Offcanvas

보안

기고 | 고객 정보 보호 못하면, 벌금 내라?

2011.09.15 George V. Hulme  |  CSO
상원의원 리차드 블러멘덜은 말했다. 그의 데이터 유출 법안이 데이터 유출 사고를 감시할 것이라고 말했다. IT보안 전문가들은 의구심을 가지고 있다.

미국 상원의원 리차드 블러멘델이 새로 제안한 ‘개인 데이터 보호 및 유출 책임 법안’이 데이터 도난에 따른 개인 신상정보 유출을 막고 법적으로 고객 정보를 보호하지 않은 기업에게 벌금을 부과할 것이라고 밝혔다. 물론, 이에 대해 회의적인 의견도 있다.

1만 명 이상의 고객을 가진 기업들이라면, 이 법안에 적용돼 보안 계획을 수립할 수는 있다. 그러나 기업들은 어겼을 때 물게 될 벌금을 피하거나 간신히 법의 저촉을 받지 않을 수준으로 계획을 수립할 것이다. 벌금은 좀더 공개적인고 개인적인 정보 공유를 요구할 수 있다.

“이 법안의 의도는 사람들이 개인정보가 유출됐을 때 심각한 피해를 입지 않도록 데이터 유출을 방지하고 감시하는 것”이라고 블러멘덜은 보도자료를 통해 밝혔다.

우리가 인터뷰한 보안 분석가들은 과연 벌금이 성공적으로 그 목적을 실현할 지 의문을 제시했다. 그들이 연방 데이터 보호 법안에 대해 회의적인 반응을 보인 것은 사실 처음이 아니다.

"냉정하게 판단해 보면, 기업들은 이미 자체적으로 고객 정보를 보호하기 위한 강구책을 마련해 실행하고 있다”라고 컴퓨터 사이언스 기업(Computer Sciences Corporation)의 개인 정보보호 컨설팅과 사어버보안을 담당하는 디렉터 마크 래쉬는 말했다. 다음의 그의 설명이다.

"맹점은 이러한 법률과 함께 세부 사항 안에 있다. 하지만 많은 질문이 여기 있다. 우리는 고객 데이터를 보호한다고 믿는 그램-리치-브라일리(Gram-Leach-Bliley)부터 HIPPA에 이르는 나름의 규정을 이미 가지고 있다. 둘째, 이 회사들은 이미 이러한 공격의 피해자인데, 왜 우리가 유출 사고 이후에 그들에게 벌금을 부과하라고 해야 하나? 그것은 아마도 범죄를 저지를 사람을 추적하고 찾아내는 것보다는 회사들에게 벌금을 물리는 게 더 쉽기 때문이라고 생각한다.”

가트너의 보아 담당 애널리스트 존 페스케이토어 역시 새 법안이 통과된다 해도 그것은 기존의 많은 법과 관련된 법일 뿐이며 이미 벌금 이상의 효과를 나타내는 데이터 유출 사실 공개를 막기 위해 기업들은 새로운 비용을 들여야 할 것이라는 데 동의했다. 미 연방통상위원회(FTC)는 이미 개인 정보보호법을 어긴 기업을 처벌하는 좋은 일을 하는 것처럼 보이며 아직 또다른 법을 필요하지 않을 것 같다”라고 페스케이토어는 밝혔다.

스파이어 시큐리티(Spire Security)의 연구 디렉터 피트 린드스톰은 정부가 효과적으로 보안 기준을 제정할 수 있을 지 여부에 대해 의문을 나타냈다. “리스크를 완화하려면, 무엇이 안전하게 보호하는 것이고 법안이 허용하지 않는 상식이나 그들의 판단이 무엇인지에 대해 기업마다 정의가 다르다”라고 린드스톰은 전했다.

*George V. Hulme은 미네소타 주 마니아폴리스에 거주하며 보안과 IT에 대해 기고문을 쓰고 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.