미국의 CISA와 미국-유럽의 세이프 하버 조약, 상관관계는?
미국과 유럽 시장의 고객정보 다루는 업체들에겐 중요한 사안
[보안뉴스 문가용] 작년 보안 업계에서 일어났던 가장 큰 일 중 하나라면 미국에서 사이버보안 정보 공유법(Cybersecurity Information Sharing Act, CISA)이 통과되었다는 것이다. 미국의 기업들은 사이버 위협에 대한 정보들을 정부에 반드시 공개적으로 알려야 한다. 이제 정부는 기업이라는, 정보의 확실한 출처가 생겼다. 그런데 그런 정부는 유럽과의 협상을 제대로 하지 못해 기업들의 사업 터전을 줄여버렸으니, 역설적이다.
▲ 이거, 올해 안에 결론 나긴 할까?
무슨 말일까? 결과부터 말하자면 CISA가 통과됨에 따라 다국가적 기업처럼 해외에도 많은 고객을 두고 있는 업체들은 먹고 살기가 더 힘들어졌다는 거다. 왜? 이를 이해하기 위해 CISA 및 세이프 하버(Safe Harbor) 조약의 가장 기본적인 것들을 알아보자.
1. 안전한 항구? 별로 안전하지 않아
미국과 유럽연합은 이전부터 프라이버시라는 문제로 삐걱거렸다. 그러다가 지난 10월 유럽사법재판소는 기어이 지난 15년 간 유지되어 온 세이프 하버 조약이라는 데이터 이송에 관한 약속을 폐지시켰다. 세이프 하버 조약이란 간단히 말해 유럽에 고객을 두고 있는 미국 기업들이 유럽의 고객정보를 미국에 있는 서버나 장치에 저장할 수 있도록 해주는 것이다. 이 조약의 혜택을 보려는 기업은 유럽연합의 데이터 프라이버시 법을 반드시 지켜야만 했다.
그러므로 이 세이프 하버 조약을 유럽 쪽에서 폐지시켰다는 건, 미국 기업들이 프라이버시 법을 지키지 못했다고 판단했다는 의미가 된다. 더 나아가서는 ‘미국과 유럽은 데이터 프라이버시에 있어서 계속해서 평행선만 그리게 될 것’이라는 판단도 엿볼 수 있다. 미국 정부가 무분별하게 세계 여러 정부들을 감시해온 전적이 있는 데다가 미국 내에서도 데이터 프라이버시를 보장해주는 법망이 부족했다. 즉 유럽의 눈에 미국이라는 곳은 도대체 믿을 수가 없는 사회였던 것이다.
이런 때에 통과된 CISA는 불에 기름을 끼얹은 것과 같다. 기업들이 고객의 개인정보를 관리하고 공유하는 데에 있어 상당히 너그러워졌기 때문이다. 가뜩이나 개인정보가 보호받지 못한다는 인식이 있는데, 그걸 확인시켜준 꼴. 이 점은 CISA가 처음 법안으로 마련되었을 때부터 제기되었던 문제다. 그래서 이를 보완하고자 정보 공유 전 개인 식별 정보를 안전하게 제거해주는 장치도 여럿 제안되었다. 그런데 실제로 통과가 된 최종 법안에는 이러한 장치들이 하나도 남아있지 않았다.
결국 미국 기업들은 ‘미국이라는 울타리 안에서만큼은’ 마음껏 고객정보로 사업을 할 수 있게 되었지만 유럽에서는 더더욱 곤혹스러운 상황에 처한 것이다.
실제로 미국 기업 입장에서 세이프 하버라는 보호막을 걷고 보니 유럽연합 데이터 보호 강령(EU Data Protection Directive)이라든가 유럽연합 일반정보보호규정(EU General Data Protection Regulation)이라는 무시무시한 현실이 닥쳐왔다. 엄격하고 벌금도 엄청난 수준의 것들이었다. 특히 2018년부터 정식 발효될 일반정보보호규정은 총 연소득의 4% 혹은 2천만 유로(2천 1백만 달러 수준)라는 어질어질한 금액을 벌금으로 책정하고 있다. 심지어 사안에 따라 둘 중 액수가 더 높은 것을 적용한다고 한다.
“CISA요? 유럽이 요구하고 바라왔던 것과 정 반대로 가고 있죠.” 데이터 보안 및 관리 업체인 아이덴티티 파인더(Identity Finder)의 법무자문위원인 네일 스텔저(Neil Stelzer)가 한 마디로 정리한다. “CISA 때문에 미국과 거래하는 순간 유럽 고객들의 정보가 미국 정부로 넘어가게 되어 있어요. 유럽이 이걸 좋다고 칭찬할 리가 없죠.”
그렇기 때문에 앞으로 어떻게 일이 진행될까, 하는 점에서 몇 가지 질문이 생긴다.
1) 미국 기업이 위협 첩보를 미국 정부와 공유했다. 그리고 그 정보에는 몇몇 유럽 시민의 개인정보가 포함되어 있다. 이 경우 유럽연합은 어떻게 반응할 것인가? 이는 유럽연합의 데이터보호법 위반 사항인가? 그렇다면 세이프 하버는 점점 더 멀어질 것인가?
2) 데이터를 공유한 조직이나 기업에서 그 때문에 유출사고를 겪고, 해당 유출사고에 대한 경위를 또 다시 공유하는 과정에서 더 많은 데이터가 유출될 수밖에 없다면, 이는 누구의 책임인가?
3) 미국 기업들이 유럽연합과 충돌하지 않고 위협 첩보 및 정보를 안전하게 공유할 수 있는 방법이란 존재할 수 있을까?
세이프 하버, 대체가 가능한가?
전자프런티어재단(Electronic Frontier Foundation)의 국제 책임자인 대니 오브라이언(Danny O┖Brien)은 한 가지 짚고 넘어가야 한다고 말한다. “유럽사법재판소에서 세이프 하버 조약을 무효화시킨 건 미국 기업들이 유럽의 관련법을 존중하지 않았다고 판단했기 때문이 아닙니다. 문제의 근원은 미국 정부의 행태와 미국 내에서 아직도 존재하는 감시법 때문이죠. 유럽사법재판소가 손가락으로 가리킨 건 미국 정부지 기업들이 아닙니다.”
실제로 사법재판소의 판결문에 따르면 “세이프 하버 조약에는 미국이 적절한 보호 조치를 취하도록 요구하는 내용이 없다.” 그러므로 유럽사법재판소는 “이 조약은 유럽연합의 데이터 보호 강령에 대한 위반으로 폐지되는 것이지, 세이프 하버 조약의 원칙을 재검토할 필요는 없다”고 설명했다. 무슨 말일까? 세이프 하버 조약 자체를 누군가 위반한 게 아니라 애초에 유럽에서 요구하는 데이터 보호 수준을 제대로 지키지 못했다는 것이다. 즉 제3의 강령 때문에 해당 조약이 폐지된 것이라는 의미. 오브라이언은 더 직설적으로 설명한다. “미국이 관련법을 개혁하지 않으면 세이프 하버는 있을 수 없습니다.”
원리가 그렇다고 해서 서로 논의하지 말란 법은 없다. 실제로 양측의 관계자들은 전부 두 번째 세이프 하버를 마련하기 위해 협상 중에 있다. 현지 시각 기준으로 2월 2일 오늘, 양측은 브뤼셀에서 만나 ‘유럽과 미국 간 데이터 공유는 지속되어야 하는가? 그렇다면 어떻게?’라는 주제로 논의를 이어갈 예정이다. IT 업계의 유명인사들 및 지도자들, 애플과 마이크로소프트의 관계자들도 미국과 유럽을 돌아다니며 관계자들을 만나느라 분주하다.
오브라이언은 이에 회의적이다. “결실을 거두기 힘들 겁니다. 결국 지난 유럽사법재판소의 판결 근거가 된 데이터 보호 강령에 대한 미국의 태도와 접근이 변하지 않는다면, 똑같은 재판 결과만 반복될 뿐이죠. 그런데 CISA가 통과되면서 상황은 오히려 악화되었어요. 미국정부가 유럽연합과의 관계 회복을 위한 시늉조차 하고 있지 않은 거죠.”
CISA의 또 다른 문제, 책임
“CISA의 후폭풍은 따로 있습니다. 한번 공유가 된 데이터 때문에 일어난 사건사고에 대해 누구도 책임이 없게 된다는 것이죠.” 프라이버시 컨설턴트인 레베카 헤롤드(Rebecca Herold)의 설명이다. 이에 대해서는 스텔저도 동의한다. “이제 CISA에 근거하여 정보를 공유하잖아요? 그럼 그 정보와 관련한 사고가 발생했을 때 모든 법적인 책임에서 벗어날 수 있습니다. 마치 방패막이 같은 거죠.”
왜 정보를 공유하는 데서 ‘사고’부터 연상하는 걸까? 최종 법안에도 “특정 개인정보”를 제거한 후에 정보를 공유하라는 문구가 있지만, 모호하기 짝이 없어 해석의 여지가 너무나 많기 때문이다. 미국의 법무상과 국토방위부는 법 통과 후 60일 안에 보다 구체적인 가이드라인을 제시할 예정이다. CISA가 큰 그림이었다면, 이 가이드라인은 본격적인 시작이 될 것이다. “정부가 정보를 긁어모으려 한다는 것까지 알았다면, 가이드라인을 통해 ‘얼마나 모을 것인가’가 드러나겠죠.” 스텔저의 설명 그대로다.
또한 그 가이드라인을 통해 유럽에서 말하는 개인정보와 미국에서 말하는 개인정보가 얼마나 다른가, 극복이 가능한 정도인가, 등이 판가름 난다는 것도 지켜봐야할 문제다. “확실히 아직까지 프라이버시를 보다 강력하게 지키는 건 유럽 쪽이죠. 그도 그럴 것이 유럽에서는 신발 사이즈, 옷 치수도 전부 개인정보, 프라이버시의 범주에 들어가거든요. 이는 문화의 차이에도 기인합니다. 그에 발맞출 수 있을지가 현재로서는 최대의 관건입니다.”
미국사법부 vs. 마이크로소프트 사건
그런데 엎친 데 덮친 격으로 미국 재판정에서 한 가지 사건이 일어났다. 미국사법부가 마으크로소프트에게 핫메일 계정의 이메일을 넘기라고 한 것. 마이크로소프트는 이에 불응했다. 이유는 해당 데이터는 아일랜드에 저장되어 있고, 그러므로 아일랜드의 법적 보호 아래 있다는 것이었다. 아일랜드 및 유럽의 데이터 보호 강령에 의해 미국사법부의 요청을 거부한 마이크로소프트에게 내려진 결과는 ‘강행’이었다. 데이터가 어디에 저장되어 있건, 마이크로소프트는 미국 태생의 기업이라는 게 사법부의 논리였다.
물론 이 사건이 최종 판결까지 간 건 아니다. 그럼에도 미국의 일간 시사지인 폴리티코(Politico)는 이 1차 결과에 대해 “세이프 하버를 아예 백지화시켜버리는 판결”이라고 비판했다. 1차 판결인 만큼 유럽이 이에 대해 별다른 언급을 하지는 않았지만 속이 편하진 않았을 것이라는 게 일반적인 예상이다.
우리와 무슨 상관인가?
사실 미국과 유럽 사이의 일인지라 우리를 포함한 다른 나라의 기업들과는 크게 상관이 없을 수도 있다. 다만 이 과정을 지켜보는 건 프라이버시 및 정보보호에 대한 미국과 유럽의 온도 차이를 공부하고 익히는 데 큰 도움이 될 것이라고 보인다. 또한 미국 기업들 사이에서는 ‘아직은 첩보를 공유하지 말자’는 분위기가 형성되어 있으니 이 역시 어떻게 변하는지 눈치를 잘 보는 것도 중요하다.
이런 분위기가 형성된 배경에는 ‘소비자 정서’가 있다. 헤롤드는 “정부에게 적극 협력하는 업체는 소비자들의 신뢰를 잃는 때”라고 설명한다. “아무리 중요한 사안이라고 해도 정부에게 자료를 제공했다는 사실은 그것이 헛소문이라고 해도 매출 타격으로 이어집니다. 공무원 및 공공기관들도 제대로 보안 조치를 취하지 않아 개인정보가 대량으로 빠져나간 게 바로 작년이죠. 정부에 대한 신뢰 자체가 상당히 희박해요. 이런 때 괜히 정부와 노골적으로 손을 잡을 필요가 없죠.”
한편 유럽에서 사업을 하고자 한다면 일찌감치 개인정보를 따로 분리하거나 아예 고객의 개인정보를 저장하는 관습을 최소화시킬 필요가 있다. 세이프 하버나 CISA와 상관없이 유럽은 데이터 보호 강령과 데이터 프라이버시 정책이 아주 강력하게 적용되는 곳이다. “사실 유럽에서 뭘 하려면 민감한 정보와 그렇지 않은 정보를 따로 구분하는 게 완전히 사내 문화로 정착되어 있어야 합니다. 적어도 유럽 기업의 수준은 되어야죠. 그렇지 않으면 엄청난 벌금을 물게 될 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
미국과 유럽 시장의 고객정보 다루는 업체들에겐 중요한 사안
[보안뉴스 문가용] 작년 보안 업계에서 일어났던 가장 큰 일 중 하나라면 미국에서 사이버보안 정보 공유법(Cybersecurity Information Sharing Act, CISA)이 통과되었다는 것이다. 미국의 기업들은 사이버 위협에 대한 정보들을 정부에 반드시 공개적으로 알려야 한다. 이제 정부는 기업이라는, 정보의 확실한 출처가 생겼다. 그런데 그런 정부는 유럽과의 협상을 제대로 하지 못해 기업들의 사업 터전을 줄여버렸으니, 역설적이다.
▲ 이거, 올해 안에 결론 나긴 할까?
무슨 말일까? 결과부터 말하자면 CISA가 통과됨에 따라 다국가적 기업처럼 해외에도 많은 고객을 두고 있는 업체들은 먹고 살기가 더 힘들어졌다는 거다. 왜? 이를 이해하기 위해 CISA 및 세이프 하버(Safe Harbor) 조약의 가장 기본적인 것들을 알아보자.
1. 안전한 항구? 별로 안전하지 않아
미국과 유럽연합은 이전부터 프라이버시라는 문제로 삐걱거렸다. 그러다가 지난 10월 유럽사법재판소는 기어이 지난 15년 간 유지되어 온 세이프 하버 조약이라는 데이터 이송에 관한 약속을 폐지시켰다. 세이프 하버 조약이란 간단히 말해 유럽에 고객을 두고 있는 미국 기업들이 유럽의 고객정보를 미국에 있는 서버나 장치에 저장할 수 있도록 해주는 것이다. 이 조약의 혜택을 보려는 기업은 유럽연합의 데이터 프라이버시 법을 반드시 지켜야만 했다.
그러므로 이 세이프 하버 조약을 유럽 쪽에서 폐지시켰다는 건, 미국 기업들이 프라이버시 법을 지키지 못했다고 판단했다는 의미가 된다. 더 나아가서는 ‘미국과 유럽은 데이터 프라이버시에 있어서 계속해서 평행선만 그리게 될 것’이라는 판단도 엿볼 수 있다. 미국 정부가 무분별하게 세계 여러 정부들을 감시해온 전적이 있는 데다가 미국 내에서도 데이터 프라이버시를 보장해주는 법망이 부족했다. 즉 유럽의 눈에 미국이라는 곳은 도대체 믿을 수가 없는 사회였던 것이다.
이런 때에 통과된 CISA는 불에 기름을 끼얹은 것과 같다. 기업들이 고객의 개인정보를 관리하고 공유하는 데에 있어 상당히 너그러워졌기 때문이다. 가뜩이나 개인정보가 보호받지 못한다는 인식이 있는데, 그걸 확인시켜준 꼴. 이 점은 CISA가 처음 법안으로 마련되었을 때부터 제기되었던 문제다. 그래서 이를 보완하고자 정보 공유 전 개인 식별 정보를 안전하게 제거해주는 장치도 여럿 제안되었다. 그런데 실제로 통과가 된 최종 법안에는 이러한 장치들이 하나도 남아있지 않았다.
결국 미국 기업들은 ‘미국이라는 울타리 안에서만큼은’ 마음껏 고객정보로 사업을 할 수 있게 되었지만 유럽에서는 더더욱 곤혹스러운 상황에 처한 것이다.
실제로 미국 기업 입장에서 세이프 하버라는 보호막을 걷고 보니 유럽연합 데이터 보호 강령(EU Data Protection Directive)이라든가 유럽연합 일반정보보호규정(EU General Data Protection Regulation)이라는 무시무시한 현실이 닥쳐왔다. 엄격하고 벌금도 엄청난 수준의 것들이었다. 특히 2018년부터 정식 발효될 일반정보보호규정은 총 연소득의 4% 혹은 2천만 유로(2천 1백만 달러 수준)라는 어질어질한 금액을 벌금으로 책정하고 있다. 심지어 사안에 따라 둘 중 액수가 더 높은 것을 적용한다고 한다.
“CISA요? 유럽이 요구하고 바라왔던 것과 정 반대로 가고 있죠.” 데이터 보안 및 관리 업체인 아이덴티티 파인더(Identity Finder)의 법무자문위원인 네일 스텔저(Neil Stelzer)가 한 마디로 정리한다. “CISA 때문에 미국과 거래하는 순간 유럽 고객들의 정보가 미국 정부로 넘어가게 되어 있어요. 유럽이 이걸 좋다고 칭찬할 리가 없죠.”
그렇기 때문에 앞으로 어떻게 일이 진행될까, 하는 점에서 몇 가지 질문이 생긴다.
1) 미국 기업이 위협 첩보를 미국 정부와 공유했다. 그리고 그 정보에는 몇몇 유럽 시민의 개인정보가 포함되어 있다. 이 경우 유럽연합은 어떻게 반응할 것인가? 이는 유럽연합의 데이터보호법 위반 사항인가? 그렇다면 세이프 하버는 점점 더 멀어질 것인가?
2) 데이터를 공유한 조직이나 기업에서 그 때문에 유출사고를 겪고, 해당 유출사고에 대한 경위를 또 다시 공유하는 과정에서 더 많은 데이터가 유출될 수밖에 없다면, 이는 누구의 책임인가?
3) 미국 기업들이 유럽연합과 충돌하지 않고 위협 첩보 및 정보를 안전하게 공유할 수 있는 방법이란 존재할 수 있을까?
세이프 하버, 대체가 가능한가?
전자프런티어재단(Electronic Frontier Foundation)의 국제 책임자인 대니 오브라이언(Danny O┖Brien)은 한 가지 짚고 넘어가야 한다고 말한다. “유럽사법재판소에서 세이프 하버 조약을 무효화시킨 건 미국 기업들이 유럽의 관련법을 존중하지 않았다고 판단했기 때문이 아닙니다. 문제의 근원은 미국 정부의 행태와 미국 내에서 아직도 존재하는 감시법 때문이죠. 유럽사법재판소가 손가락으로 가리킨 건 미국 정부지 기업들이 아닙니다.”
실제로 사법재판소의 판결문에 따르면 “세이프 하버 조약에는 미국이 적절한 보호 조치를 취하도록 요구하는 내용이 없다.” 그러므로 유럽사법재판소는 “이 조약은 유럽연합의 데이터 보호 강령에 대한 위반으로 폐지되는 것이지, 세이프 하버 조약의 원칙을 재검토할 필요는 없다”고 설명했다. 무슨 말일까? 세이프 하버 조약 자체를 누군가 위반한 게 아니라 애초에 유럽에서 요구하는 데이터 보호 수준을 제대로 지키지 못했다는 것이다. 즉 제3의 강령 때문에 해당 조약이 폐지된 것이라는 의미. 오브라이언은 더 직설적으로 설명한다. “미국이 관련법을 개혁하지 않으면 세이프 하버는 있을 수 없습니다.”
원리가 그렇다고 해서 서로 논의하지 말란 법은 없다. 실제로 양측의 관계자들은 전부 두 번째 세이프 하버를 마련하기 위해 협상 중에 있다. 현지 시각 기준으로 2월 2일 오늘, 양측은 브뤼셀에서 만나 ‘유럽과 미국 간 데이터 공유는 지속되어야 하는가? 그렇다면 어떻게?’라는 주제로 논의를 이어갈 예정이다. IT 업계의 유명인사들 및 지도자들, 애플과 마이크로소프트의 관계자들도 미국과 유럽을 돌아다니며 관계자들을 만나느라 분주하다.
오브라이언은 이에 회의적이다. “결실을 거두기 힘들 겁니다. 결국 지난 유럽사법재판소의 판결 근거가 된 데이터 보호 강령에 대한 미국의 태도와 접근이 변하지 않는다면, 똑같은 재판 결과만 반복될 뿐이죠. 그런데 CISA가 통과되면서 상황은 오히려 악화되었어요. 미국정부가 유럽연합과의 관계 회복을 위한 시늉조차 하고 있지 않은 거죠.”
CISA의 또 다른 문제, 책임
“CISA의 후폭풍은 따로 있습니다. 한번 공유가 된 데이터 때문에 일어난 사건사고에 대해 누구도 책임이 없게 된다는 것이죠.” 프라이버시 컨설턴트인 레베카 헤롤드(Rebecca Herold)의 설명이다. 이에 대해서는 스텔저도 동의한다. “이제 CISA에 근거하여 정보를 공유하잖아요? 그럼 그 정보와 관련한 사고가 발생했을 때 모든 법적인 책임에서 벗어날 수 있습니다. 마치 방패막이 같은 거죠.”
왜 정보를 공유하는 데서 ‘사고’부터 연상하는 걸까? 최종 법안에도 “특정 개인정보”를 제거한 후에 정보를 공유하라는 문구가 있지만, 모호하기 짝이 없어 해석의 여지가 너무나 많기 때문이다. 미국의 법무상과 국토방위부는 법 통과 후 60일 안에 보다 구체적인 가이드라인을 제시할 예정이다. CISA가 큰 그림이었다면, 이 가이드라인은 본격적인 시작이 될 것이다. “정부가 정보를 긁어모으려 한다는 것까지 알았다면, 가이드라인을 통해 ‘얼마나 모을 것인가’가 드러나겠죠.” 스텔저의 설명 그대로다.
또한 그 가이드라인을 통해 유럽에서 말하는 개인정보와 미국에서 말하는 개인정보가 얼마나 다른가, 극복이 가능한 정도인가, 등이 판가름 난다는 것도 지켜봐야할 문제다. “확실히 아직까지 프라이버시를 보다 강력하게 지키는 건 유럽 쪽이죠. 그도 그럴 것이 유럽에서는 신발 사이즈, 옷 치수도 전부 개인정보, 프라이버시의 범주에 들어가거든요. 이는 문화의 차이에도 기인합니다. 그에 발맞출 수 있을지가 현재로서는 최대의 관건입니다.”
미국사법부 vs. 마이크로소프트 사건
그런데 엎친 데 덮친 격으로 미국 재판정에서 한 가지 사건이 일어났다. 미국사법부가 마으크로소프트에게 핫메일 계정의 이메일을 넘기라고 한 것. 마이크로소프트는 이에 불응했다. 이유는 해당 데이터는 아일랜드에 저장되어 있고, 그러므로 아일랜드의 법적 보호 아래 있다는 것이었다. 아일랜드 및 유럽의 데이터 보호 강령에 의해 미국사법부의 요청을 거부한 마이크로소프트에게 내려진 결과는 ‘강행’이었다. 데이터가 어디에 저장되어 있건, 마이크로소프트는 미국 태생의 기업이라는 게 사법부의 논리였다.
물론 이 사건이 최종 판결까지 간 건 아니다. 그럼에도 미국의 일간 시사지인 폴리티코(Politico)는 이 1차 결과에 대해 “세이프 하버를 아예 백지화시켜버리는 판결”이라고 비판했다. 1차 판결인 만큼 유럽이 이에 대해 별다른 언급을 하지는 않았지만 속이 편하진 않았을 것이라는 게 일반적인 예상이다.
우리와 무슨 상관인가?
사실 미국과 유럽 사이의 일인지라 우리를 포함한 다른 나라의 기업들과는 크게 상관이 없을 수도 있다. 다만 이 과정을 지켜보는 건 프라이버시 및 정보보호에 대한 미국과 유럽의 온도 차이를 공부하고 익히는 데 큰 도움이 될 것이라고 보인다. 또한 미국 기업들 사이에서는 ‘아직은 첩보를 공유하지 말자’는 분위기가 형성되어 있으니 이 역시 어떻게 변하는지 눈치를 잘 보는 것도 중요하다.
이런 분위기가 형성된 배경에는 ‘소비자 정서’가 있다. 헤롤드는 “정부에게 적극 협력하는 업체는 소비자들의 신뢰를 잃는 때”라고 설명한다. “아무리 중요한 사안이라고 해도 정부에게 자료를 제공했다는 사실은 그것이 헛소문이라고 해도 매출 타격으로 이어집니다. 공무원 및 공공기관들도 제대로 보안 조치를 취하지 않아 개인정보가 대량으로 빠져나간 게 바로 작년이죠. 정부에 대한 신뢰 자체가 상당히 희박해요. 이런 때 괜히 정부와 노골적으로 손을 잡을 필요가 없죠.”
한편 유럽에서 사업을 하고자 한다면 일찌감치 개인정보를 따로 분리하거나 아예 고객의 개인정보를 저장하는 관습을 최소화시킬 필요가 있다. 세이프 하버나 CISA와 상관없이 유럽은 데이터 보호 강령과 데이터 프라이버시 정책이 아주 강력하게 적용되는 곳이다. “사실 유럽에서 뭘 하려면 민감한 정보와 그렇지 않은 정보를 따로 구분하는 게 완전히 사내 문화로 정착되어 있어야 합니다. 적어도 유럽 기업의 수준은 되어야죠. 그렇지 않으면 엄청난 벌금을 물게 될 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
