▲ 임종인 고려대학교 정보경영공학전문대학원 원장/교수

기업소송의 75%로 활용

임종인 교수는"IT Compliance, e-디스커버리, Mobile-Office & Digital Evidence"라는 주제로 발표했다. 임 교수는 e-메일 이용자들이 전 세계 하루 22억(99년)에서 840억(2006년)으로 폭발적 증가세를 보이고 있고, 기업환경에서 비즈니스 기록으로서의 e-메일 데이터는 매년 25~30%씩 증가하고 있어 기업의 지적 자산 유통 미디어로서의 e-메일의 중요성이 그 어느 때보다 강조되고 있다고 전했다. e-메일 보존 요구 컴플라이언스가 증가하고 있고, 기업 소송의 75%에서 e-메일 데이터가 활용되고 있는 점을 들었다.

미국 기업의 50%가 법원이나 규제기관으로부터 e-메일 제출 요구를 받은 적이 있고, 2004년 840개 미국 기업들 중 21%는 자사 직원 e-메일과 인스턴트 메시지에 대한 소환장(subpoena)을 받은 적이 있다. 그러나 e-메일 아카이빙의 중요성에 비해 실제 e-메일 아카이빙 솔루션을 채택하고 있는 미국 기업은 14% 이하에 불과하다고 지적했다.

기업들의 업무 환경은 점차 모바일 오피스 환경으로 진화되고 있기 때문에 e-메일 아카이빙은 더욱 중요하다는 것이다. 즉, 기업업무 환경은 ▲커뮤니케이션(e-메일, SMS, 메신저, 사내 직원 주소록) ▲네트워크(네트워크를 통한 모바일 오피스 접속, 유비쿼터스) ▲업무지원(M2M, RFID 등의 관리 장비 역할) ▲업무처리(전자결제 처리, 내부 문서 접속, 지식관리) 등에 있어서 모바일 오피스로 빠르게 변화하고 있다. 따라서 e-메일 보존 IT 컴플라이언스가 중요한 이슈로 떠오르고 있다고 임 교수는 강조했다.

미국 등의 선진국 의무화

미국을 비롯한 선진국들은 기업들이 e-메일을 일정기간동안 보존할 것을 의무화하도록 규제를 강화하고 있는 추세며, 미국에만 1만여 개 이상의 데이터 보존을 의무화하고 있는 규제가 존재하고 있다. 보존 대상 데이터는 스캔자료나 멀티미디어와 같은 콘텐츠 데이터에서부터 e-메일과 메신저 및 로그 기록까지 광범위하고, 기업은 e-메일 데이터 보존정책 및 시스템 구축을 통해 규제준수를 증명해야 하며, 데이터를 원래 상태 그대로 불변상태로 보존하고 있음을 증명해야 한다고 설명했다. 또한 적법한 요청 시에는 쉽게 접근할 수 있도록 해야 한다고 덧붙였다.

미국에 있는 각종 규제를 살펴보면'미국 SOX'는 상장기업들은 e-메일 포함 모든 비즈니스 기록을 최소 5년 이상, 감사관련 문서를 7년간 보존해야 하고(808조), 최초 2년간은 쉽게 접근할 수 있도록 보존 하도록 규제하고 있다고 설명했다.

미국 HIPAA는 의료기관들이 전자메일과 문서 등의 데이터와 관련 의료기록과 환자기록을 각각 최소 6년과 2년간 보존해야 한다고 규제하고 있다는 것. 미국 SEC 17A-4는 증권회사의 경우 e-메일 등 고객과의 교신내역을 3년간 보존해야 하고, 최초 2년간은 쉽게 접근할 수 있도록 보존해야 한다고 규제하고 있다.

미국 GLBA는 금융기관의 경우 e-메일 등 고객과의 교신내역을 6년간 보존해야 하고, 최초 2년간은 쉽게 접근할 수 있도록 보존해야 한다고 규제하고 있다. 미국 NARA Pt.1234는 미국 국립기록원 e-메일 및 메타데이터 기록저장을 의무화하고 있다.

한국은'천하태평'

우리나라는 금융감독원이 증권회사의 e-메일 및 메신저 내부통제 방안을 마련, 증권사들로 하여금 영업 관련 부서의 전화통화 내용을 의무적으로 3년간 보관할 것을 요구하고 있는 기존 감독규정을 메신저와 e-메일에도 확대 적용시켰고, 증권회사는 업무 관련 e-메일과 메신저 통신 내용을 3년 동안 보관하도록 권고하고 있다.

사실 우리나라는 e-메일 아카이빙과 그 중요성을 아직 제대로 깨닫지 못하고 있어 관련 법적, 제도적 장치 마련이 시급한상황이라고 지적했다.

임 교수는 모바일 오피스 환경 확산과 IT 컴플라이언스 관련 음성통화는 급격히 감소하는 반면, 모바일 e-메일 사용자 수는 급격히 증가하고 있어 이에 따른 IT 컴플라이언스 마련을 서둘러야만 한다고 강조했다. 기업용 모바일 애플리케이션 수요는 2010년에서 2012년까지는 약 4% 증가할 것이고, 모바일 e-메일 사용자는 '08년 4천 9백만 명에서 2012년에는 6억 3백만 명으로 13배 이상 증가할 것으로 예상된다고 밝혔다.

모바일 오피스 관련 IT Compliance(기록물 보존 의무 규제)로는 ▲전자금융거래법 시행령 제12조(거래기록의 보존기간 및 방법)는 전자 금융 거래기록의 의무 보존을 ▲공공 기록물 관리에 관한 법률은 공공기관이 관리하는 기록물의 보존을 ▲금융감독원'증권사 조사분석업무 내부 통제 모범규준'은 메일과 메신저를 사용할 경우 기록 보존을 ▲e-디스커버리 제도와 관련 미국은 민사 재판 개시 전 소송 관련 모든 증거들을 제시할 것을 의무화하고 있다.

IT Compliance Risk를 고려한 모바일 오피스 환경에서는 비즈니스 레코드(Business Record)가 반드시 필요하고, 규제준수, 자기 방어 등을 위해 진정성, 무결성, 신뢰성 등을 확보할 수 있는 e-메일 아카이빙이 필요하다. 또한 메신저를 통한 커뮤니케이션 및 문서의 전송이 이루어짐에 따라 메신저 로그 기록을 보존할 필요가 있고, 모바일을 통해 작성 및 처리되는 전자문서의 보존도 필요하다고 임 교수는 강조했다.

모바일 환경에서는 필수

임 교수는 e-디스커버리는 소송 관련 디지털 증거 보존 의무(Federal Rules of Civil Procedures)라며, 미국은 2006년 민사소송법 개정을 통해 소송당사자들에게 e-메일을 포함한 소송과 관련된 모든 디지털 증거를 보관하고 법정에 제출하도록 법제화하고 있다고 설명했다. 또한 e-디스커버리는 민사소송 당사자들이 재판 개시 전 소송과 관련된 모든 증거를 상대방에게 제시할 것을 의무화하고, 소송과 관련된 증거를 분류 및 저장하고 소송 발생 시 적시에 제출할 수 있는 시스템을 갖추어야 함은 물론 기업은 법정에서의 디지털 증거 제출에 실패하면 상당한 벌금과 함께 불리한 판결을 감수해야 한다. 소송에 필요한 디지털 증거확보를 위해 디지털 포렌식 도구 사용을 권장하고 있으며, 기업은 e-디스커버리 툴을 삭제된 증거물을 복구하거나 위·변조여부를 파악하는데 적절하게 활용해야 한다고 강조했다.

Discovery는 요청 정보를 찾아내고 접근할 수 있는 능력을 말하고, Production은 찾아낸 요청 정보를 적시에 제출할 수 있는 능력을 말하는 데, 조직 내 모든 시스템과 저장 매체들에 걸쳐 있는 관련 정보의 위치들을 찾아내어 적시에 권한 있는 자에게 제출할 수 있도록 시스템을 갖춰야 한다는 게 디스커버리의 기본 요구사항이다. 임 교수는 e-메일 컴플라이언스와 관련된 판례를 들어 중요성을 강조했다. 즉, Morgan Stanley사는 2006년에도 SEC의 문서제출 요구에 대해 e-메일 제출을 고의로 늦추고 삭제함으로써 SEC Regulation의 데이터 보존요구를 위반한 데 대해 SEC에게 1,500만 달러를 벌금으로 제출하기로 합의했다. 또한 지난 2008년 Qualcomm사와 Broadcom사와의 특허소송 과정에서 Qualcomm사는 200,000페이지에 달하는 관련 e-메일과 전자문서 제출에 실패로 패소했다. 법원은 삼성에 e-메일을 보관하지 않고 의도적으로 디지털 증거를 파괴시킨(Spoliation of e-메일 Data) 대가로 $566,839.97를 부과한 바 있다.

요트 파손 사고와 관련된 보험사와의 분쟁 사건에서 법원은 양측에게 해당 사건과 관련된 e-메일을 제출할 것을 요구하였으나, 양측이 모두 FRCP에서 제시하고 있는 법적으로 허용가능한 수준으로 인증된 e-메일을 제출하지 못함으로써 소송이 기각됐다.

보완할 점 많다

한편, 임 교수는 e-메일의 특징과 보안 취약성에 대해서도 밝혔다. 즉, e-메일은 ▲비가시성 ▲변조 가능성 ▲복제 용이성 ▲도청 가능성 ▲부인 가능 등의 특징을 갖고 있다. 비가시성은 눈에 보이지 않는 0과 1의 조합인 디지털 형태로 저장되어 육안으로 식별 불가능한 잠재성, 은닉성, 불가시성, 불가독성 등을 갖고 있기 때문에 적발과 증명이 곤란하다. 또한 변조나 손상이 쉽고 변조사실을 찾아내기 어렵기 때문에 사후에 법정에서 조작여부, 증거 획득절차의 적정성 등이 문제가 될 수 있고, 원본과 동일한 내용으로 쉽게 복제할 수 있어 원본과 복제본의 구별이 쉽지 않다. 전송내용의 비밀 유지가 어렵고, 문서작성 사실을 입증하기가 쉽지 않아 부인할 가능성이 높다.

e-메일 데이터가 법적 증거로서 효력을 갖기 위한 속성으로는 ▲진정성(Authenticity), e-메일 작성 당시의 내용은 물론 작성자, 수신자, 송수신 일시 등 활용단계의 부가정보가 보존되어야 하고, ▲무결성(Integrity), e-메일 보존 과정에서 변경이나 훼손 없이 유지되어야 하며, ▲신뢰성(Reliability), e-메일 보존과정에서 위조되지 않았고 전자문서 보존시스템에 의한 의도되거나 의도되지 않은 오류를 포함하지 않아야 한다. 또한 ▲원본성(Originality), 가시성과 가독성이 없는 e-메일를 변환하여 제출하는 과정에서 제출된 증거 데이터가 원 매체에 있는 데이터와 동일함이 인정되어야 한다.

즉, 임 교수는 e-메일 데이터가 디지털 증거로 인정받기 위한 데이터 보존 요구 조건과 관련, 원하는 기간 동안 데이터를 보존해야 하고, 데이터가 위변조되지 않았음을 증명 가능해야 한다. 또, 삭제 불가능하고 재기록 불가능한 미디어 및 저장소에 보관되어야 하고, 적법한 권한을 가진 사람만이 데이터에 접근할 수 있음이 보장되어야 하며, 데이터 보존 정책을 문서화해야 한다. 또한 증거 생성 시간과 개작시간 등을 명시할 것을 요구해야 하고, 작성자를 명시함으로써 책임 추적성을 제공해야 하며, 저장된 모든 데이터에 대한 인덱스를 제공하여 쉽게 검색할 수 있어야 한다. 인덱스 또한 복사본을 별도의 장소에 보관하고 무결성이 보장되어야 하고, 적법한 권한이 있는 사람은 쉽게 검색하고 접근할 수 있어야 한다.

이밖에 보관 중인 데이터를 보호하기 위해 합리적인 보안정책 및 보안시스템을 운영하고 있음을 보여야 하고, 보관 중인 데이터에 대한 접근 및 변경 시도에 대한 로그를 기록하고 안전하게 보관해야 한다. 임 교수는"증거를 찾는 것은 쉽지가 않고, 데이터가 너무 만들어져 오히려 걱정"이라면서, "없애버릴 것은 빨리 없애 버리고, 중요한 것은 중요하게 처리하는게 가장 중요하다"고 강조했다.