바야흐로 대 프라이버시 보호법의 시대, 기업이 적응하려면 2019.12.02

데이터 보호법, 디지털 변혁과 초연결 시대로부터 오는 자연스러운 현상
1월 1일부터 시행되는 CCPA, GDPR에 준하는 파급력 행사할 것으로 예상돼


[보안뉴스 문가용 기자] 2020년 1월 1일부터 캘리포니아 주는 ‘캘리포니아 소비자 보호법(California Consumer Privacy Act, CCPA)’을 시행할 예정이다. 유럽연합이 GDPR을 시행하기 시작한 이후 세계 곳곳에 생기고 있는 사생활 보호법 중 가장 이목을 끌고 있는 규정 중 하나다.

[이미지 = iclickart]


영리 활동을 하는 단체로서 캘리포니아 거주민들의 개인정보를 수집하고 있으면서, 다음의 조건에 부합한다면 앞으로 CCPA를 반드시 지켜야 한다.
1) 연간 총세입이 2500만 달러 이상
2) 연간 개인정보 거래량이 5만 건 이상
3) 개인정보 판매로 인한 수익이 전체 수익의 50% 이상을 차지

CCPA를 지킨다는 건 여러 가지 행위를 의미한다.
1) 개인정보 및 프라이버시 관련 정책을 변경한다.
2) 서드파티 관련 정책을 변경한다.
3) 서비스 제공 관련 약관을 변경한다.
즉, 일단 개인정보와 관련된 법적 사항과 규정을 검토해야 한다는 것이다.

CCPA도 GDPR과 마찬가지로 위반 시 벌금이 꽤나 크다. GDPR 체제 하에서 영국항공에 2억 3천만 달러와 매리어트 호텔 그룹에 1억 2300만 달러의 벌금을 부과한 바 있다. CCPA는 최대 7500만 달러의 벌금까지 허용하고 있고, 개개인이 최대 700달러의 보상금을 받을 수 있다고 정해두었다. 아마 1월 1일 이후부터 CCPA와 관련된 법적 분쟁이 많이 일어날 것이다.

CCPA의 영향권 아래 있는 기업들은 각종 규정과 정책만 검토해야 하는 게 아니다. 고객의 개인정보를 보호할 수 있을 만한 “적절한 수준의 보안 기능”도 보유해야 한다. 문제는 ‘적절한 수준(reasonable)’이라는 단어다. 이 단어의 정확한 의미는 법이 시행되고 판례가 쌓여야지만 명확해질 것이다. CCPA에 관심이 있다면, 이 부분에서의 추이도 지켜봐야 할 것으로 보인다.

프라이버시의 기초 : 책임
CCPA의 영향을 받는 기업이라면, 데이터 보호 책임자(DPO)를 임명하는 것이 우선이다. DPO 임명은 GDPR에서도 명시하고 있는 부분으로, 개인정보를 보유하고 있는 기업이라면 반드시 지켜야 하는 규정이다. DPO는 데이터가 저장되어 있는 곳이 어디인지, 데이터가 수집되는 사업적 목적이 무엇인지, 그 데이터를 어떻게 제어하고 있는지, 불필요한 데이터가 삭제되어 있는지 파악하고 확인할 수 있어야 한다. 소비자들이 자신의 데이터 복사본이나 원본의 삭제를 요청할 수 있는데, 이 역시 DPO가 처리해야 한다. DPO가 프라이버시 관련 일 처리의 접점이 되어야 한다.

이렇게 전담 인력이 정해지면 업체로서는 보다 ‘전문적으로’ 일을 처리하고, 개인정보 보호를 위한 환경을 조성할 수 있게 된다. 뿐만 아니라 DPO는 위험 평가, 침투 테스트, 보안 정책 등을 일괄적으로 추진 및 정리할 수 있다. 물론 이렇게 한다고 해서 정보가 100% 안전해지는 건 아니지만, 이런 절차들은 정보를 보호하고 ‘적절한 수준’의 방어책을 마련하는 데 꼭 필요하다.

내부적으로는 데이터에 대한 접근 권한을 최소화 하는 게 안전하다. 그래야 실수나 우연한 사고로 정보가 유출될 확률이 줄어든다. 또한 개인정보를 다루고 처리하기 위해 훈련과 교육을 제공해야 할 직원의 수도 줄어든다. 물론 그렇다고 해서 보편적인 개인정보 보호 절차와 방법에 대해 회사 전체를 교육하지 않아도 되는 건 아니다.

데이터는 이제 모든 조직들에 있어 핵심이 되는 자산이다. 데이터를 다룰 때 소중히 해야 한다. 고객의 정보가 없이 사업을 하거나, 데이터 침해로 신뢰를 잃을 경우 금전적인 손해를 볼 수밖에 없다. 그러나 장벽을 만들고, 보호막을 겹겹이 씌워서 공격자들이 발걸음을 되돌리도록 해야 한다. 돈을 보호하기 위해 어떤 수단을 사용하는가? 자식들을 보호하기 위해 어떤 방법을 강구하는가? 데이터도 이젠 이런 식의 보호를 받는 게 당연한 시대다.

최소한 데이터 암호화와 다중 이증 시스템은 갖춰야 한다. “어떤 데이터를 암호화 해야 하는가?”를 주로 묻곤 하는데, 그에 대한 답은 “모두 다”이다. 이제 디스크 암호화조차 ‘오버액션’이라고 간주해서는 안 된다. 업무 환경은 점점 ‘모바일화’ 되어 가고 있고, 따라서 장비 분실과 도난의 위험이 커져가고 있기 때문이다. 그렇기에 암호화와 다중 인증을 걸어두어, 장비를 불법적으로 취득한 자들이 데이터에 공짜로 접속하지 못하게 해야 한다.

또한 기본 중의 기본을 언급하자면 다음과 같다.
1) 모든 장비와 소프트웨어, OS는 항상 최신화 상태로 유지한다.
2) 모바일 장비들은 최신화 된 안티 멀웨어 제품으로 보호해야 한다.
3) 모든 장비들을 데이터 백업 장치와 연결시키고 복구 계획을 적용해야 한다. 백업과 복구 절차가 마련되었다면 주기적으로 시험해야 한다.

프라이버시 관련 정책들이 자꾸만 등장하는 건 디지털 변혁이 유행처럼 벌어지고, 초연결 시대로 진입하면서 자연스럽게 발생하는 현상이자, 필연적 결과이다. 소비자들로서 우리는 우리와 관련된 개인정보가 이런 시대에 어떤 가치를 가지고 있는지 이해하고, 누군가 이 정보를 어떤 식으로 관리 및 활용하는지도 꼼꼼하게 파악할 필요가 있다.

글 : 토니 앤스콤(Tony Anscombe), ESET
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


수상한 사람이 지나가면 알려준다는 아마존 링, 작동 원리가 수상하다

iOS 에뮬레이터의 오픈소스화, 애플은 어떻게 대응할까?




사단법인 한국정보보호최고책임자협의회
서울시 마포구 마포대로 25 신한디엠빌딩 1302호 ㅣ TEL : 02-701-7037 ㅣ FAX : 715-8245 ㅣ Email : ciso@cisokorea.org
COPYRIGHTⓒCISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침