파수AI 임채현 클라우드서비스팀 부장[왼쪽]과 법무법인 로백스 성상욱 대표변호사[오른쪽]가 바이라인네트워크와 인터뷰를 하고 있다. (출처=로백스)
| | |

“로펌에는 기업의 약점이 모인다”…로백스가 파수AI를 선택한 이유

By곽중희

[인터뷰] 파수AI 임채현 클라우드서비스팀 부장, 법무법인 로백스 성상욱 대표변호사

“로펌이 보유한 정보는 단순한 개인정보와 다릅니다. 소송 자료와 기술 정보, 내부 감사, 인수합병 문서처럼 기업의 가장 민감하고 중요한 정보를 다룹니다. 만약 이 정보들이 유출되면 손실은 말로 다할 수 없습니다. 로펌의 보안이 중요한 이유는, 그들이 다루는 자료가 얼마나 중요한 지를 보면 알 수 있습니다.”

임채현 파수AI 클라우드서비스팀 부장은 최근 법무법인 로백스와 진행한 보안 강화 프로젝트의 출발점을 이렇게 설명했다. 로펌에는 인수합병(M&A) 전략과 특허소송 자료, 내부감사 결과, 배임·횡령 수사 대응 문서처럼 기업의 존립과 연결된 정보가 모인다. 한 로펌이 여러 기업과 개인의 사건을 동시에 맡는 만큼, 한곳이 침해되면 여러 의뢰인과 기업의 정보가 함께 위험해질 수 있다.

파수AI는 로백스에 ▲문서 중앙화·암호화 시스템 ▲보안 메신저 ▲악성메일 모의훈련 체계를 구축했다. 변호사와 직원의 PC, 이메일, 외부 클라우드에 흩어진 사건 자료를 법인 차원에서 관리하기 위해서다. 이에 앞서 PC와 노트북, 네트워크, 무선접속장치(AP), 외부 클라우드 등 정보기술(IT) 환경도 점검했다.

로백스가 전사 보안을 도입한 배경에는 로펌을 겨냥한 해킹과 랜섬웨어에 대한 위기감이 있었다. 사건 자료를 담당 변호사 개인이 관리하는 기존 방식으로는 문서의 위치와 이용 이력, 외부 반출 여부를 법인이 확인하기 어렵다는 문제의식도 작용했다.

성상욱 법무법인 로백스 대표변호사는 “변호사들은 의뢰인의 요구에 맞는 결과물을 만드는 데 집중해 왔고, 자료를 체계적으로 관리하거나 보안에 중점을 두는 데는 상대적으로 관심이 적었다”며 “경영진에서 로펌도 공격 대상이 될 수 있다는 위기의식을 먼저 가지게 됐고, 선제적으로 보안체계를 갖추기로 했다”고 설명했다.

로백스가 다루는 정보에는 기업의 기술유출 사건과 영업비밀, 경쟁사와의 분쟁 자료도 포함된다. 일부 기업 고객은 사건을 맡길 때 로펌의 보안체계를 확인하고, 제공한 자료가 외부로 넘어가지 않도록 비밀성을 확보해 달라고 요구한다.

성 대표변호사는 “의뢰인은 평온한 일상에 관한 자료가 아니라 기업이나 개인의 존망이 걸린 문제를 해결하기 위해 정보를 제공한다”며 “로펌 한곳이 뚫리면 그곳과 연결된 여러 기업과 개인에게 2중, 3중의 피해가 발생할 수 있다”고 말했다. 이어 “특히 IT 관련 업체의 사건을 다루는 경우, 기술 유출 사건에서는 정보 자체가 사건의 핵심”이라며 “고객사가 제공한 정보가 경쟁사 등 외부로 넘어갈 가능성은 없는지 확인하고 비밀성을 확보해 달라고 요구하는 경우가 있다”고 말했다.

개인이 관리하던 사건 문서, 법인 자산으로 전환

로백스가 전사에 보안체계를 도입한 데에는 로펌의 업무 방식 변화도 영향을 미쳤다. 국내 로펌은 여러 변호사가 모인 형태로 성장해 왔다. 이에 사건 자료도 법인보다 담당 변호사나 개별 팀을 중심으로 관리하는 관행이 이어졌다.

로백스 역시 이전에는 사건 기록과 의뢰인 자료를 변호사와 직원이 각자의 PC나 외부 클라우드, 이메일 등을 통해 관리했다. 업무에는 편리하지만 법인 차원에서는 어떤 문서가 어디에 저장됐고, 누가 열람하거나 외부로 보냈는지 파악하기 어려운 구조였다.

퇴직자가 자료를 보유하거나 문서를 개인 저장공간으로 옮겨도 법인이 이를 확인하고 회수하기 어렵다. 랜섬웨어가 PC에 저장된 자료를 암호화하면 업무를 복구할 방법도 제한된다.

성 대표변호사는 “변호사들은 의뢰인이 요구한 결과물을 만드는 데 집중해 왔고, 자료를 체계적으로 관리하거나 보안에 중점을 두는 데는 상대적으로 관심이 적었다”며 “로펌의 업무가 조직화되는 만큼 보안도 개인의 책임이 아니라 법인 차원에서 대응해야 한다고 판단했다”고 말했다.

경영진의 의지도 크게 작용했다. 보안 사고가 발생한 뒤 대응하는 대신, 로펌을 겨냥한 해킹과 랜섬웨어 가능성에 먼저 대비하자는 판단이었다.

중소형 로펌이 보안에 선제적으로 투자하기는 쉽지 않다. 보안은 사고가 발생하지 않으면 효과를 눈으로 확인하기 어렵기 때문이다. 특히 파트너 변호사들이 운영 비용을 나누는 로펌 구조에서는 추가 비용과 업무 불편에 대한 합의를 얻기도 어렵다.

임 부장은 “로펌의 상담 문의는 계속 있지만, 실제 솔루션 도입으로 이어지는 경우는 흔치 않다”며 ”보안체계가 업무를 불편하게 만들 수 있다는 우려와 비용 부담이 있기 때문”이라고 설명했다. 이어 “그럼에서 로백스는 보안이 중요하다는 점을 먼저 경영진에서 인지해주셨고, 함께하게 됐다”고 덧붙였다.

기술보호 자문하려면 로펌부터 보안 갖춰야

로백스가 전사 보안체계를 구축한 배경에는 ‘기술보호센터’의 역할도 있다. 로백스 기술보호센터는 기업의 산업기술과 영업비밀 유출 사건에 대한 법률 대응뿐 아니라, 사고가 발생하기 전 취약점을 진단하고 보호체계를 마련하는 자문을 제공한다.

기존 로펌이 기술유출 사고가 발생한 뒤 형사고소나 손해배상 소송을 수행했다면, 기술보호센터는 예방과 진단 단계까지 업무 범위를 넓혔다.

기술보호 전문 변호사와 내부 전문인력이 기업의 기술자산 관리 현황을 점검하고, 산업보안·디지털포렌식 전문가와 전문기관의 도움을 받아 대응 방안을 마련한다. 사고가 발생하면 형사·민사 법률 대응까지 연결하는 방식이다.

성 대표변호사는 “과거에는 사건이나 문제가 발생한 이후 형사·민사상 대응을 제공하는 것이 로펌의 역할이었다”며 “기술보호센터는 문제가 발생하기 전 기업이 어떤 부분을 점검해야 하는지 진단하고 해결책을 제시하는 조직”이라고 설명했다.

로백스는 고객사에 문서 접근권한과 정보 반출, 영업비밀 관리체계를 강화하라고 조언하려면 로펌도 같은 기준을 적용해야 한다고 판단했다. 로펌이 의뢰인의 영업비밀과 기술자료를 개인 PC나 외부 저장공간에 분산해 관리하면서 고객에게 내부통제를 요구하기는 어렵다는 문제의식이다.

이번 파수AI와의 협력은 로백스가 고객사에 자문하는 보안체계를 직접 사용하고 법적·실무적 효과를 확인하는 과정이기도 하다.

성 대표변호사는 “고객에게 영업비밀을 지키려면 내부통제를 강화하라고 조언하는 로펌이 정작 구태의연한 방식으로 문서를 관리한다면 자문의 신뢰를 얻기 어렵다”며 “로펌 스스로 보안 기준을 적용해 봐야 위기에 처한 기업에 현실적인 자문을 제공할 수 있다”고 말했다.

로백스는 앞으로 이번 구축 경험을 기업 고객의 기술보호 자문에 활용할 방침이다. 파수AI와 기술보호·보안 컨설팅 분야에서 협력하는 방안도 검토한다.

왜 파수AI였나문서 자체에 보안 적용

로백스가 파수AI를 선택한 이유는 로펌 업무의 핵심 자산인 문서를 중심으로 보안체계를 구성할 수 있다고 판단했기 때문이다.

방화벽과 백신이 외부 침입을 차단하는 데 초점을 둔다면, 파수AI의 데이터 중심 보안은 문서 자체를 암호화하고 사용자별 이용 권한을 관리한다. 파일이 외부로 나가더라도 권한이 없는 사용자의 열람을 제한할 수 있다.

로백스는 데이터 보안에 전문성을 가진 파수AI가 문서 암호화와 중앙 관리뿐 아니라 취약점 진단, 내부 협업, 악성메일 훈련을 하나의 사업자로 묶어 제공할 수 있다는 점도 고려했다.

성 대표변호사는 “문서 보안과 제로 트러스트 분야에서 경험을 쌓아온 파수AI가 로백스의 보안 원칙을 구현할 수 있다고 판단했다”고 말했다. 제로 트러스트는 내부와 외부를 구분해 내부 사용자를 일괄적으로 신뢰하지 않고, 정보에 접근할 때마다 사용자와 기기, 권한을 확인하는 보안 원칙이다.

파수AI는 솔루션을 공급하기 전 로백스의 정보기술(IT) 자산과 업무환경을 점검했다. 점검 대상에는 30여대의 PC와 노트북, 운영체제(OS) 보안 업데이트와 백신 상태, 전화기와 프린터, 무선접속장치(AP), 네트워크, 외부 클라우드 환경이 포함됐다.

자산을 파악한 후에는 위험도가 높은 설정을 우선 수정하고, 로백스의 문서관리 방식과 내부 보안정책을 분석했다. 이 과정에서 가장 큰 위험으로 암호화하지 않은 문서가 여러 PC와 저장공간에 흩어진 상태를 지목했다.

임채현 파수AI 부장은 “로백스의 핵심 위험은 데이터 파편화와 랜섬웨어였다”며 “문서를 중앙에서 관리하고 암호화하면서 사고가 발생해도 자료를 복구할 수 있는 체계를 갖추는 데 중점을 뒀다”고 설명했다.

랩소디로 문서 암호화·중앙 관리

로백스가 도입한 핵심 솔루션은 파수AI의 문서관리플랫폼 ‘랩소디(Wrapsody)’다. 랩소디는 PC에서 문서를 생성하거나 내려받을 때 파일을 중앙 시스템에 백업하고 암호화한다. 문서별로 고유한 식별정보를 부여해 여러 저장공간에 복사한 파일도 같은 문서로 관리한다.

관리자는 사용자별로 열람과 편집 권한을 설정할 수 있다. 누가 언제 문서를 열람하거나 수정했는지도 기록한다. 담당자가 퇴직하거나 업무가 바뀌면 접근 권한을 회수할 수 있다.

기존에는 사건 문서가 개별 PC나 구글 드라이브 같은 외부 서비스형 소프트웨어(SaaS)에 흩어져 있었다. 퇴직 예정자가 중요 소송 자료를 개인 저장공간으로 옮겨도 법인 차원에서 확인하거나 회수하기 어려웠다.

랩소디는 개인 기기에서 생성한 문서를 법인의 관리 대상으로 전환한다. 이를 통해 문서가 담당자 개인의 소유물이 아니라 법인의 업무 자산이라는 관리 원칙을 적용할 수 있다.

문서가 랜섬웨어로 훼손되더라도 중앙 시스템에 보관한 이전 버전을 이용해 복구할 수 있다. 문서 유출 방지뿐 아니라 사고 이후 업무를 재개할 수 있는 ‘사이버 회복탄력성’을 확보하기 위한 기능이다.

임 부장은 “로펌은 사건 자료 자체가 핵심 자산”이라며 “개인 PC에서 생성한 문서를 법인 자산으로 관리하면 인력 교체나 퇴직에 따른 자료 유실을 줄일 수 있다”고 말했다.

로백스는 암호화한 문서를 내부에서 주고받기 위해 보안 메신저 ‘파이어사이드(Fireside)’도 도입했다. 개인용 메신저나 외부 클라우드를 통한 문서 공유를 줄이고, 암호화한 상태로 내부 구성원이 문서를 확인하고 협업하도록 했다. 메신저에서 주고받는 파일과 대화 내용도 암호화한다.

악성메일 훈련으로 한 번의 클릭대비

파수AI는 기술적 통제와 함께 구성원의 실수를 줄이기 위한 교육 훈련도 진행했다. 로백스는 악성메일 모의훈련 서비스 ‘마인드셋(Mind-SAT)’을 도입했다.

또한 파수AI는 분기마다 피싱메일을 가장한 훈련용 메일을 로백스에 보내 구성원의 링크 클릭과 신고 여부를 점검할 계획이다.

첫 훈련에서는 소프트웨어 불법 이용 안내와 온라인 동영상 서비스 안내 등을 위장한 메일을 보냈다. 일부 구성원이 링크를 누르자 파수AI는 훈련 결과를 바탕으로 오프라인 보안 교육도 진행했다.

교육에서는 최근 피싱 공격 수법과 비밀번호 관리, 의심스러운 첨부파일·링크를 확인하는 방법을 안내했다. 이후에는 고소장이나 법률 업무를 위장하는 등 로펌의 업무환경을 반영한 시나리오도 적용할 계획이다.

임 부장은 “방화벽을 직접 뚫는 것보다 내부 구성원이 피싱메일의 링크를 한 번 누르게 하는 것이 (공격자 입장에서는) 더 쉬울 수 있다”며 “한명의 클릭으로도 조직 전체가 위험해질 수 있어 반복 훈련이 필요하다”고 말했다.

업무 불편 우려에도 사용 방식 달라지지 않아

보안체계 도입 과정에서 로백스 내부에는 반대도 있었다. 암호화 때문에 의뢰인에게 보낸 문서가 열리지 않거나, 메신저가 추가돼 업무가 복잡해질 수 있다는 우려가 나왔다.

특히 소송 증거처럼 수백개의 PDF 파일을 외부에 제출할 때는 암호화를 해제하는 과정이 번거로울 수 있다. 파수AI는 여러 파일을 한꺼번에 처리하는 방법을 안내하는 등 실제 사용 과정에서 나타난 문제를 개선하고 있다.

성 대표변호사는 “사실, 도입 초기에는 업무 불편을 우려했었다. 의뢰인과 문서를 주고받는 과정에서 기술적인 오류가 생기면 법률 서비스에도 차질이 발생할 수 있다고 봤다”며 “그런데, 실제로 써보니 기존 문서 작성과 전달 방식이 크게 달라지지 않았다”고 평가했다.

이어 “매번 암호화 절차가 작동하지만 문서를 작성하고 주고받는 과정에서 큰 차이를 느끼지는 못했다”며 “보안 시스템이 업무에 지장을 주지 않으면서 뒤에서 작동하는 것이 중요하다”고 말했다.

파수AI는 사전 방문과 환경 분석을 거쳐 SaaS 방식으로 시스템을 공급했다. 초기 구축에는 약 1주일이 걸렸다. 악성메일 훈련과 보안 교육은 도입 이후에도 계속 진행한다.

보안도 로펌 차원에서 선제 투자해야

로백스는 이번 사업을 단순한 사내 시스템 도입이 아니라 법률 서비스의 신뢰를 확보하는 계기로 보고 있다.  로펌이 어떤 보안체계를 갖췄는지가 앞으로 법률 서비스의 경쟁력을 구분하는 기준이 될 것이라는 설명이다.

성 대표변호사는 “기업 고객이 로펌을 선정할 때 변호사의 경력이나 사건 수행 능력뿐 아니라, 맡긴 정보를 안전하게 관리할 수 있는지도 살펴보기 시작했다”고 말했다.

이어 그는 “법무법인은 과거 개인 변호사들의 집합체에서 조직 중심으로 바뀌고 있다”며 “업무가 법인 차원에서 이뤄지는 만큼 앞으로 보안도 로펌 차원에서 관리하는 방식이 새로운 기준이 될 것”이라고 말했다.

아울러 “내부통제가 곧 법률 자문의 신뢰도”라며 “고객의 가장 민감한 정보를 다루는 로펌부터 엄격한 보안 기준을 적용해야 한다”고도 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40