축해 나갈 수 있다.
시스코의 전 CEO인 존 챔버스(John Chambers)는 다음과 같은 말을 했다고 한다. “세상에는 해킹을 당한 회사와 해킹을 당한지 조차 모르는 두 타입의 회사가 있다.” 이를 기업 외부의 시선에서 바라볼 경우, 한 가지 더 치명적인 사실이 있다. “혹은 누출사실을 알리지 않은 회사.” 최근 정보유출에 대한 많은 제도와 판결들이 기업을 우선시했던 과거와는 달리 개인을 중요시하는 판결로 바뀌고 있다. 아직 완전히 드러나지 않은 심각한 문제들을 위한 대비책 마련의 필요성이 점차 강조되고 있는 것이다.
예측할 수 없는 내/외부의 다양한 공격에 대응해야 하는 정보보호 활동은 매우 어려운 일임에 틀림없다. 하지만 사고가 발생했을 때, 앞서 제시한 세 가지 신뢰구축을 위해 노력한 기업과 그렇지 않은 기업을 바라보는 사회 구성원들의 시선에는 극명한 차이가 존재할 것이다.
본 논문은 지속가능한 정보보안을 위한 즉, 기업의 신뢰를 위한 정보보안의 여섯 가지 원칙을 제시한다. 아래의 표를 통해 이러한 정보보안의 여섯 가지 원칙이 우리 기업에도 적용되고 있는지 검토해보길 권한다.