보안

오바마 미 대통령의 사이버보안 강화 대책 제안에 대한 보안전문가들의 소견

Thor Olavsrud | CIO 2015.01.15
미국 대통령의 사이버보안 강화 대책 제안에 대해 현지 보안 전문가들은 어떻게 생각할까.

정보 보안 전문가들은 1월 12일, 버락 오바마 미국 대통령이 사이버보안을 강조하고 나선 것을 높이 평가했다. 그러나 대통령이 제안한 법을 제정해 집행하는 방법에 우려를 표시하거나, 대통령의 제안에 충분한 깊이가 없다고 지적하는 사람들도 있다.

오바마 대통령은 1937년 프랭클린 루스벨트(Franklin Delano Roosevelt)의 방문 이후 대통령으로는 처음 FTC(Federal Trade Commission)를 방문해 가진 연설에서 데이터 침해 사고가 발생했을 경우, 기업이 30일 이내에 소비자에게 개인 정보 침해 사실을 의무적으로 통보하도록 규제하는 법안을 제안했다.

이 법안은 법 집행기관들이 해외를 포함, 개인 정보를 훔친 범죄자들을 더 효과적으로 추적해 법 집행을 하도록 도움을 줄 전망이다.

오바마 대통령은 "인터넷에 연결되어 있다면 당연히 보호를 받아야 한다. 온라인에 연결되어 있다는 이유로 기본적인 프라이버시가 침해받는 일이 있어서는 안 된다"고 강조했다.

오바마 대통령은 소비자 프라이버시법(Consumer Privacy Bill of Rights, CPBR)을 재도입하고, 교육 소프트웨어 개발업체가 학생들로부터 수집한 데이터를 마케팅 목적에서 사용하지 못하도록 금지하는 새 법안을 제정하겠다고 말했다.

오바마 대통령은 "학생들에 대해 교실에서 수집한 데이터는 교육 목적에서만 사용해야 한다. 즉 아이들을 가르치는데 사용해야지, 아이들을 대상으로 한 마케팅에 사용해서는 안 된다"고 말했다.

오바마는 다음 주 국정연설(State of the Union)에서 이 제안을 더 상세히 설명할 예정이다.

정보 보안 전문가들은 미국 대통령이 보안 문제에 초점을 맞춘 것을 환영했다.
데이터 손실 예방 전문 업체인 디지털 가디언(Digital Guardian) 대표인 켄 레빈은 "사이버 보안 문제에 이 정도 수준의 관심과 검토가 모아진 것이 긍정적이라고 생각한다. 관련 업계가 힘을 합해 중요한 정보를 교환하는 것이 올바른 방향으로 나아갈 수 있는 방법이다. 그리고 소비자 정보를 보호해야 함을 인식하는 것이 올바른 방향이다"고 평가했다.

엄격한 통지 기간이 초래할 수 있는 위험
프라이버시, 데이터 보호, 정보 보안 정책 분야의 전문 조사 기관인 포네몬 인스티튜트(Ponemon Institute)를 설립자이자 회장인 래리 포네몬은 "미 연방 정부가 주 법에 우선할 수 있는 법을 추진한다는 것은 좋은 소식이다. 특히 일정 기간 이내에 데이터 침해 피해자에게 이 사실을 알리도록 의무화하는 법안은 중요하다. 기업들은 규제 내용이 다른 46~47개의 주 법에 대처하느라 어려움을 겪고 있었다. 이런 점에서, 피해 사실 통지와 관련해 하나의 규칙이 마련된다는 것은 긍정적이다"고 말했다.

그러나 30일이라는 엄격한 통지 기간을 강제적으로 의무화하는 것에는 우려를 표시했다. 포네몬 인스티튜트는 지난 9년간 데이터 침해로 발생하는 비용에 대한 연례 조사 보고서를 발표해왔다. 보고서에 따르면, 빠른 통지는 기록당 평균 7달러의 데이터 침해 비용을 발생시킬 수 있다.

포네몬은 "보고와 통지를 서두르면 비용이 발생한다는 부정적인 측면이 있다. 데이터 도난 또는 유출 사고를 통보받았는데, 이후에 실수로 인한 잘못된 통지였음을 알게 된 소비자는 아주 크게 화를 낼 것이다"고 말했다.

포네몬은 데이터 침해 사고가 발생했을 때, 기업의 수익에 가장 큰 피해를 초래하는 것은 고객 로열티(충성도)의 상실이라고 말했다. 데이터 침해 사고를 당한 기업은 통상 브랜드 평판을 회복하고, 새 고객을 유치하기 위해 많은 투자를 해야 한다.

특히 제약 업종, 금융 서비스업, 헬스케어(의료 관련) 업종에서는 최악의 고객 이탈 사태가 발생하는 경우가 많다.

물론 기업은 데이터 침해 사고가 발생했을 때, 피해자에게 그 사실을 통보해야 한다. 그러나 이를 지나치게 서두를 경우 실제로 피해를 입지 않은 고객에게도 데이터가 침해됐다고 통지할 확률이 올라간다. 포네몬은 "이렇듯 지나칠 경우 문제가 된다"고 말했다.

데이터 침해로 인한 피해 규모를 부풀려 발표하기로 결정한 기업들이 많다. 이는 나쁜 전략이다. 소비자들을 불필요한 걱정까지 하게 만들어 많은 사람들이 해당 기업에서 이탈하거나 관계를 끊는다. 자신의 개인정보를 책임지고 맡길 수 있는 기업이라는 신뢰가 사라지기 때문이다.

또한 포네몬은 데이터 침해 사고를 파악한 이후, 이런 데이터 도난이나 유출이 사이버 범죄로 인한 결과인지 조사하기란 쉽지 않아, 조사 기간 또한 몇 달, 심지어는 1년 가까이 소요될 수 있다고 지적했다.

포네몬은 "많은 사례에서 30일이 적절한 기간이 될 수 있다. 그러나 조기 통지가 조사를 방해할 경우, 조금 더 시간을 주는 등 융통성있는 법안을 마련할 필요가 있다. 고객 통지는 범죄자들에게 의도를 드러내 보이는 것이기 때문이다"고 설명했다.

디지털 가디언의 레빈은 30일이라는 기간을 어느 정도 긍정적으로 평가했다. 레빈은 "30일이라는 기간에 조사를 마치기 어려운 경우가 있다. 그러나 서둘러 통지를 할 필요가 있다고 본다. 더 나은 데이터 보안을 구현하는 것이 중요함을 보여주는 것이다"고 말했다.

포네몬은 또 "프라이버시를 사회적 우선순위로 격상시키는 것은 무조건 좋은 일"이라며 CPBR을 높이 평가했다.

근접했지만 충분하지는 않은 제안
1월 9일 미국 정부에 사이버보안 강화 대책을 제안한 산업 단체인 ISA(Internet Security Alliance) 대표 래리 클린턴은 "정부가 정보 공유 및 교환을 유도하는 체계를 강화하고, 20세기 산업화 시대 모델을 벗어나지 못한 정보 공유 구조를 검토할 계획을 갖고 있다는 점을 반긴다"고 말했다.

클린턴은 현재 정보 공유 구조의 중요 문제점 가운데 하나는 중소기업에는 실제 도움이 되는 정보를 전달하지 못하는 것이라고 지적했다. 클린턴은 IAS가 규모의 경제를 발판삼아 훨씬 쉽고 용이하게 중소기업들을 사이버 공격으로부터 보호하는 '크로스 섹터(부문이 교차되는) 대안적인 모델을 제시했다고 언급했다.

클린턴은 미국 정부가 법 집행기관들이 훨씬 쉽게 사이버범죄를 방지하도록 만드는 제안에 감명을 받았지만, 정부가 피해자를 비난하는데 지나치게 많은 시간과 노력을 쓰고 있다고 비판했다.

클린턴은 "행정부, 더 나아가 의회가 사이버범죄에 새롭게 초점을 맞춘 것을 환영한다. 핵심 인프라를 사이버 공격으로부터 보호하는 것은 아주 중요하다. 그러나 사이버 공격의 95%는 본질적으로 경제 논리와 관련이 있다(대부분 도난). 그리고 우리는 2% 미만의 사이버범죄만 처벌을 하고 있다. 정책 입안자들은 사이버 공격의 피해자들을 비난하는데 지나치게 많은 시간을 쏟고 있다. 그러나 법 집행 기관들이 범죄자를 쫓는 데는 이만큼의 권한과 자원을 투자하지 않는다"고 주장했다.

클린턴은 대통령의 이번 제안이 중요한 첫 걸음이 되겠지만, 이것만으로는 불충분하다고 말했다.

이번 발표는 긍정적이지만 충분하지는 않다. 모바일 기기와 사물인터넷(IoT)이 폭증하면서 본질적으로 취약한 사이버 보안이 더 취약해지고 있다.

게다가 사이버 공격은 더욱 진화하고 있다. 불과 몇 년 전만 하더라도 국가에서나 사용하던 공격 기법을 지금은 일반 범죄자들도 사용하고 있다.

클린턴은 "게다가 사이버보안의 경제학이 악당들에게 유리하게 되어 있다. 쉽고 저렴한 비용으로 큰 이익을 추구할 수 있다. 반면 범죄 예방이나 방어는 어렵다. 범죄자와 법 집행 기간의 세대가 다르다. 정보 공유 체계를 강화하는 것은 긍정적이다. 그러나 이것만으로 급증하는 사이버보안 문제를 해결할 수 있다고 생각하는 사람은 없다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.