[KISTI의 과학향기] 개인정보보호 혹은 사이버보안, 무엇이 더 중요한가?

[KISTI의 과학향기] 개인정보보호 혹은 사이버보안, 무엇이 더 중요한가?

 

개인정보보호 혹은 사이버보안, 무엇이 더 중요한가? 좋은 변호사라면 그 대답은 ‘모두(both)’ 중요하다일 것이다. 그러나 대부분의 사내 변호사들의 경우 그 대답은 한정된 재정 규모에서 얼마만큼의 가용한 예산이 있는가에 따라 달라진다. 규제준수 비용은 통상 기업이 당면할 수 있는 최대 위험에 맞추어진다. 따라서 유럽의 경우 유럽연합의 일반개인정보보호법(GDPR, General Data Protection Regulation)이 새롭고 무서운 규제 이슈로 부상함에 따라 데이터 프라이버시에 사이버보안보다 더 많은 예산을 투입하게 된다. 그러나 미국의 경우 사이버보안 수준이 낮아 사고가 발생할 경우 정부 규제, 집단소송, 주주 대표소송 등 벌칙이 훨씬 크고 높기 때문에 그 대답은 정 반대일 수 있다.

 

그렇다면 사이버보안 사고 혹은 개인정보 유출 등으로 인한 처벌이 미미하거나 아예 없는 전 세계 다른 국가들의 사정은 어떨까? 그러한 경우에 할당된 예산은 상당히 낮은 것으로 파악된다. 아시아 국가 전반에 걸쳐 매우 규모가 큰 기업 중 일부는 아예 정보보호전문관 혹은 데이터 보안 및 개인정보보호를 책임질 수 있는 인력을 지정하지 않았다. 예산이 없거나 매우 낮은 경우 해당 기업에서 이에 대한 인식은 낮을 수밖에 없다.

 

특히 해커들이 고도로 진화된 수법인 APT(Advanced Persistent Threats)를 이용하여 기업 네트워크에 침투, 정보를 탈취한 사례가 있다. 사이버보안 전문기업인 만디언트(Mandiant)社는 2015년 보고서를 통해 해커가 네트워크에 침입한 시간과 기업이 해킹 사실을 인지한 시간 사이의 차이가 205일인 것으로 발표했다. 아시아에서 해킹과 해킹된 사실을 인지한 시간의 차이는 520일인 것으로 나타났다. 이러한 측면에서 보자면, 아시아 지역에서 기술적으로 선도적인 기업들은 높은 기술적 우위 혹은 거래 기밀을 해커에게 쉽게 탈취당할 수 있는 위험에 처해있다고 할 수 있다.

 

기업들은 이 이슈를 좀 더 넓게 거래 기밀 정보 측면에서 바라볼 필요가 있다. 보호하고 하는 데이터의 종류를 모두 생각해보자. 예를 들어 종업원 목록, 마케팅 계획, 지적재산권, 인수합병 전략, 소비자 개인정보, 빅데이터 분석 정보 등이 있을 수 있고 이를 보호하기 위한 단계별 대책이 필요하다. 개인정보의 유출로 인한 처벌이 동일하게 이루어지지 않을 수 있지만, 모든 기업들은 자신들의 경쟁사로부터 경쟁우위를 지키고자 한다.

 

특히 이러한 분석을 보다 일찍 하는 것이 필요하다. 왜냐하면 대부분 국가에서는 기업들이 관련 법률에 따라 산업 기밀정보를 보호하는데 필요한 합당한 조치를 보여주도록 하고 있기 때문이다.

 

조직이 어떠한 부문에 투자를 우선할지 결정해도 개인정보보호 또는 사이버보안을 위한 프로그램은 기본적으로 아래와 같이 동일하다고 할 수 있다.

 

o 가지고 있거나 수집할 의도가 있는 데이터의 매핑

 

o 해당 데이터에 어떠한 법률이 적용되는지 판단하고 결정

 

o 해당 데이터를 보호하기 위해 어떠한 보안조치를 취하고 있는지 식별

 

o 어떠한 문제가 해결되어야 하는지 차이점 분석 준비

 

o 차이점을 메꾸기 위한 조치 단계 이행

 

o 컴플라이언스 준수를 위한 테스트 실행

 

조직이 소유한 데이터에 어떠한 법률이 적용되는지 식별하는 것은 특히 중요하다. 예를 들어 유럽연합과 미국, 중국, 일본 등에 적용되는 법률은 표준과 준수해야 할 주안점이 조금씩 차이가 있다.

 

예를 들어 데이터 유출사고가 발생할 경우 개인에게 통지하고 관련 규제기관에 신고해야 하는 조건이 다르다. 미국에서는 신고해야 하는 유출사고는 데이터의 습득이 필요하지만, 유럽연합의 경우 단순히 데이터에 접근할 수 있는 것만으로도 대부분 72시간 내 침해사고 신고를 해야 한다.

 

중국에서는 네트워크 제품과 서비스에서 단순히 보안 결합이나 취약점을 발견해도 이러한 사실을 정부와 네트워크 이용자들에게 통지해야 한다. 일본에서는 침해사고가 발생하는 경우 통지하려는 “노력을 기울이기(make an effort)”만 하면 된다. 다른 많은 국가들은 현재 정보침해 사고 통지 및 신고와 관련된 법률을 제정했거나 제정 중이다.

 

기업들은 데이터 침해사고가 발생할 경우 어떠한 법률이 적용되는지 확인하고 대비해야 한다. 데이터 침해사고 이슈는 기업들이 대응하기에 상당히 어렵고 지난한 일이 될 수 있다. 데이터 침해사고 상황에서 어떠한 규제준수 사항이 있는지 사전에 파악하고 이에 대한 예상 대응 시나리오와 계획을 만들어 대비하는 것이 필요하다. 아울러 사고대응계획이 만들어지면, 조직에서는 이에 대한 도상 사고대응훈련을 실시해야 한다.

 

마지막으로, 데이터 프라이버시 혹은 사이버보안 중 어느 것이 더 중요한가는 그다지 큰 이슈가 아니다. 데이터 프라이버시와 사이버보안은 동전의 양면과도 같은 것으로서, 데이터 프라이버시 수준이 낮으면 그것은 낮은 사이버보안 수준을 의미하는 것이고, 그 반대의 경우도 마찬가지이다. 조직은 자신이 관리하고 처리하는 데이터의 종류를 파악하고, 해당 데이터의 보안필요 사항을 결정하여 적절한 보안대책을 마련하고 이를 이행하는 것이 필요하다.

 

<출처=KISTI의 과학향기>

 

URL: http://scent.ndsl.kr/site/main/archive/article/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8-%ED%98%B9%EC%9D%80-%EC%82%AC%EC%9D%B4%EB%B2%84%EB%B3%B4%EC%95%88-%EB%AC%B4%EC%97%87%EC%9D%B4-%EB%8D%94-%EC%A4%91%EC%9A%94%ED%95%9C%EA%B0%80?cp=1&pageSize=10&sortDirection=DESC&listType=list&catId=12&artClass=200