2019.11.19

미국 출장 시 새로운 데이터 보안 규제에 대해 알아야 할 사항

Mike Elgan | Computerworld
모든 사람이 휴대전화와 노트북에 데이터를 복사하려고 한다. 사이버범죄자도 마찬가지다. 이런 때에 사용자가 자신의 권리를 보호하고 산업스파이를 피하는 방법을 알아보자. 

당신이 출장을 마치고 귀국할 때 출입국 관리소 직원이 휴대전화와 노트북에 있는 모든 데이터를 합법적으로 복사할 수 있나? 과거에는 일반적으로 그랬다. 미래에는 아마도 그렇지 못할 것이다. 

검색 횟수도 지난 몇 년 동안 매년 빠르게 증가했다. 지난주 미국의 한 연방판사는 세관국경보호국(CBP)이 합리적인 의심 없이도 공항과 국경에서 스마트폰과 노트북을 재량껏 검색할 수 있도록 한 트럼프 행정부의 정책을 기각했다. 

미국 시민자유연합(American Civil Liberties Union: ACLU)과 일렉트로닉 프런티어 재단(Electronic Frontier Foundation: EFF)은 이 판결을 지지했다. 두 단체 모두 미국으로 돌아오는 중에 기기를 수색당한 11명의 사람을 대신하여 2017년 연방정부를 고소했다(판례는 알라사드(Alasaad) 대 맥커리넌(McAleenan)). 

과거에는 미국에 들어오거나 나가는 지점은 수정헌법 제4조의 ‘회색지대’로 취급돼 정부의 ‘불합리한 수색과 압수’에 대한 헌법의 금지조항이 적용되는지가 명확하지 않았다.

그 판결은 그것이 정말로 적용됨을 분명하게 했다. 보스턴의 데니스 캐스퍼 미국 지방법원 판사는 영장 없는 수색은 “한계가 없는 것이 아니며, 여전히 합리적이어야 한다”라고 판시했다.
 
ⓒU.S. Customs and Border Protection


ACLU의 변호사인 네이썬 웨슬러는 그 사건이 아직 끝나지 않았다고 전했다. 판사는 이 판결이 모든 사람에게 적용되는지 아니면 미국 시민권자와 미국 거주자에게만 적용되는지를 포함하여, 여전히 이 사건의 몇 가지 특정 요소들에 대해 판결을 내려야 한다. 

소피아 코프 EFF 수석 변호사는 이번 판결에 대해 “메뉴얼(기본)과 포렌식(첨단) 등 모든 기기 수색에 대해 합리적인 의심이 있어야 한다. 즉, 아동 포르노, 저작권이 있는 미디어, 기밀정보 등 디지털 밀수품을 검색하고 이를 차단하는 범위로 수색은 제한된다”라고 말했다.

결정적으로, 이 사건에서 판사는 불법행위의 일반적인 증거에 대한 광범위한 수색이 국경수색의 주요 목적인 밀수 금지와 관련이 없다는 것을 인정했다.

코프는 미국 정책의 한 가지 파장은 다른 나라들이 그것에 의해 영향을 받을 수 있다는 점이라고 지적했다. 그녀는 “우리는 항상 최악의 상태로 치닫는 것을 우려해왔다”라면서 이번 판결로 다른 나라들의 침략적인 국경 정책이 늦춰질 것이라는 희망을 내비쳤다. 

그녀는 “정부는 항소 여부를 60일 안에 결정할 수 있다”라고 밝혔다. 

미국 세관 수색에서 데이터를 보호하기 위해 알아야 할 사항
국토안보부 대변인은 CBP가 2019 회계연도(10월 1일에 시작되어 9월 30일에 끝남)에 40,913건의 전자기기 국경수색을 실시했다고 지난주에 말했다. 그는 이 수색이 그해 미국 입국장을 통과하는 여행객 4억1,400만 명 중 0.01%에도 못 미친다고 지적했다. 

CBP는 작년에 3만 200개의 기기를 수색했는데, 이는 2017년보다 약 60% 증가한 수다. 

달리 말해, 수색 건수는 지난 몇 년 동안 매년 빠르게 증가해왔다. 

웨슬러는 판결에도 불구하고 출입국 관리들이 당신의 스마트폰이나 노트북을 압수해 모든 콘텐츠를 다운받을 가능성이 있으며, 그 순간에는 당신이 할 수 있는 일이 별로 없다고 말했다.

그는 그들에게 당신이 수색에 반대한다고 정중히 말하라고 충고했다. 이는 후속 소송에서 도움이 될지는 모르지만, 아마도 그렇지도 않을 것이다. 수색에 동의한다고 말하는 것은 향후 소송에서 당신의 사건에 해가 될 수 있다.

출입국 관리들이 당신의 데이터를 복사하는 것을 막을 수 있는 유일한 말은 특정 정보가 변호사-고객 면책특권에 해당한다는 것이다. 그 밖에, 정부는 ‘개인적인’ 데이터와 회사 기밀을 구별하지 않는다.
 
CBP에 의해 복사되는 당신의 데이터에 관한 위험은 단순히 당신이 통제할 수 없는 또 다른 복사본이 있음을 의미한다는 점이다. 그것은 사이버범죄자들을 위해 ‘프리랜서로 일하는’ 에이전트의 손에 들어갈 수 있다. 

세관이 데이터를 갖지 못하도록 하는 가장 강력한 방법은 다음과 같다. 즉, 클라우드에 저장하라. 

정부는 기기의 저장 매체에 저장된 데이터와 클라우드 내 장치를 통해 이용할 수 있는 데이터를 크게 구별한다. 

클라우드 데이터는 검색이 엄격히 금지되어 있다. 특히, ‘전자 기기의 국경 수색’에 관한 CBP 지침의 5.1.2항에 따르면, 그러한 수색은 ‘기기에 상주하며 기기의 운영 체제나 다른 소프트웨어, 툴 또는 애플리케이션을 통해 접근 가능한 정보만’ 관여할 수 있다. 또한, ‘관리들은 전적으로 원격으로 저장된 정보에 접근하여 의도적으로 사용해서는 안 된다.’

이 지침은 관리들이 “여행자에게 어떤 네트워크에 대한 연결을 비활성화하도록 요청하거나(예: 비행기 모드에 장치를 둠), 국가 보안, 법 집행, 관리 안전 또는 기타 운영상 고려사항에 의해 보장되는 경우, 관리들은 스스로 네트워크 연결을 비활성화할 것”을 요구한다.

분명한 것은 데이터를 클라우드에 보관하는 것은 합법적으로 미국 국경 관리가 접근할 수 없는 곳에 데이터를 배치하는 것이다.




2019.11.19

미국 출장 시 새로운 데이터 보안 규제에 대해 알아야 할 사항

Mike Elgan | Computerworld
모든 사람이 휴대전화와 노트북에 데이터를 복사하려고 한다. 사이버범죄자도 마찬가지다. 이런 때에 사용자가 자신의 권리를 보호하고 산업스파이를 피하는 방법을 알아보자. 

당신이 출장을 마치고 귀국할 때 출입국 관리소 직원이 휴대전화와 노트북에 있는 모든 데이터를 합법적으로 복사할 수 있나? 과거에는 일반적으로 그랬다. 미래에는 아마도 그렇지 못할 것이다. 

검색 횟수도 지난 몇 년 동안 매년 빠르게 증가했다. 지난주 미국의 한 연방판사는 세관국경보호국(CBP)이 합리적인 의심 없이도 공항과 국경에서 스마트폰과 노트북을 재량껏 검색할 수 있도록 한 트럼프 행정부의 정책을 기각했다. 

미국 시민자유연합(American Civil Liberties Union: ACLU)과 일렉트로닉 프런티어 재단(Electronic Frontier Foundation: EFF)은 이 판결을 지지했다. 두 단체 모두 미국으로 돌아오는 중에 기기를 수색당한 11명의 사람을 대신하여 2017년 연방정부를 고소했다(판례는 알라사드(Alasaad) 대 맥커리넌(McAleenan)). 

과거에는 미국에 들어오거나 나가는 지점은 수정헌법 제4조의 ‘회색지대’로 취급돼 정부의 ‘불합리한 수색과 압수’에 대한 헌법의 금지조항이 적용되는지가 명확하지 않았다.

그 판결은 그것이 정말로 적용됨을 분명하게 했다. 보스턴의 데니스 캐스퍼 미국 지방법원 판사는 영장 없는 수색은 “한계가 없는 것이 아니며, 여전히 합리적이어야 한다”라고 판시했다.
 
ⓒU.S. Customs and Border Protection


ACLU의 변호사인 네이썬 웨슬러는 그 사건이 아직 끝나지 않았다고 전했다. 판사는 이 판결이 모든 사람에게 적용되는지 아니면 미국 시민권자와 미국 거주자에게만 적용되는지를 포함하여, 여전히 이 사건의 몇 가지 특정 요소들에 대해 판결을 내려야 한다. 

소피아 코프 EFF 수석 변호사는 이번 판결에 대해 “메뉴얼(기본)과 포렌식(첨단) 등 모든 기기 수색에 대해 합리적인 의심이 있어야 한다. 즉, 아동 포르노, 저작권이 있는 미디어, 기밀정보 등 디지털 밀수품을 검색하고 이를 차단하는 범위로 수색은 제한된다”라고 말했다.

결정적으로, 이 사건에서 판사는 불법행위의 일반적인 증거에 대한 광범위한 수색이 국경수색의 주요 목적인 밀수 금지와 관련이 없다는 것을 인정했다.

코프는 미국 정책의 한 가지 파장은 다른 나라들이 그것에 의해 영향을 받을 수 있다는 점이라고 지적했다. 그녀는 “우리는 항상 최악의 상태로 치닫는 것을 우려해왔다”라면서 이번 판결로 다른 나라들의 침략적인 국경 정책이 늦춰질 것이라는 희망을 내비쳤다. 

그녀는 “정부는 항소 여부를 60일 안에 결정할 수 있다”라고 밝혔다. 

미국 세관 수색에서 데이터를 보호하기 위해 알아야 할 사항
국토안보부 대변인은 CBP가 2019 회계연도(10월 1일에 시작되어 9월 30일에 끝남)에 40,913건의 전자기기 국경수색을 실시했다고 지난주에 말했다. 그는 이 수색이 그해 미국 입국장을 통과하는 여행객 4억1,400만 명 중 0.01%에도 못 미친다고 지적했다. 

CBP는 작년에 3만 200개의 기기를 수색했는데, 이는 2017년보다 약 60% 증가한 수다. 

달리 말해, 수색 건수는 지난 몇 년 동안 매년 빠르게 증가해왔다. 

웨슬러는 판결에도 불구하고 출입국 관리들이 당신의 스마트폰이나 노트북을 압수해 모든 콘텐츠를 다운받을 가능성이 있으며, 그 순간에는 당신이 할 수 있는 일이 별로 없다고 말했다.

그는 그들에게 당신이 수색에 반대한다고 정중히 말하라고 충고했다. 이는 후속 소송에서 도움이 될지는 모르지만, 아마도 그렇지도 않을 것이다. 수색에 동의한다고 말하는 것은 향후 소송에서 당신의 사건에 해가 될 수 있다.

출입국 관리들이 당신의 데이터를 복사하는 것을 막을 수 있는 유일한 말은 특정 정보가 변호사-고객 면책특권에 해당한다는 것이다. 그 밖에, 정부는 ‘개인적인’ 데이터와 회사 기밀을 구별하지 않는다.
 
CBP에 의해 복사되는 당신의 데이터에 관한 위험은 단순히 당신이 통제할 수 없는 또 다른 복사본이 있음을 의미한다는 점이다. 그것은 사이버범죄자들을 위해 ‘프리랜서로 일하는’ 에이전트의 손에 들어갈 수 있다. 

세관이 데이터를 갖지 못하도록 하는 가장 강력한 방법은 다음과 같다. 즉, 클라우드에 저장하라. 

정부는 기기의 저장 매체에 저장된 데이터와 클라우드 내 장치를 통해 이용할 수 있는 데이터를 크게 구별한다. 

클라우드 데이터는 검색이 엄격히 금지되어 있다. 특히, ‘전자 기기의 국경 수색’에 관한 CBP 지침의 5.1.2항에 따르면, 그러한 수색은 ‘기기에 상주하며 기기의 운영 체제나 다른 소프트웨어, 툴 또는 애플리케이션을 통해 접근 가능한 정보만’ 관여할 수 있다. 또한, ‘관리들은 전적으로 원격으로 저장된 정보에 접근하여 의도적으로 사용해서는 안 된다.’

이 지침은 관리들이 “여행자에게 어떤 네트워크에 대한 연결을 비활성화하도록 요청하거나(예: 비행기 모드에 장치를 둠), 국가 보안, 법 집행, 관리 안전 또는 기타 운영상 고려사항에 의해 보장되는 경우, 관리들은 스스로 네트워크 연결을 비활성화할 것”을 요구한다.

분명한 것은 데이터를 클라우드에 보관하는 것은 합법적으로 미국 국경 관리가 접근할 수 없는 곳에 데이터를 배치하는 것이다.


X