[해외기사1]

캐나다, 금전 보상이 있는 새로운 내부고발자 프로그램 시행

BCSC offering money for qualified tips through new whistleblower program 

캐나다 브리티시컬럼비아주 증권위원회(BCSC, B.C. Securities Commission)는 투자 사기 및 기타 심각한 시장 위법행위에 대해 유용한 정보를 제공하는 제보자에게 보상금을 지급하기로 했다.

BCSC의 내부고발자 보상금은 1천에서 25만 달러 사이이며, 내부고발자의 정보가 얼마나 빨리 신고되었는지, 집행 조치에 얼마나 기여하였는지, 그리고 위법 행위의 심각성 등을 고려하여 결정된다. 내부고발자는 동일한 정보로 두 개 이상의 보상금을 받을 수 있으며, 최대 50만 달러로 제한된다.

이번 내부고발자 프로그램은 특히 브리티시컬럼비아주의 투자 시장에 적합하고 캐나다 증권 감독기관들 중에서 톡특한 것으로 제보자가 쉽게 보상 자격을 얻고 빠르게 보상금을 받을 수 있게 해준다.

해당 정보가 다음과 같은 BCSC의 집행 조치로 이어질 경우 보상을 받을 수 있다.
• 거래 정지 명령
• 공식적인 혐의 발표
• 청문회 후 제재
• 합의(settlement)에 의한 해결
• 금융 제재를 받은 자에 대한 재산 명시 명령

브렌다 렁 위원장은 “투자 시장에서 법을 어기거나 제재 조치를 회피하는 사람들도 누군가가 눈치채지 못하게 그것을 하지는 못한다. BCSC는 의심스러운 활동을 신고하도록 항상 권장하고 있으며, 이러한 보상 제도는 제보자가 우리에게 연락하고 시장을 더욱 정직하고 공정하게 만들기 위해 필요한 정보를 제공하는 데 인센티브가 된다”면서 “가치 있는 정보일수록 보상금은 커진다”고 설명했다.

BCSC는 신고를 받기 위해 별도의 온라인 사이트(https://integritycounts.ca/org/BCSC)를 개설하였으며, 내부고발자는 사이트에서 직접 내용을 작성하거나 우편, 전화를 이용할 수 있다. 내부고발자는 익명으로 신고할 수 있지만, 보상금을 받기 전에 BCSC에 신분을 밝혀야 한다.

내부고발자는 브리티시컬럼비아 증권법에 의해 보복으로부터 보호된다. 보상금을 받을 자격을 갖추기 위해서는 다른 사람의 위법행위에 대한 정보를 신고해야 하며 만약 자신에 관한 정보만 제공한다면 보상 대상에서 제외된다. 

2023년 11월 7일 이전에 BCSC에 신고한 내부고발자는 보상금을 받을 수 없고, 11월 7일 이전의 위법행위와 관련된 현재 신고는 대상이 된다.

BCSC는 캐나다 브리티시컬럼비아주의 자본시장을 규제하는 독립적인 주정부 기관으로 공정하고 공신력 있는 증권 시장을 육성하고 공익을 보호하는 임무를 갖고 있다.

BC Securities Commission 2023년 11월 07일 기사 원문보기

[해외기사2]

내부고발자 미 상원 청문회 출석, 메타의 청소년에 대한 유해성 문제 증언

Meta failed to address harm to teens, whistleblower testifies as senators vow action

메타는 “악한 것을 보지도, 듣지도 않는(see no evil, hear no evil)” 문화를 장려하는 기업이라고 메타의 전 엔지니어인 아르투로 베하르(Arturo Bejar)가 말했다. 

그는 상원 법사위 청문회에서 페이스북과 인스타그램(둘 다 모기업인 메타 소유)의 알고리즘이 괴롭힘, 약물 남용, (거식증, 폭식증 등의)섭식 장애, 자해를 조장하는 콘텐츠를 청소년들에게 어떻게 밀어 넣고 있는지 증언했다.

회사에서 베하르의 업무는 소셜 미디어의 사용자들을 보호하는 것이었다. 그는 메타의 최고 경영진에게 청소년들의 피해에 대해 알렸지만 그들은 아무런 조치를 취하지 않았다. 또한 “대중이 항의하면 그 대책으로 새로운 기능을 추가하는 것을 보았지만 이것은 사실상 일종의 플라세보(속임약)였다. 언론과 규제 기관을 달래기 위한 허울뿐인 안전 기능이었다”고 말했다.

그는 메타가 자사 제품이 청소년에게 유해하다는 사실을 알고 있었음을 입증하는 내부 문건을 공개한 가장 최근의 내부고발자이다. 이번 의회 증언은 지난 주 월스트리트저널이 그의 주장을 보도한 이후 이뤄졌다. 의원들은 이제 이 주제에 관해 수십 명의 아이들과 부모들, 그리고 심지어는 회사 임원들로부터도 증언을 들었고 이제 한계점에 달한 것 같다.

리차드 블루멘탈(민주, 코네티컷) 상원의원은 “더 이상 소셜 미디어의 ‘우리를 믿으세요’라는 구호에 의존할 수 없다. 제 희망은 그 피해를 줄이고 대중에게 알리기 위한 공동의 노력을 통해 빅 테크 기업을 담배회사만큼 규제하도록 하는 데 있다”고 말했다. 

베하르는 2009년부터 2015년까지 페이스북에서 사이버 폭력에 관한 업무를 담당하였고 2019년에 인스타그램의 웰빙 팀에 컨설턴트로 복귀했다. 그는 복귀 이유 중 하나로 자신의 딸이 인스타그램에서 어떻게 대우받았는지 보았기 때문이라고 말했다.

그는 “제 딸과 친구들은 원치 않는 성적인 접근과 괴롭힘 등 끔찍한 경험을 했다. 그녀는 이러한 것을 회사에 신고했지만 아무런 조치도 취하지 않았다”고 증언했다. 

NPR 2023년 11월 07일 기사 원문보기

[해외기사3]

CISO(최고정보보호책임자)에게 내부고발자는 친구인가 적인가?

Whistleblowers: Should CISOs Consider Them a Friend or Foe?

내부고발자는 회사의 반역자이고 브랜드 이미지에 대한 위험이며 내부의 위협적인 존재일까? 아니면 사이버 보안과 컴플라이언스를 강화하는 데 사용할 수 있는 조기 경고 안전 밸브일까?

최근 세간의 이목을 끌고 있는 두 건의 내부고발자 사건은 사이버 보안에 내부고발자가 등장했음을 확인시켜 준다. 두 사건은 피터 잣코와 트위터, 그리고 펜실베이니아 주립대학교 ARL(응용연구실)에 대한 부정청구법(False Claims Act) 조치이다. 우리는 사건들의 세부 내용보다는 사이버 보안 내부고발의 개념과 의미에 관심이 있지만 두 사례를 간략하게 살펴보자. 

잣코는 엄밀히 말하면 트위터 경영진 중 한 명이었지만 일반적으로 보안 최고책임자로 여겨졌다. 그는 바이든, 오바마, 게이츠, 베이조스, 머스크 등 여러 유명인의 계정에서 일어난 보안 침해 사건 이후 이를 강화하기 위해 고용되었다.

그는 플랫폼에 대한 보안 가시성(visibility) 부족과 트위터 직원의 개인 계정에 대한 오픈 액세스에 초점을 맞춰 수많은 문제를 찾아냈다(직원이 해킹되어 해커에게 유명인 계정에 대한 액세스 권한이 부여됨).

잣코는 문제를 개선하려고 시도했지만 사실상 무시되었다. 결국 그는 내부고발자가 되었고 즉시 해고되었다. 이후 상원 청문회에서 가시성이 향상되면 트위터의 보안이 나아지는지 질문을 받자 그는 “그렇다. 하지만 그것은 수익이나 사용자 증가 같은 프로젝트보다 우선시되지 않았다”라고 대답했다.

펜실베이니아 주립대학교 사례는 ARL이 정부 요구 사항을 준수하지 못했다는 당시 CIO 매튜 데커(현재 NASA 제트 추진 연구소의 최고 데이터 및 정보 책임자)의 폭로에서 시작되었다. 그는 2022년 10월 부정청구법에 따라 소송을 제기했고 관련 내용은 2023년 8월 28일 공개되었다. ARL이 사이버 보안을 위반했고 정부에 제공한 기록을 위조했으며 ‘통제된 미분류 정보(CUI)’를 잘못 처리했다는 주장이다.

이 두 가지 내부고발 사건의 최종 결과는 아직 나오지 않았다. 하지만 이것이 사이버 보안 관련 내부고발의 유일한 사례는 아니다. 2021년 여름, 전 페이스북 제품 관리자인 프랜시스 하우겐이 내부 문서를 월스트리트저널에 유출하여 ‘The Facebook Files’로 알려진 WSJ 시리즈가 탄생했다. 하우겐이 내부고발한 페이스북 파일은 이제 https://fbarchive.org/ 에서도 볼 수 있다.

분명한 것은 내부고발이 이제 사이버 보안에도 닥쳤다는 것이다. 사라지지 않을 것이다. 앞으로 지켜봐야 할 것은 조직이 어떻게 대응할 것인지, 대응해야 하는지 이다.

내부고발자는 항상 존재해 왔다. 과거에는 불법 행위에 대한 윤리적 입장, 회사 내 개인이나 회사 자체에 대한 불만이나 원한이 주된 동기였다. 이로 인해 일반적으로 회사에 대해 제한된 지식을 가진 한 사람이었으며, 대개 회사의 힘이 우세했다. 내부고발자에게는 낙인이 찍혔고 앞으로의 고용 전망도 암울했다.

이는 사이버 보안과 디지털화된 비즈니스 세계에서 더 이상 현실적이지 않다. 개인, 특히 IT 또는 보안 구성원이 회사 운영에 대해 깊고 광범위한 통찰력을 갖고 있으며 기업의 보복으로부터 법으로 보호되는 경우가 많기 때문이다.

Securityweek 2023년 10월 30일 기사 원문보기