Home > 전체기사
GDPR 시행 1년 넘었지만 유럽 웹사이트들 아직도 수준 이하
  |  입력 : 2019-05-31 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
유럽연합 회원국의 인기 사이트 전수 조사했더니 “아직 갈 길 멀다”
무섭다던 벌금형, 아직 내려지지 않은 것과 마찬가지...다음 1년은 더 엄격?


[보안뉴스 문가용 기자] GDPR 시행 1주년을 기념하여 웹 스캐닝을 전문으로 하는 보안 업체 이뮤니웹(ImmuniWeb)이 유럽연합의 회원국 각각에서 가장 인기가 높은 웹사이트 100개씩을 선정해 GDPR 준수의 측면에서 분석했다. 그 결과 GDPR을 준수하는 게 정말로 어려운 것임을 알 수 있었다고 한다. 이뮤니웹은 이 사이트들의 깊숙한 부분까지 조사한 게 아니라, 인터넷을 통해 합법적으로 공개되어 눈에 보이는 표면만을 분석했다고 한다.

[이미지 = iclickart]


웹사이트의 GDPR 컴플라이언스에서 “눈에 보이는 부분”이란 무엇을 말하는 것일까? 이뮤니웹은 네 가지 요소를 다음과 같이 꼽았다.
1) 프라이버시 관련 정책
2) 쿠키 활용 현황
3) 콘텐츠 관리 시스템의 업데이트 현황
4) HTTPS 암호화 사용 여부(혹은 SSLv3)

이 네 가지 요소를 점검했을 때 국가별로 정말 큰 차이가 나타났다. 대체적으로 성적이 좋지 않았다. 다만 웹사이트 보안과 HTTPS를 활용하는 점에서는 각각 94%와 95%를 기록하는 등 꽤나 긍정적인 결과가 나왔다고 한다. “웹사이트 보안의 측면에서는 그리스가 최악의 성적을 기록했습니다. HTTPS 도입 비율 부문에서는 몰타가 최하위를 차지했고요.”

HTTPS 도입이 거의 전부 이뤄진 나라는 독일과 영국이었다. 인구가 많은 국가이고 따라서 사이트가 많은 곳이었는데도 이런 성적을 보인 건 대단히 긍정적이라고 이뮤니웹은 설명했다. 프랑스는 90%의 도입 비율을 보였는데, 앞으로 더 향상되어야 할 부분이 분명 있지만 지금도 그리 나쁘다고만은 할 수 없는 것이라고 한다.

대신 프랑스는 독일과 영국, 오스트리아와 룩셈부르크, 몰타보다 뛰어난 부분이 있었다. 바로 쿠키 보호였다. 이번 조사를 통해 유럽이 전체적으로 쿠키 보호에 있어 성적이 저조한 것으로 나타나기도 했다. “이번 조사에서 가장 나쁜 성적을 기록했고, 따라서 앞으로 크게 향상되어야만 하는 부분이 바로 이 쿠키 보호였습니다. 평균 실패 비율이 78.25%나 되었거든요.”

프라이버시 정책 부문도 그리 뛰어나지 않기는 마찬가지였다. 쿠키보다 조금 나은 정도였다. 만점을 받은 곳은 오스트리아와 아일랜드였고, 핀란드가 최악이었다. 영국은 그래도 잘 하는 편에 속하지만 아직 83점 정도였고, 프랑스가 60점, 독일이 50점을 받았다. 핀란드의 점수는 12점이었다.

이번 조사로 이뮤니웹이 알게 된 것은 두 가지다. “하나는 웹사이트를 GDPR이 요구하는 수준으로 보호하고 운영하는 나라는 한 군데도 없었다는 겁니다. 정말 단 한 곳도 없었고, 모범이 될 만한 곳도 없었습니다. 그 다음은 웹사이트 운영자들 사이에서 보안과 GDPR 컴플라이언스를 전혀 다른 일로 생각하는 경향이 분명히 눈에 띄었다는 겁니다. 웹사이트 보안이 중요하다고 생각하는 사람은 많은데, 쿠키 보호나 프라이버시 보호를 중요하다고 생각하는 사람은 적었습니다. 보안을 위해 컴플라이언스를 중시하는 건데, 그 두 가치관이 연결되지 않고 있더군요.”

이뮤니웹의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “GDPR을 염두에 두고 지키려고 노력하는 곳은 많았지만, 아직 갈 길이 멀다는 걸 알게 됐다”고 말한다. “웹사이트를 통해 소비자를 모으고 사업을 벌이는 기업들이라면, 프라이버시와 보안 모두가 고객의 권리라는 걸 이해해야 합니다. 아직은 벌금을 내기 싫어서 지키는 수준이고, 그나마도 제대로 이행하지 못하고 있습니다. 조금 더 시간이 필요해 보입니다.”

각 나라의 GDPR 담당 기관들도 지난 1년 동안 제대로 GDPR을 적용 및 운영하지 않은 것으로 평가된다. 여느 해처럼 수많은 보안 사고가 터졌지만, 벌금형을 제대로 부과한 경우는 드물기 때문이다. “총 5천 7백만 달러의 벌금형이 내려졌다고들 하는데, 구글에 내린 5천만 달러를 제외하면 실제 숫자가 나옵니다. 아직 우린 진짜 GDPR의 엄격함을 맛보지도 못한 겁니다.”

3줄 요약
1. 유럽 모든 나라의 인기 웹사이트 조사했더니, GDPR 준수 상태 엉망.
2. 아직 제대로 벌금이 부과된 경우도 드물 정도. 지난 1년도 사실은 도입 기간이었음.
3. 보안과 규정 준수를 따로 보는 시각 만연. 진정으로 GDPR 도입되려면 시간이더 필요할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제