보안

인도 시장 철수 선언하는 VPN 서비스…고객 정보 저장 지시에 반발

Varun Aggarwal | Computerworld 2022.06.09
VPN 서비스 업체 서프샤크(SurfShark)는 이번 주 인도 시장에서 자사 서버를 철수한다. 암호화된 웹 트래픽을 규제하려는 인도 정부의 시도에 대응한 것이다.
 
ⓒ Getty Images Bank

인도의 최고 사이버 보안 기구인 Cert-In(Indian Computer Emergency Response Team)의 새로운 규제는 VPN과 VPS(Virtual Private Server), 클라우드 서비스 업체에 고객 정보를 5년 동안 저장할 것을 요구한다. 저장해야 하는 고객 정보는 고객 이름부터 이메일 주소, IP 주소, 고객 확인 정보, 금융 거래 정보까지 포괄적이다.

8일 서프샤크는 “데이터 규제에 대응해 인도에서 서버 운영을 중단한다”라는 제목의 성명을 발표했다. 서프샤크는 자사가 엄격한 ‘노 로그(No Log)’ 정책 아래 자부심을 가지고 서비스를 운영하고 있기 때문에 새로운 요구사항은 기업의 핵심 가치에 반한다”라고 강조했다.

서프샤크 외에도 이미 많은 VPN 서비스 업체가 인도 시장에서 서비스 중단을 결정했다. 익스프레스VPN 역시 지난 주 같은 결정을 내렸고, 노드VPN은 규제안이 철회되지 않으면 물리 서버를 제거할 것이라고 경고했다.

전 세계 모든 기업과 마찬가지로 인도 기업 역시 코로나19 팬데믹으로 확대된 재택 근무 등을 지원하기 위해 VPN 의존도가 높아졌다. VPN 도입으로 직원들은 원격에서도 민감한 데이터에 액세스할 수 있게 됐으며, 일부 기업은 한 단계 더 나아가 제로 트러스트 네트워크 액세스나 스마트 DNS 솔루션 같은 보안 기술도 도입하기 시작했다.

아틀라스 VPN의 보고서에 따르면, 인도의 VPN 도입률은 2020년 3%에서 2021년 상반기 25%로 증가했다. 설치 기반이 3억 4,870만 건으로 증가했는데, 증가율로는 무려 671%이다.

법률회사 수가단 앤 어쏘시에이츠의 파트너 프라산스 수가단은 “이번 규제로 인도 기업은 상당한 피해를 볼 것이다. 코로나19 팬데믹 이후 일반화된 원격 근무 직원을 제대로 지원하기 어렵기 때문이다”라고 지적했다. 

Cert-In은 4월 28일 발표한 공식 지시사항을 통해 사이버 보안 침해는 발견 6시간 내에 공개하도록 했다. 사실 8쪽짜리 행정 지시에는 혼란스러운 내용이 많았고, Cert-In는 28쪽짜리 FAQ를 추가로 발표했다. 수가단은 “행정 지시가 포괄적이고 사용한 단어 때문에 어떻게 적용될지 분명하지 않다. 정부가 긴 FAQ를 함께 발표했다는 것만으로도 이번 규제의 복잡성을 알 수 있다”고 말했다.

서프샤크의 데이터에 따르면, 2004년 이후 인도 사용자의 계정 중 2억 5,490만 개가 침해됐다. 이 숫자를 계산하면, 인도 사용자 100명 중 18명은 개인 정보가 침해된 셈이다. 서프샤크는 “수백만 인도 사용자의 프라이버시에 큰 영향을 미칠 수 있는 과격한 조처를 한다면, 역효과가 날 가능성이 크고 관련 시장의 성장에도 큰 피해를 줄 것이다. 결국 견실한 보호 장치없는 사법기관의 과도한 데이터 수집은 오히려 데이터 침해를 부추길 수 있다”고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.