무섭다던 벌금형, 아직 내려지지 않은 것과 마찬가지...다음 1년은 더 엄격?
[보안뉴스 문가용 기자] GDPR 시행 1주년을 기념하여 웹 스캐닝을 전문으로 하는 보안 업체 이뮤니웹(ImmuniWeb)이 유럽연합의 회원국 각각에서 가장 인기가 높은 웹사이트 100개씩을 선정해 GDPR 준수의 측면에서 분석했다. 그 결과 GDPR을 준수하는 게 정말로 어려운 것임을 알 수 있었다고 한다. 이뮤니웹은 이 사이트들의 깊숙한 부분까지 조사한 게 아니라, 인터넷을 통해 합법적으로 공개되어 눈에 보이는 표면만을 분석했다고 한다.
[이미지 = iclickart]
웹사이트의 GDPR 컴플라이언스에서 “눈에 보이는 부분”이란 무엇을 말하는 것일까? 이뮤니웹은 네 가지 요소를 다음과 같이 꼽았다.
1) 프라이버시 관련 정책
2) 쿠키 활용 현황
3) 콘텐츠 관리 시스템의 업데이트 현황
4) HTTPS 암호화 사용 여부(혹은 SSLv3)
이 네 가지 요소를 점검했을 때 국가별로 정말 큰 차이가 나타났다. 대체적으로 성적이 좋지 않았다. 다만 웹사이트 보안과 HTTPS를 활용하는 점에서는 각각 94%와 95%를 기록하는 등 꽤나 긍정적인 결과가 나왔다고 한다. “웹사이트 보안의 측면에서는 그리스가 최악의 성적을 기록했습니다. HTTPS 도입 비율 부문에서는 몰타가 최하위를 차지했고요.”
HTTPS 도입이 거의 전부 이뤄진 나라는 독일과 영국이었다. 인구가 많은 국가이고 따라서 사이트가 많은 곳이었는데도 이런 성적을 보인 건 대단히 긍정적이라고 이뮤니웹은 설명했다. 프랑스는 90%의 도입 비율을 보였는데, 앞으로 더 향상되어야 할 부분이 분명 있지만 지금도 그리 나쁘다고만은 할 수 없는 것이라고 한다.
대신 프랑스는 독일과 영국, 오스트리아와 룩셈부르크, 몰타보다 뛰어난 부분이 있었다. 바로 쿠키 보호였다. 이번 조사를 통해 유럽이 전체적으로 쿠키 보호에 있어 성적이 저조한 것으로 나타나기도 했다. “이번 조사에서 가장 나쁜 성적을 기록했고, 따라서 앞으로 크게 향상되어야만 하는 부분이 바로 이 쿠키 보호였습니다. 평균 실패 비율이 78.25%나 되었거든요.”
프라이버시 정책 부문도 그리 뛰어나지 않기는 마찬가지였다. 쿠키보다 조금 나은 정도였다. 만점을 받은 곳은 오스트리아와 아일랜드였고, 핀란드가 최악이었다. 영국은 그래도 잘 하는 편에 속하지만 아직 83점 정도였고, 프랑스가 60점, 독일이 50점을 받았다. 핀란드의 점수는 12점이었다.
이번 조사로 이뮤니웹이 알게 된 것은 두 가지다. “하나는 웹사이트를 GDPR이 요구하는 수준으로 보호하고 운영하는 나라는 한 군데도 없었다는 겁니다. 정말 단 한 곳도 없었고, 모범이 될 만한 곳도 없었습니다. 그 다음은 웹사이트 운영자들 사이에서 보안과 GDPR 컴플라이언스를 전혀 다른 일로 생각하는 경향이 분명히 눈에 띄었다는 겁니다. 웹사이트 보안이 중요하다고 생각하는 사람은 많은데, 쿠키 보호나 프라이버시 보호를 중요하다고 생각하는 사람은 적었습니다. 보안을 위해 컴플라이언스를 중시하는 건데, 그 두 가치관이 연결되지 않고 있더군요.”
이뮤니웹의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “GDPR을 염두에 두고 지키려고 노력하는 곳은 많았지만, 아직 갈 길이 멀다는 걸 알게 됐다”고 말한다. “웹사이트를 통해 소비자를 모으고 사업을 벌이는 기업들이라면, 프라이버시와 보안 모두가 고객의 권리라는 걸 이해해야 합니다. 아직은 벌금을 내기 싫어서 지키는 수준이고, 그나마도 제대로 이행하지 못하고 있습니다. 조금 더 시간이 필요해 보입니다.”
각 나라의 GDPR 담당 기관들도 지난 1년 동안 제대로 GDPR을 적용 및 운영하지 않은 것으로 평가된다. 여느 해처럼 수많은 보안 사고가 터졌지만, 벌금형을 제대로 부과한 경우는 드물기 때문이다. “총 5천 7백만 달러의 벌금형이 내려졌다고들 하는데, 구글에 내린 5천만 달러를 제외하면 실제 숫자가 나옵니다. 아직 우린 진짜 GDPR의 엄격함을 맛보지도 못한 겁니다.”
3줄 요약
1. 유럽 모든 나라의 인기 웹사이트 조사했더니, GDPR 준수 상태 엉망.
2. 아직 제대로 벌금이 부과된 경우도 드물 정도. 지난 1년도 사실은 도입 기간이었음.
3. 보안과 규정 준수를 따로 보는 시각 만연. 진정으로 GDPR 도입되려면 시간이더 필요할 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>