공공기관과 민간에서 이용하는 운용 기술 및 시스템은 이제 불가분한 관계로 상호 연결되어 있습니다. 그러나 최근의 사이버 범죄자들은 이러한 핵심 시스템을 공격하여 커다란 비용을 초래할 수 있습니다.
2021년 중 대규모 보안 사고는 놀라울 정도의 규모였습니다. Solar Winds, Uber, 미국 증권거리위원회 등이 2021년에 공격당한 주요 목표물이었습니다. 사실 2021년 중 사이버보안 침해로 인한 비용과 그러한 공격의 수준 및 위험은 사상 최악이었습니다.
유례없는 사이버보안 공격에 맞서려면 이제 마찬가지로 유례없는 수준으로 대응해야 합니다. 이를 위해서는 가장 먼저 데이터 보안에 적용되는 기본적 규칙과 사이버보안 규정을 검토해야 합니다.
사이버보안 규제
최근 Forbes에 따르면 반드시 이해해야 하지만 아무도 표면적으로 제기하지 않는 아래와 같은 사이버보안 관련 규칙이 존재합니다.
- 사이버 공격자들은 시스템의 모든 취약점을 공격하려 합니다.
- 그리고 모든 시스템에는 취약점이 존재합니다. 이것이 Target 및 A.B.C. 등의 주요 기업들이 관련 법규를 모두 준수함에도 위험에 처한 이유입니다.
- 운용 인원, 특히 데이터 보안 법규를 잘 모르는 이들은 피싱, 사기 등의 공격에 취약합니다.
- 기술이 발전하면서 보안 위험도 늘어납니다. 또한 사물인터넷(IoT) 시대에 진입하면서 시스템의 취약점도 증가합니다.
관련 법규는 사이버보안과 관련된 일반적인 우려를 다룹니다. 하지만 공격자들로부터 자신을 보호할 수 있는 역량을 갖추려면 먼저 세계 각지의 사이버보안 규제를 포괄적으로 이해해야 합니다.
여러 국가에서는 사이버보안 위험이 경제에 미치는 영향을 인지하고 있습니다. 이 국가들의 법규에 따르면 조직의 수장이 이를 전적으로 준수하여 사이버보안 위험에 대응해야 합니다.
위반 시에는 강력한 벌금이 부과될 뿐 아니라 더 이상 사업을 영위할 수 없게 될 수도 있습니다. 또한 2022년에도 대량의 공격이 일어날 것으로 예상됩니다.
미국 연방 사이버보안법
EU 회원국들과 마찬가지로 미국 역시 단일한 연방 차원의 사이버보안이나 개인정보 관련 법규가 없으며 주 별로 다른 사이버보안 법규를 시행합니다. 이렇게 명확성과 통일성이 부족한 관계로 주별 기관 및 기업은 혼란을 겪고 있습니다. 다만 미국 내 모든 조직이 준수해야 하는 핵심 연방 요건은 시행 중입니다. 그 중에서도 가장 중요한 것은 아래와 같습니다.
GLBA(Gramm-Leach-Bliley Act)
GLBA는 아래와 같은 미국 내 모든 금융기관에 적용되는 데이터 보안 및 개인정보 보호법입니다.
- 은행
- 보험사
- 증권사
- 은행 외 대출업체(2, 3금융권)
- 세무사
데이터 보안 규칙(16 C.F.R. Part 314)에 따르면 금융 조직은 철저한 데이터 보안 프로그램을 수립, 시행, 유지해야 합니다. 이러한 프로그램은 조직의 규모와 업무 복잡성에 따른 물리적, 행정적, 기술적 데이터 안전 조치를 실시해야 합니다.
조직의 데이터 보안 프로그램은 명확히 정의하고 감사 시 공개해야 합니다. 이를테면 아래와 같은 사항을 명시해야 합니다.
- 활동의 성격
- 활동 범위
- 수집하는 고객 데이터에 일어날 수 있는 위험
GLBA의 중요성에 대해서는 여기에서 자세히 볼 수 있습니다. GLBA를 위반하는 금융기관은 아래와 같은 처벌을 받습니다.
- 최대 1백만 달러의 벌금
- 연방 예금 보험사(FDIC)의 인허가 효력 상실
- 후자의 경우 미국 내에서 사업을 영위할 수 없음을 의미합니다.
의료보험 양도 및 책임성 법규(HIPAA)
HIPAA는 1996년부터 시행되었습니다. 이는 데이터 보안, 개인정보 보호, 데이터 침해 통보에 대한 연방 법규입니다. 아래와 같은 미국 내 의료분야 조직에 적용됩니다.
- 의료서비스 제공자
- 의료보험 판매사
- 의료정보 처리기업
- 의료 관련 조직의 파트너(적용대상 기관)
여기서 ‘적용대상 기관’이라 함은 제약회사나 보험사가 될 수 있습니다. 다만 HIPAA에 대한 준수 요건은 조직의 성격에 따라 달라집니다. 이러한 준수 요건은 아래와 같은 목적으로 적용됩니다.
- 건강보험의 이전성 확보. 즉 환자는 기존 질병과 무관하게 보험사를 옮기거나 다른 일자리를 구할 수 있어야 합니다.
- 의료 서비스의 남용과 부정행위 방지.
- 의료 데이터의 저장 및 공유에 대한 명확한 표준 시행.
- 의료 정보의 보호.
위반 시 벌금 등 처벌은 위반의 성격에 따라 결정됩니다. Anthem, Inc.의 경우 2020년에 1,600만 달러의 벌금을 보건부에 납부했습니다. HIPAA 위반에 대한 벌금은 최근 크게 증가했습니다.
연방 정보보안 관리법(FISMA)
2002년부터 시행된 FISMA는 미국 연방기관에 적용되는 연방법입니다. 또한 전자정부 프로세스를 강화하는 것이 목적인 2002년 전자정부법에 속합니다.
FISMA에 따르면 모든 연방기관은 적절한 정보보안 및 보호 프로그램을 수립, 실행, 관리해야 합니다. 데이터 보안과 관련하여 가장 중요한 연방 규정입니다.
FISMA는 연방 데이터에 대한 보안 위험을 줄이면서 연방정부의 관련 비용을 절감하는 것이 목적입니다.
- 메디케어 등 연방 프로그램을 관장하는 주별 기관을 비롯한 모든 연방기관은 FISMA를 준수해야 합니다.
- 이 법은 국방부 협력사 등 연방기관의 민간 협력업체에도 적용됩니다.
FISMA의 주요 기본 보안 요건은 아래와 같은 것이 있습니다.
- 연방기관 및 그 협력사는 모두 FISMA 적용 대상이며 연방 업무 수행에 이용하는 정보 시스템의 목록을 작성해야 합니다.
- 민감성 정보는 모두 FISMA 적용 대상 정보 시스템을 통해 저장 및 공유해야 합니다.
- 연방기관은 정보보안 계획을 수립, 실행, 관리해야 합니다.
- 기관장은 연간 보안 검토를 실시하여 FISMA 인증을 받아야 합니다.
FISMA를 준수하면 연방 차원의 정보 보안을 강화할 수 있습니다. 또한 민간 협력사가 연방 계약을 따내는 데에도 도움이 됩니다. FISMA를 위반하는 기관과 기업은 명성이 영구적으로 훼손되며 연방 자금지원을 받지 못하고 벌금도 부과됩니다.
미국 국토안보부(D.H.S.)
DHS는 앞으로도 기업의 데이터 침해 시 조사를 실시하고 지원을 제공할까요? 그렇습니다. DHS는 사이버범죄가 발생할 시 피해자에게 아래와 같은 즉각적인 지원을 제공합니다.
- 조직의 주요 인프라에 대한 해당 공격의 영향을 분석합니다.
- 다른 사법기관과 함께 해당 공격을 실시한 자를 파악, 조사합니다.
- 다른 미국 조직에 유사한 사이버공격이 일어나지 않도록 국가적으로 대응합니다.
이 과정에서 DHS는 연방기관 뿐 아니라 민간 보안 기업들과도 긴밀히 협력합니다. DHS는 2014년부터 연방 행정부 시스템에 대한 정보보안 정책을 관장할 권한을 부여받았습니다.
2014년 연방 정보보안 선진화법(FISMA 2014)은 연방기관에 대한 데이터 보안 표준의 시행에 대한 DHS의 역할을 명문화했습니다.
미국 주별 사이버보안법
미국에는 연방법 외에도 주별로 시행되는 사이버보안법이 있습니다.
- 즉 50개 주 모두 지역 내 기업들이 사이버보안 사고 시 준수해야 하는 법을 시행합니다.
- ‘개인정보’의 정의는 주마다 다소 상이합니다.
- 다만 기업들은 고객이 거주하는 주의 사이버보안법을 따라야 합니다.
뉴욕과 캘리포니아는 주별 사이버보안법을 선도하는 지역들입니다.
주요 주별 사이버보안 규제에는 아래와 같은 것이 있습니다.
- 캘리포니아 소비자 개인정보 보호법(CCPA): CCPA에 따르면 캘리포니아에서 사업하는 기업은 해당 사이버보안 요건을 충족해야 합니다. 특히 이 법은 IoT 기업에 적용되는 미국 최초의 사이버보안법입니다. IoT 기업은 모두 자신의 제품에 ‘합당한 사이버보안 조치’를 반영해야 합니다.
- 캘리포니아 개인정보 보호 권리 및 시행법(CPRA): 미국 기업은 2023년 1월부터 시행되는 이 법을 반드시 준수해야 합니다. CPRA는 캘리포니아에 소재하여 사업을 영위하는 기업이나 캘리포니아에 소재한 고객에 제품과 서비스를 제공하는 기업에 매우 엄격한 개인정보 보호 요건을 적용합니다. 이에 따라 소비자들은 기업이 민감성 개인정보(SPI)를 공유하는 방식을 통제할 수 있습니다. SPI라 함은 사회보장번호, 금융계좌번호, 여권정보, 의료/유전정보 등을 말합니다.
- 2019년 뉴욕 SHIELD 법: SHIELD는 ‘해킹 방어 및 전자적 데이터 보안 개선’을 말합니다. 2019년부터 시행되었습니다. 이 법에 따라 뉴욕에서 사업하는 조직은 고객 데이터를 추적할 시 ‘합당한’ 기술적, 물리적, 행정적 안전조치를 실행해야 합니다. 뉴욕주 법무처장(NYAG)의 개인정보에 대한 정의는 여기에서 볼 수 있습니다. SHIELD 법을 위반할 시 건당 최대 5천 달러의 벌금이 부과됩니다.
- 뉴욕주 금융서비스부(NYDFS) 사이버보안 규제: 신용협동조합, 투자사, 대출 브로커 등 뉴욕에서 활동하는 모든 금융 및 관련 조직은 이 NYDFS 사이버보안 규제를 준수해야 합니다.
미국 사이버보안법과 규제 – 자주 묻는 질문
미국에서 활동하는 개인이나 조직이라면 아래와 같이 사이버보안 법규에 대한 궁금한 점이 있을 것입니다.
- IT 시스템의 취약점을 파악하는 것이 불법인가요?
- IT 시스템을 보호하기 위해 어떤 방법을 이용할 수 있는가요?
- 사이버보안 보험을 이용할 수 있는가요? 가능하다면 부보액이 제한되는가요?
이러한 질문에 대한 답변과 그 외 자세한 정보는 국제 국제 비교법 가이드(ICLG)의 상세 자료를 참고하십시오.
EU 사이버보안법
미국의 사이버보안 규제와 표준은 공공 및 민간 조직에게 명확한 운용 근거를 제시합니다. EU의 경우 유럽경제구역(EEA) 내에서 사업하는 기업에게 보다 구체적인 규제를 적용합니다. EU에서 사업하는 기업이라면 아래 3가지 주요 규제를 준수해야 합니다.
이 3개 규정은 모두 EU의 단일 디지털 시장 전략에 속합니다. 이 외에도 EU 내 활동 조직은 EU 사이버보안법을 준수해야 합니다. 2019년 6월 시행된 이 법에 따라 아래와 같은 조치가 도입되었습니다.
- 정보통신기술(ICT) 분야에서 제품과 서비스를 제공하는 기업에 보다 엄격한 사이버보안 표준을 적용하는 EU 전역 인증 제도.
- EU 관련 기관에 대해 보다 엄격한 사이버보안 요건.
EU는 이러한 규제와 인증 제도를 통해 EU 전역에 걸친 거래를 단순화하면서 보호하고자 합니다. 또한 소비자들이 ICT 제품 및 서비스를 신뢰할 수 있도록 유도하면서 EU 사이버보안 시장의 성장을 촉진하려 합니다.
그 외에도 EU는 온/오프라인 위험이 최근 증대되면서 2가지 법안을 제시하기도 했습니다.
- 그 중 하나는 유럽연합 집행기관에서 마련한 EU 사이버보안 전략입니다.
- 유럽 대외협력청(EEAS)에서 수립한 EU 사이버보안 전략도 있습니다.
이 전략들은 모두 EU 조직이 이용하는 네트워크 및 정보시스템의 회복력을 강화하는 것이 목적입니다.
국제 사이버보안법
사이버공간에도 국제법이 적용될까요? 그렇습니다. 2001년에 통과된 사이버범죄 협약은 아래와 같은 조치를 통해 사이버범죄를 줄이고자 시도한 최초의 국제 사이버보안 협약이었습니다.
- 국내법의 통일
- 조사 기법 강화
- 국제 협력 강화
또한 이 UN 협약에는 국제 사이버공간에서 이루어지는 활동에 적용되는 규칙이 포함되어 있습니다. 다만 사이버공격에 대한 대응책은 다루지 않습니다. 동시에 이 협약에는 피영향 당사자들이 자구책으로 대응 조치를 실행하고 자신의 권리를 행사할 수 있다고 되어 있습니다.
하지만 사이버공간의 국제법은 특히 타국의 악의적 행위자들을 대상으로 적용하기가 쉽지 않습니다. 이러한 법은 주권국이 자신의 데이터, 사이버 인프라, 사이버 활동에 완전한 관할권을 갖는다고 명확히 제시합니다.
최신화의 중요성
사이버공간이라도 누구나 합법적이며 관련 규정을 준수하면서 활동해야 합니다. 사이버보안 법규는 지속적으로 발전하고 있습니다. 관련 기관에서는 신속하게 최신 기술과 위협에 대응하는 새로운 규정을 발표하고 있습니다. 기업과 기관의 리더는 반드시 전 세계적으로 새로이 적용되거나 제안되는 사이버보안 법규를 인지해야 합니다. 여기에서 최근의 사이버보안 법규와 정책 및 관련 소식에 대해 알아볼 수 있습니다.
이러한 법규와 제도는 민간 기업이나 공공기관의 사이버공간 내 주요 활동을 보호하고자 합니다. 그에 따라 소비자들에게 직접적인 영향을 미치므로 정부기관들도 당연히 이를 엄격하게 시행하고자 합니다.