Home > 전체기사

정보의 보호와 활용, 유럽이 그 경계선 정해줄까?

  |  입력 : 2016-05-24 15:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유럽, 새로운 일반정보보호규정 앞세워 정보보호 활용 적정선 제시
아직 합의된 내용 없어...기업은 섣부른 전진보다 안정화 꾀해야


[보안뉴스 문가용] 보안과 정책은 공생관계에 있다. 아니, 있어야 한다. 그런데 많은 이들이 이를 잘 모르거나 간과하거나 잊어버리고 있다. 그래서 애플 대 FBI의 법적 공방이 벌어지고, 유럽의 데이터 보안 정책이 새롭게 등장할(많은 혼란과 함께) 예정에 있으며, 페이스북이 독일에서 독점금지 소송에 걸린 것이다. 그리고 이런 사건들은 또 다시 파장을 일으켜 업계 구석구석으로 퍼져간다.


그렇다면 보안과 정책의 올바른 ‘공생관계’란 정확이 무엇을 말하는 것인가? 정책은 조직이나 개인이 정보의 비밀성, 고유성, 온전성, 접근성을 지키기 위해 해야 할 의무가 무엇인지를 정해주는 것으로, 보안의 목적을 어떤 식으로 성취해야 하는지를 알려주는 역할을 한다. 한 마디로 정책은 보안의 가이드라인이라고 볼 수 있다.

업무 환경의 디지털화가 거의 완벽히 정착된 때, 보안을 회사 차원에서 전략적으로 수립 및 도입해야 함은 당연하다. 다만 이 ‘보안의 수립 및 도입’이라는 것이 말처럼 간단한 게 아니라는 게 문제다. 네트워크, 각각의 엔드포인트, 애플리케이션은 물론 업무 문화나 방법론까지도 모두 아울러야 하는데 이게 쉬울 리가 없다. 조직의 맨 위에 있는 CEO부터 맨 아래에 있는 신입 사원, 심지어 파트타임 근무자까지도 참여해야 한다. 그러니 일관성 있는 정책이 필요한 것이다.

보안은 더 이상 정보를 보호하는 행위에 국한되지 않는다. 정보는 물론 IP, 주요 기반시설도 보호해야 한다. 그래야 명성 유지는 물론 사용자의 신뢰도 놓치지 않을 수 있다. 한 통계에 의하면 사이버 범죄 때문에 세계 경제계가 매년 입는 피해가 4450억 달러에 달한다고 한다. 그리고 기업과 정부 조직들이 느끼는 위협감도 매우 높다고 한다. 그런데도 아직 갈 길이 멀다. 애플과 FBI의 법적 공방은 공식적으로 끝났을지 모르지만 데이터 프라이버시에 대한 문제는 여전히 해결되지 않고 남아 있다. 기술의 발전이 법의 그것보다 너무 빨라 조만간 법을 지키는 게 불가능한 상황이 발생할 것이라는 예측이 있을 정도다.

이런 때에 우리는 어떻게 해야 네트워크도 보호하고, (느리게 쫓아 오는) 법도 제대로 지키면서, 잠재적인 위험에 대한 대처법도 마련하고 위기 상황을 극복할 수 있을까? 게다가 이런 많은 임무를 수행한답시고 회사의 평상시 업무를 마비시키거나 느리게 할 수도 없다면? 유럽에 답이 있을 지도 모른다. 최근 유럽에서 정책과 기술의 간극을 줄이는 방법에 대한 논의가 이루어지고 있기 때문이다. 유럽의 새로운 데이터 보호 규정 이야기다.

이 새 데이터 보호 규정은 일반정보보호규정(General Data Protection Regulation, GDPR)이라고 불리며, 고객의 개인정보를 한 지역에서 다른 지역으로 옮길 때 어떤 ‘안전한 방식’을 취할 것인가를 ‘가이드’해주는 존재다. 유럽연합의 유일한 데이터 보호 정책인 GDPR은 유럽 전역에 일관적인 데이터 보호 관련 문화를 정착시킬 수도 있을 것이라는 기대감도 있다. 또한 데이터 보호 위반 시 벌금형도 내릴 수 있어, 유럽의 조직이라면 싫어도 지킬 수밖에 없는 상황이다. GDPR은 2018년에 발효될 예정으로, 아직도 검토 및 연구 대상이다.

GDPR을 검토해보면 유럽의 리더들은 페이스북이나 구글과 같은 기업들이 개인정보를 수집하는 것에 대해 큰 거부감을 가지고 있다는 걸 알 수 있다. 물론 기업의 크기는 상관이 없다. 이들에게 중요한 건 ‘개인정보를 수집하고 사용한다는 것’ 자체다. 특히 개인정보를 가지고 이윤을 남기는 것에 이들은 민감하다. 그래서 독일에서 페이스북이 독점과 관련된 소송에 걸린 것이다. 아직 끝나지 않은 사건으로 데이터의 프라이버시와 활용의 올바른 균형에 대한 논쟁이 계속해서 이어질 것으로 보인다.

※ 독일 정부는 페이스북이 소셜 네트워킹이라는 산업에서 가지는 막대한 영향력을 바탕으로 부당한 이득을 취하지 않았나 조사 중에 있는데, 여기에서 말하는 부당한 이득에는 가입자의 개인정보 활용 문제도 포함되어 있다. 고로, 어디서부터 어디까지가 ‘정보의 합당한 활용’인가, 하는 문제로 이어진다_편집자

그러나 논쟁은 논쟁이고, 결론이 날 때까지 실제 사업을 해야 하는 입장에선 ‘뭐 어쩌라는 거야?’라는 볼멘소리가 나오지 않을 수 없다. 그런 사람들을 위한 제안을 세 가지 마련했다.

1. 사이버 보안에 대한 접근은 보다 전략적이고 통합된 방법론을 취해야 한다. 그러므로 관련된 자들의 협업이 필수불가결의 요소다. IT 전문가와 보안 전문가, 사업 전문가, 정책 전문가들이 ‘함께 일한다’는 것이 무엇인지 알아가야 한다. 자기 고유 분야에 갇혀 한 우물만 깊게 파는 것은 더 이상 미덕이 되지 못한다. 보안은 점점 ‘통합의 가치’를 지녀가고 있다.

2. 조직들의 리더들은 스마트하고 안전하며 보안에 강한 조직을 만드는 데에 더 집중해야 한다. 신제품을 기획하고 경쟁자들과 차별되는 무언가를 생산적으로 꾀하는 것은 그 다음이다. 지금 당장은 그렇다. 일단 지금까지 이뤄온 것들을 단단하게 다지는 시간이 필요하다는 것이다. 단단한 기반 없이 앞으로 달려가기에 지금 환경은 너무 변화무쌍하고 위험하다.

3. 사람의 행동이 별다른 악의를 품지 않아도 위험할 수 있다는 걸 이해해야 한다. 즉 직원들의 행동에도 위험이 따른다는 걸 기업이 인지해야 한다는 것인데, 이는 아무리 강력한 기술과 정책을 들여와도 다 잡을 수가 없는 부분이다. 사람의 실수나 작은 허점을 노리는 공격 기법은 이미 해커들 사이에 널리 알려져 있고, 이는 새로운 데이터 보안에 대한 정책과 문화가 도입될 때마다 치명적으로 작용할 수 있다. 그렇다면 어떻게 해야 할까? 직원들이 어떤 방식으로 업무를 수행하는지 이해하고, 더 나아가 어떤 식으로 목표를 달성하는지 알아야 한다. 또한 도움을 구할 곳이 어디인지 미리 물색해서 비상시 금방 조치를 취할 수 있도록 하는 것도 중요하다.

지금 정보를 보호해야 한다는 컨센서스는 마련되어 있다. 문제가 되는 건 정보를 활용해야 한다는 부분이다. 더 정확히 말하자면 어느 선까지가 ‘활용’이고, 어느 선까지 ‘보호’인지 그 경계선에 대한 합의가 이루어지지 않고 있는 것이 문제라는 것이다. 그에 대해 유럽이 먼저 GDPR이라는 선을 제시했다. 정보보안의 중요한 플레이어인 미국은 이에 어떻게 응할 것인가? 세계는 이를 어떻게 받아들일 것인가? 아무 것도 정해지지 않은 때를 가장 안전하게 지나는 태도는 ‘진취성’보다 ‘안정성’이다.

글 : 앨런 우사스(Alan Usas)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)