정부기관이 민간 기업의 정보보안 실태에 직접 참견할 수 있게 돼
사이버범죄가 눈사태처럼 몰릴 때 프라이버시와 보안은 같은 뜻이 돼

[보안뉴스 문가용] 지난 주, 미국의 항소법원은 연방거래위원회에게 기업의 사이버 보안을 규제할 권한을 주었다. 물론 미국의 정부나 법이 민간 산업에 끼어들겠다고 선포하거나 실제로 그러했던 사례가 이번이 처음은 아니지만, 이건 이대로 굉장히 중요한 첫 걸음이 아닐 수 없다.

지난 2008년 미국의 국제전략문제연구소의 사이버보안 위원회(CSIS Cybersecurity Commission)는 자신들의 연구 결과를 토대로 사이버 공간의 안전 확보와 정책 결정의 가이드라인을 제시하고, 이에 대한 발 빠른 움직임을 촉구한 적이 있었다. 하지만 법적 강제력이 없는 제시와 촉구는 텅 빈 울림이 될 수밖에 없었다.

사이버보안에 대한 인식이 이처럼 ‘텅 빈 울림’만 유발하는 경우는 아직까지도 비일비재한데, 그 이유는 많은 사람들이 아직도 사이버 범죄에 대응할 기술력을 충분히 존재하고, 이는 시장의 원리로 해결이 가능하다고 믿고 있기 때문이다. 즉, 자유경제주의 체제 아래 ‘보이지 않는 손’이 제대로 작동하기를 기다리면 된다고, 여느 시장의 현상처럼 이를 대한다는 것이다. 하지만 현실은 어떤가? 위의 전제대로 하자면 시장은 이미 처참하게 실패한 상태다. 경제 원리를 대입해보자면 정부가 대중 정책이라는 형태로 시장개입을 해야 하는 상태인 것이다.

그리고 미국의 법정도 현상 파악을 비슷하게 한 것으로 보인다. 그래서 미국인 및 미국 기업의 디지털 보안이라는 영역에 연방거래위원회가 참견하고 장관할 수 있는 판결을 내린 것이다. 미국의 법정이 보기에 ‘프라이버시’를 위주로 생각하기에 사이버 범죄의 도가 지나치다고 판단한 것이라고 볼 수 있다. 이는 프라이버시와 보안을 이제 ‘같은 것’이라고 보기 시작한 유럽의 시각과 같은 선상에 놓여있기도 하다.

아무튼 이번 판결로 인해 미국 연방거래위원회에게는 새로운 힘이 생기거나 이전의 힘이 더 보강되었다. 그 힘이란 1) 건전한 경쟁을 훼손하고 소비자를 기만하는 사업 행위를 금지시키고 2) 소비자가 더 자유로운 선택을 할 수 있도록 정보를 원활히 유통시켜 대중의 이해를 증진시키고 3) 위 두 가지를 추구함에 있어서 지나친 법적 부담을 기업들에 지우지 않는 것이다. 여기에 온라인 보안 혹은 사이버보안을 관장할 수 있는 권한도 주어졌다.

이 판결은 미래에 어떤 영향을 주는가?
판결 그대로 연방거래위원회가 판단하여 기업이 디지털 보안에 ‘안일했다’고 생각되면 조치를 취할 수 있게 되었다는 건 어떤 의미일까? 먼저는 기업이 개별적으로 자신의 사업이나 고객들을 보호하기 위해 취해야 할 조치를 임의대로 선택할 수 없게 되었다는 것이다. 이제는 연방거래위원회가 보기에 ‘합당하다’고 하는 조치를 해야 한다.

최근 윈드햄 월드와이드 코퍼레이션(Wyndham Worldwide Corporation)이라는 대형 호텔 체인에서 일어난 사건을 일례로 보자. 해당 기업은 총 세 번의 유출 사고를 겪음으로써 고객들의 민감한 정보를 노출시켰다. 그리고 이 사건으로 FTC가 소송을 걸었고 재판 결과 윈드햄은 총 1천 6십만 달러에 해당하는 보상금을 물어야했다. 윈드햄은 호텔업에 종사하는 기업답게 평소 물리 보안에는 대단히 투자를 많이 한 회사였다. 호텔 투숙객이 안전함을 느끼게 하는 게 중요한 가치였기 때문이다. FTC가 소송을 통해 강조하고 싶었던 건 ‘그런 물리적 안정감을 사이버 공간에서도 소비자가 느낄 수 있도록 하라’는 것이었다.

사실 기업들이 해킹을 당해 ‘명성’에 손실을 입거나 소비자로부터 신뢰를 잃는 것은, 그 자체로 어마어마한 손실이다. 이 사실은 변함없이 남아있되, 이제는 FTC가 소송을 통해 금전적인 부담마저 지울 수 있게 되었다는 건 기업들이 사이버보안에 있어 더 긴장을 해야 하는 이유가 되었다. 이제 사이버보안의 실패는 ‘사업 실패’와 같이 직접적인 손해로 이어지는 요소가 된 것이다.

비슷한 경우로 앤섬(Anthem)이 있다. 미국 최대의 의료보험 기업으로 올해 초 해킹을 당한 기업으로 역시 윈드햄과 비슷한 이유로 연방거래위원회로부터 고소를 당했다. 아직 최종판결이 나지는 않았지만 미국 보안 업계는 이번 법정싸움을 주의해서 지켜보고 있다. 일단 앤섬측은 HIPAA라는 의료정보보호 규정들은 잘 준수한 것으로 보이기 때문이다. 즉 이번 판결로 심판대에 오른 건 의료정보 업계와 관련된 보안 표준 그 자체라는 의견이 지배적이다.

현재 많은 이들이 오해하는 지점은 ‘규정 준수가 곧 보안 준수’라는 것이다. 그러나 이는 절대로 사실이 아니며, 앞으로도 그럴 것이다. 규정이라는 것은 불변의 진리가 아니며 시대 상황에 따라 항상 변화하고 사이버공격의 지형도가 변화함에 따라 유연하게 진화할 수 있는 것이어야 하기 때문이다. 또한 지금 우리가 가지고 있는 표준이나 규정들은 그 자체로 상당히 미흡한 수준에 머물고 있으며, 고쳐야 할 부분이 한두 가지가 아니다.

모든 기업이 기본을 따라야 할 표준과 규칙은 반드시 존재해야 한다. 그리고 그런 표준과 규칙이 바탕을 두어야 할 커다란 틀의 정책 또한 반드시 마련되어야 한다. 그러므로 연방거래위원회가 이번 판결로 인해 그런 권한을 가지게 된 것 자체는 옳은 방향이다. 보안 전문 기업들은 FTC가 올바른 판결 혹은 권한 이행을 할 수 있도록 전문성 높은 조언을 통해 이를 도울 수 있어야 한다. 왜냐하면 현재 사이버범죄는 마치 눈사태처럼 걷잡을 수 없이 몰려오고 있기 때문이다.

글 : 톰 켈러만(Tom Kellermann)
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>