개인정보 보호를 위한 GDPR 규제, 오히려 보안 취약점과 위협 가중

데이터 보호 법률회사인 파크 리갈(Park Legal)의 매니징 파트너 조안 안토콜 역시 기업 보안 및 IT 전문가들이 GDPR 규제 준수를 위해 엄청난 노력을 하고 있다고 말한다. 리갈은 "인 하우스 보안 팀들의 책임이 늘어나면서 지나치게 많은 업무량과 우려에 시달리는 이들도 많아졌다. 이처럼 신경 써야할 곳이 많아진 상황에서는 보안팀이 제대로 기능할 수 없다"고 말했다.

특히 지나치게 자세한, 혹은 복잡한 DPIA(Data Protection Impact Assessment)와 관련해 보안 및 IT팀에게 불필요한 업무가 부과되고 있다. DPIA에는 일반적인 기대치를 훨씬 넘어서는 어마어마한 분량의 정보가 필요하다. 안토콜의 고객사 중 하나는 500개 이상의 질문이 담긴 67페이지에 달하는 DPIA 템플릿을 만들기도 했다. 500가지 질문은 50개 이상의 DPIA를 수행하는 데 사용할 계획이었다.

안토콜은 "이토록 많은 질문을 담은 67페이지짜리 양식을 사용해 단 하나의 DPIA를 완성하는 것에도 어마어마한 시간이 소요된다. 규제 당국이 이런 비효율을 원했을 것이라고는 생각하지 않는다. 기업들은 이제 GDPR 규제와 규제 준수 가이드에 완전히 부합하면서도 합리적이고 실용적인 절차 및 수단을 채택할 필요가 있다"고 주장했다.

안토콜은 "규제 위반시 강력한 처벌을 받을 수 있다는 리스크 때문에 이런 압력이 발생하는 것"이라고 덧붙였다. 과거 재무 보고 규제를 실시하면서도 비슷한 현상이 있었다. 안토콜은 "사베인즈-옥슬리 법과 마찬가지로, GDPR 역시 규제를 위반하는 기업들에게 심각한 리스크를 초래할 수 있다. 게다가 불확실한 요소들도 꽤 된다"고 말했다.

물론 사베인즈-옥슬리 법 때에도 그러했듯 기관들이 새로운 규제에 익숙해지고 난 뒤에는 IT에 가해지는 압박은 줄어들었다. 기업들이 새로운 표준과 의무에 맞춰 관행을 수정, 조절하고 나면 GDPR 역시 사베인즈-옥슬리 법 때와 마찬가지로 안정을 찾을 것이다.

4. 데이터 유출 사고에 대한 대응 속도 감소
데이터 유출이 발생할 경우, 빠르게 문제를 파악하고, 피해 상황을 억제하며, 공격자를 차단하고, 다시 피해가 재발하지 않도록 조치를 취해야 한다. 그러나 특히 유럽에서는 GDPR 규정 위반에 대한 우려로 인해 이런 사고 대처 프로세스 자체가 작동하지 않게 된 사례가 많다.

바로우는 "피해 기업이 엔드포인트 프로텍션 툴을 배치해 재공격이 발생할 지를 확인해야 하는 상황을 예로 들었다. 바로우는 "아직까지 공격자가 그 안에 있다는 사실을 알고 있고, 최대한 신속하게 방어 툴을 배치하기 전까지는 이들을 완전하게 쫓아낼 수 없다는 사실도 알고 있다. 또한 동시에 이런 툴을 배치한다는 사실을 공격자가 모르도록, 신속하게 해야 한다. 그렇지 않으면 공격자는 당신이 찾을 수 없는 곳으로 다시금 숨어 버릴 것이다"고 말했다.

규모가 큰 기업의 경우 단시간 내에 새로운 툴을 배치해야 하는 엔드포인트가 수천 개는 될 것이다. 문제는, 이제 유럽에서는 단시간 내에 방어 툴을 배치하는 것이 불가능하다는 것이다. 이들 툴은 기본적으로 PII를 포함해 엔드포인트의 여러 가지 정보를 수집할 수 밖에 없다. 이들의 임무는 개인정보를 수집하는 것이 아니라 특정 기기에서 구동되는 파일과 서버를 살펴보는 것이다. 하지만 그 과정에서 일부 PII가 파생될 수도 있다.

유럽, 그 가운데서도 특히 독일 기업은 이제 이런 툴을 배치하기 위해 노동자 평의회 등으로부터 승인을 받아야 한다. 이를 위해서는 최소 30일에서 90일까지 시간이 걸린다.

바로우는 "데이터 유출에 대한 조사가 진행되는 도중에 보안 팀이 빠르게 조치를 취할 수 있도록 GDPR 규제 준수를 둘러싼 정책이 마련되어야 한다"며, "데이터 유출로부터 피해를 최소화하고, 다시 정상으로 빠르게 돌아가기 위해서는 기업 및 정부 기관에 어느 정도의 재량을 인정해야 한다"고 지적했다.

5. PII 보호 규정이 엄격한 국가, 사이버 범죄자들의 안전한 피난처
혹시 자사는 유럽에 있는 회사가 아니니 상관 없다고 생각한다면 그건 잘못 된 것이다. PII 보호에 대한 조항들을 엄격한 의미로 해석하면서 GDPR이 오히려 사이버 범죄자들에게 안전한 피난처를 제공하고 있다.

바로우는 "잠시 사이버 범죄자의 입장이 돼 생각해 보자. 명령 및 제어 서버를 어디에 둘 것 같은가, 인프라스트럭처는, 자신이 사이버 범죄자라면, 이것들을 독일에 둘 것 같지 않은가"라고 물었다. 독일이라면 설령 범인이 잡히고 나서도 피해 기업이 곧바로 이들을 차단할 수 없기 때문이다.

강도가 은행에 침입했다고 가정해 보자. 경찰이 출동해 보니 강도들이 금고 안을 탈탈 털고 있다. 그런데도 경찰은 그저 악수를 하며 '아, 만나서 반갑습니다. 아뇨, 선생님 이름은 알려주실 필요없습니다. 어차피 30~60일 뒤에야 체포하러 올 테니 이름은 그 때 알려 주십시오'라고 말하는 꼴이다. 그러면 강도들은 어떻게 할까, 아마 계속해서 은행에서 머물며, 충분히 시간을 들여 돈을 훔치고, 자신들의 흔적마저 싹 지운 뒤 유유히 사라질 것이다.

6. 사이버 범죄 집단, GDPR 규제 위반을 빌미로 신고할 것이라 협박
비록 이런 사례가 실제로 있었다는 확인을 CSO로부터 받지는 못했지만, 해커가 데이터 유출 사실을 신고하겠다고 위협해 돈을 뜯어낼 가능성은 충분하다고 전문가들은 지적한다.

기업 입장에서는 해커가 원하는 돈을 주던지, GDPR이 부과하는 막대한 벌금을 내던지 둘 가운데 하나를 선택해야 하는 입장이다. 심지어 꼭 데이터 유출 사건일 필요도 없다. 사이버 범죄자들의 입장에서는 해당 기업이나 조직이 GDPR 규제를 위반하고 있음을 증명하는 취약점 정도만 찾아 내도 이를 가지고 얼마든지 해당 기관을 위협할 수 있다.

안토콜은 "해커는 EU 규제 당국으로부터 데이터 보호 실태에 대한 조사를 받고, 벌금을 내고, 회사 이미지를 망칠 바에야 그냥 우리가 요구하는 돈을 내는게 더 쉬운 해결책이라고 기업을 설득할 수도 있다"고 말했다.

랜섬웨어와 같은 공격이 얼마나 성공적이었는지 생각해 본다면, 사이버 범죄자가 기업의 약점을 잡고도 남을 것이라는 점은 안 봐도 뻔하다. 기업은 이제 GDPR 규제 준수와 관련한 협박에 대해서도 대비해야 한다.

7. 내부 위협 발생시 조사 어려움
직원들의 컴퓨터나 전자기기에서 수상한 활동이 탐지될 경우, 이런 활동을 한 것이 해당 직원 본인인지, 아니면 그 직원의 계정 및 기기를 해킹한 제3의 인물인지를 알 필요가 있다. 그런데 유럽에서는 GDPR과 개인정보법 때문에 이에 대한 조사를 하기가 쉽지 않다.

내부 위협을 제대로 조사하기 위해서는 직원의 PII에 액세스해야만 한다. 바로우는 "일반적으로, 내부 위협의 전말을 조사하려면 여러 가지 정보를 열람해야 한다. 해당 직원의 이메일 계정, 배지 스와이프 데이터 등을 포함해서 말이다"고 말했다.

이런 데이터는 해당 직원의 유죄 여부를 금방 가려줄 수 있다. 그러나 이제 이런 것들이 개인 식별 정보에 포함되면서 이를 수집하기 위해서는 본인의 동의가 반드시 필요하게 되었다.

실제로 유럽의 한 정보통신업체에서는 이런 문제가 발생한 바 있다고 보도가 나온 적이 있다. 서드파티 보안 업체가 내부 위협의 증거를 발견해 기업 측에 이를 신고했다. 그런데 해당 기업의 노조에서 GDPR의 개인정보 보호 규정과 관련한 문언을 채택하는 바람에 사측은 데이터가 회사 소유 컴퓨터에 있었음에도 불구하고 이를 살펴볼 수 없게 되었다. editor@itworld.co.kr