Home > 전체기사
[주말판] 미국 법안의 흐름으로 보는 정보 보안의 큰 물결
  |  입력 : 2019-01-05 14:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년 등장하거나 통과된 다양한 보안 관련 법안들
GDPR 이후 생긴 ‘미국형 GPDR’부터 인권 단체의 발반 이끈 법까지


[보안뉴스 문가용 기자] 이번 주 베트남에서는 논란의 법안이 통과되며 사실상 전체주의로 가기 위한 절차가 하나 완성됐다. 베트남 정부는 인터넷 회사들을 통하여 온라인 콘텐츠를 마음대로 삭제할 수 있게 되었으며, 사용자들은 반정부적인 내용이 담긴 콘텐츠를 생성할 수 없게 되었다. 베트남 정부는 이게 다 국가의 안전을 위한 것이라고 주장했는데 보안의 이름으로 엄청난 일이 자행된 것이다.

[이미지 = iclickart]


게다가 작년은 GDPR이라는, 역사에 굵직한 획을 그을 정책이 유럽연합에서 시행되기 시작하기도 했다. 많은 전문가들이 그 영향으로 올해는 각종 보안 관련 법안들이 생겨날 것이라고 예측한 가운데, 지난 해 미국에서 등장한 법안 혹은 시행되기 시작한 법들이 무엇인지 정리해보았다. 순서는 무작위다.

1. 캘리포니아 사생활법(California Privacy Act)
캘리포니아의 주 정부의회(California State Assembly)가 통과시킨 것으로 정식 명칭은 ‘캘리포니아 소비자 프라이버시 법 2018(California Consumer Privacy Act of 2018)’이다. 많은 전문가들이 이 법을 두고 ‘미국형 GDPR’이라고 부르기도 했다. 시행되는 것은 2020년부터이며, 미국에서는 소비자의 사생활 보호에 있어 가장 엄격하고 까다로운 내용을 담고 있다.

국제프라이버시전문가협회(International Association of Privacy Professionals)의 최고 지식 책임자인 오머 텐느(Omer Tene)는 “GDPR이 시행되기 시작한 것도 그렇고, 미국에서 가장 엄격한 프라이버시 보호법이 등장한 것을 봐도 현재 전 세계 정책 입안자들 사이에서 프라이버시를 보호하는 게 가장 중요한 사안인 것을 알 수 있다”고 말한다. “산업 내 종사자들은 이런 흐름에 적응해야 할 것입니다.”

최근 애플의 CEO인 팀 쿡(Tim Cook)은 최근 “프라이버시를 보호하기 위해 마련된 미국의 연방 법과 정책을 100% 지지한다”고 발표하기도 했다. 왜냐하면 일부 기술 기업들 사이에서 “프라이버시 정책에 얽매이기 시작하면 기술의 잠재력을 온전히 끌어낼 수 없다”는 주장이 나오기 시작했기 때문이다. 쿡은 이러한 주장을 “잘못된 것을 넘어 파괴적인 것”이라고 일축하며 “오히려 사용자들이 기술의 가능성을 신뢰하고 믿어주지 않을 때 기술의 진정한 잠재력을 발휘하지 못하게 된다”고 말했다. “보안이 이러한 신뢰 구축에 있어서 반드시 중요한 역할을 해야 합니다.”

2. 국가 침해 통보법(National Breach Notification Law)
미국 하원의 금융서비스위원회(House Financial Services Committee)가 제출한 법안으로 기존의 금융서비스현대화법 혹은 그램리치블라일리법(Gramm-Leach-Bliley Act, GLBA)을 개정하는 것을 목적으로 하고 있다. 기존의 법에 침해 사고 발생 시 반드시 그러한 사실을 알려야 한다는 내용을 덧붙인다는 내용이다. 물론 금융 산업 내에 있는 조직들에만 적용되는 내용이다.

이 법안을 제출한 공화당 하원 의원인 블레인 룻크메이어(Blaine Luetkemeyer)는 “소비자 데이터를 처리하는 산업 내 방식에 있어서 체질 개선이 필요한 상황이며, 이 개정안을 통하여 중요한 첫 걸음을 뗄 수 있을 것”이라고 발표했다. “하지만 관련된 모든 사람들의 협조가 필요한 상황입니다. 대형 유출 사고는 앞으로도 반드시 일어날 것이며, 그에 대한 명확한 대처법을 갖추지 못하고 있다면 우리 사회는 그 대가를 단단히 치르게 될 것입니다.”

3. 정보 프라이버시 : 커넥티드 장비법(Information Privacy: Connected Devices Act)
캘리포니아 사물인터넷법(California IoT Law)이라고도 알려져 있는 것으로, 보안 기능이 거의 전무한 채로 생산되는 장비들을 막기 위한 내용을 담고 있다. 캘리포니아 주 내에서 사물인터넷 장비를 생산하는 자들이나, 주 바깥에 있는 생산자들을 대행하여 장비 생산을 도맡은 자들 모두에게 적용된다. 하지만 재판매를 위해 구매한 장비는 포함되지 않는다. 일부 법 전문가들 사이에서는 이 사물인터넷법이 “많은 부분에서 모호하며, 실제 시행이 되고나면 많은 소요를 일으킬 것으로 예상된다”고 말한다. 보안 업체 펄스 시큐어(Pulse Secure)의 수다카 라마크리슈나(Sudhakar Ramakrishna) CEO는 “심지어 실제적인 효과를 발휘할 수 있을지도 의문”이라고 분석하기도 한다.

4. 선거보호법(Secure Elections Act)
2017년 12월, 제임스 랭크포드(James Lankford) 의원이 마련한 법안으로, 미국투표선거보호법(Protecting American Votes and Elections Act)과 여러 면에서 닮았다. 종이를 사용하지 않는 투표 기계를 전부 없애고 종이 투표로 대체해야 한다는 것과 선거 후 감사가 주별로 실시되어야 한다는 내용을 담고 있다. 백악관은 이 법안의 내용을 제대로 적용하려면 국토안보부에 더 높은 권한을 주어야 한다고 덧붙였고, 법안 자체는 규정집행위원회로 제출됐다. 하지만 거기서부터 아무런 소식이 없다.

5. 사이버 보안 및 사회 기반 시설 보안 기관법(Cybersecurity and Infrastructure Security Agency Act)
지난 11월 트럼프 대통령이 서명했다. 국토안보부 산하의 국가보호프로그램운영위(National Protection and Programs Directorate)를 사이버 보안 및 사회 기반 시설 보안 기관(Cybersecurity and Infrastructure Security Agency, CISA)으로 변경한다는 내용을 담고 있는 법이었다. 이는 2002년도의 국토안보법(Homeland Security Act)을 개정한 것이기도 하다.

의회가 발표한 법안 요약문에 의하면 CISA는 국가 사이버 보안 및 사회 기반 시설 보안 국장이 총지휘하며, 미국 내 사이버 보안, 긴급 대응 통신, 주요 사회 인프라에 대한 보호는 물론 보안 강화를 위한 전 국가적인 노력을 일원화시키는 역할을 담당하게 된다. 그러므로 기존의 국가보호프로그램운영위는 사이버 보안 부서, 사회 기반 시설 보안 부서, 긴급 통신 부서 등으로 개편될 것으로 보인다.

6. NIST 소규모 사업자 사이버 보안법(NIST Small Business Cybersecurity Act)
2017년 4월 처음 법안의 형태로 제출됐고 2018년에 정식 법으로 통과된 법안이다. 법이 통과된 시점으로부터 1년 안에 NIST가 중소기업의 사이버 보안 강화를 위한 가이드라인을 만들어 배포해야 한다는 내용을 담고 있다. ‘보안 강화’라는 걸 보다 구체적으로 말하자면 중소기업이 사이버 보안 위협 요소들을 1) 파악 및 식별하고, 2) 평가하며, 3) 완화시키는 걸 말한다. 게다가 방법만을 제시하는 게 아니라 NIST의 제안을 실제로 도입하려고 했을 때 생길 수 있는 문제점들도 도출하라는 임무가 NIST에 떨어지기도 했다. 즉, 중소기업의 보안을 실질적으로 강화하라는 게 올 한 해 NIST에 주어진 임무다. 중소기업 근무자들의 보안 인식제고와 서드파티 강화 역시 NIST가 다루어야 할 부분이다.

7. 암호화법(ENCRYPT Act)
공화당과 민주당 의원들 일부가 손을 잡고 제출한 법안으로, 가장 우선시 될 수 있는 국가적 암호화 표준을 정립하자는 내용을 담고 있다. 즉 개개인별, 기업별, 주별로 적용하는 다양한 암호화 기술 관련 표준의 상위 개념을 국가 차원에서 만들어내자는 것이다. 여기에 참여한 의원들은 테드 리우(Ted W. Lieu), 마이크 비숍(Mike Bishop), 수잔 델벤(Suzan DelBene), 짐 조던(Jim Jordan)이다.

법안의 이름인 Encrypt는 단어 자체로 암호화라는 뜻을 담고 있기도 하지만, Ensuring National Constitutional Rights for Your Private Telecommunications의 머리글자만 딴 준말이기도 하다. ‘사적 원거리 통신에 관한 국가 헌법적 권리 보장’의 준말이다. 아직 통과되지는 않고 있는데, 시행까지 이뤄진다면 암호화 기술에 관한 여러 가지 불일치 문제가 어느 정도 해결될 것으로 보인다.

리우와 비숍 의원은 “컴퓨터 과학 전공자로서, 50개 주가 50개의 필수 암호화 표준을 각기 표방한다는 건 보안에도 도움이 되지 않을뿐더러 소비자와 기술적 혁신, 사법 행위에도 방햇거리만 될 뿐”이라고 주장했다.

8. 클라우드법(CLOUD Act)
클라우드법 역시 위 암호화법처럼 머리글자를 따서 만든 이름이다. 즉 CLOUD가 Clarifying Lawful Overseas Use of Data의 준말이라는 것이다. 이는 ‘해외에서의 데이터 사용에 있어서 합법성 확인’ 정도로 해석이 가능한데, 물리적인 국경선 너머에 있는 데이터를 사법기관이 접근하는 데 있어 합법적인 절차를 마련하기 위한 것이라고 볼 수 있다.

그래서 인권 단체들이 들고 일어섰다. 인권 보호의 개념을 담고 있는 수정헌법 제4조를 우회하기 위한 방법일 뿐이며, 여러 인권 운동가들의 생명과 신변을 위태롭게 만들 것이라고 주장했다. 결국 정부 기관이 해외 서버에 있는 이메일, 채팅 로그, 영상, 사진 등의 데이터에 프라이버시 보호법을 위반하지 않은 상태에서 접근하기 위해 마련하는 백도어라고 불리기도 했다. 이런 주장을 가장 강력하게 내세운 건 전자프런티어재단(EFF)이다.

“클라우드법은 FISA 개정법(FISA Amendments Act)의 702조와 같은 방식으로 작용할 가능성이 높습니다.(이는 아래에 좀 더 설명된다.) 경찰이 비밀 통신 내용을 영장 없이 검색, 수집, 공유할 수 있도록 해준 게 바로 이 702조죠. 현재 미국 내에서는 경찰이 수정헌법을 무시한 채 국민들의 데이터를 수집할 수 있는 게 현실인데, 이것이 국경 너머로까지 확장되려는가 봅니다.”

9. 러시아 제재법(Russian Sactions Legislation)
2016년 미국 대선에 개입한 러시아에 대한 분노를 숨기지 않겠다며 마련된 법안이다. 러시아의 푸틴 대통령이 미국 선거 시스템은 물론 각종 사회 기반 시설에 대한 사이버 공격을 멈출 때까지 강력한 제재 등의 조치를 취해야 한다는 내용을 담고 있다. 또한 법안에는 미국이 NATO를 전적으로 지원하며, 여기서 탈퇴하려면 회원국 2/3 이상이 찬성해야 한다는 것도 다시 한 번 명시하고 있다.

이 법안에 의하면 러시아가 미국의 선거에 개입하면, 미국은 러시아인이 미국으로 들어오는 것을 거부할 수 있게 된다. 이 법안에는 국제사이버범죄방지법(International Cybercrime Prevention Act)도 포함되어 있다. 이에 의거해 사법기관이 다양한 활동과 목적을 위해 만들어진 봇넷과 디지털 인프라를 폐쇄시킬 수 있게 된다. 투표시스템무결점방어법(Defending the Integrity of Voting Systems Act)은 사법부가 연방 선거에 사용되는 투표 시스템 공격자를 추적해 연방 단위의 혐의를 씌울 수 있다는 내용을 담고 있다.

10. FISA 개정권한법(FISA Amendments Authorization Act)
영장 없이도 사법 기관과 수사 기관이 데이터에 접근할 수 있게 해주는 외국첩보감시법(FISA)의 702조는 꾸준한 논란의 대상이 되어 왔다. 하지만 논란에도 불구하고 상원은 65:34로 이를 6년 동안 연장시키는 것에 찬성했고, 대통령은 1월에 서명했다. 이에 많은 이들이 실망감을 표하고, 보안 업계와 인권 단체들의 반발이 거세게 일었지만, 지금은 조용해진 상태다. 이와 관련된 당시 뉴스는 여기(https://www.boannews.com/media/view.asp?idx=65723&kind=1)서 접할 수 있다.

11. 사이버외교법(Cyber Diplomacy Act)
미국 하원에서는 통과된 법안이다. 공화당과 민주당 의원들 일부가 힘을 합해 마련하고 2017년 9월 제출한 것으로, 현재 상원에 걸려 있다. 통과되어 시행까지 이뤄진다면 미국 정부는 사이버 공간에서 이뤄지는 다른 나라의 올바른 행동을 확인하고 보장하기 위한 조치를 반드시 취해야 한다. 사이버 범죄 행위를 서로 협조해서 막고, 행위자들을 체포하기 위한 조약을 맺는 것, 정보 통신 기술을 사용한 의도적 불법 행위의 범위를 규정하고 이를 지키기 위한 방법을 상호협조 아래 개발하는 것 등의 노력을 가리킨다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제