• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

플로리다의 새로운 정보보호 법안, 굴레인가 채찍인가? 2014.07.09

미국 내에서도 가장 엄격한 보호법 월초부터 적용

정보 보호에 실제 효과가 얼마나 있을지 주목할 필요 있어


[보안뉴스 문가용] 미국 플로리다 주에서는 최근 개인 정보 유출과 관련된 새로운 법안이 통과됐다. 그러나 이 법안 때문에 플로리다 주에서 사업을 벌이고 있는 업체들과 건강 및 의료 관련 기구들에게도 타격이 있을 것으로 예상되고 있어서 시끌시끌하다.


2014 플로리다 정보보호법에 따라 플로리다 주 내에 있는 모든 단체 및 서드파티는 유출 사고 발생시 30일 안에 플로리다 법정과 소비자들에게 이를 고지해야 할 의무를 가지고 있다. 이는 이전 법문에서 명시한 45일보다 훨씬 촉박한 기한이다. 이유가 분명하고 정당하다면 15일 정도 이 고지 기간을 늘일 수 있긴 하다. 하지만 그런 절차 없이 30일 기한을 지키지 못했을 경우 30일 동안 하루에 1천불씩 벌금을 물어야 한다. 이 기간마저 넘겼을 때는 벌금이 하루에 5만불로 늘어난다. 하지만 플로리다 주 법에 의하면 벌금의 총합이 5십만 불을 넘어갈 수는 없다.


중요한 건 이 새 법안이 명시하고 있는 ‘기간’만이 아니다. ‘개인 정보’라는 개념도 확장되어 ‘성을 제외한 이름’이나 ‘이름의 첫 글자와 성’이 그 외 정보들 중 하나와 짝을 이루었을 때도 이제 ‘개인 정보’ 취급을 받게 된 것이다. 그 외 정보들이란 여권 번호, 병력, 정신 혹은 건강 상태, 의사의 처방 및 진료 기록, 건강 보험 번호, 건강 보험 가입자 번호, 건강보험과 관련해 개인 인증에 사용되는 모든 정보를 의미한다.


이 새 법안의 등장으로 소비자나 환자들의 정보는 훨씬 강력하게 보호받게 되었다는 게 관련 부처의 입장이다. 참고로 건강 보험에서 발생한 개인 정보 유출 사고는 2012년 전체 유출 사고의 34.9%, 2013년의 전체 유출 사고의 43.8%를 차지한 바 있다.


만장일치로 통과된 이번 법안은 보고 기한을 단축시키고 보호받을 수 있는 정보의 범위를 확대시킴으로써 업체들과 조직들이 정보 보호에 더욱 적극적으로 힘쓰게 할 것으로 보인다는 게 대부분 법 전문가들의 의견이다. 또한 사이버 범죄를 일으킨 피의자를 더 빠르게 잡을 수 있을 것이라고 보고 있다.


이 법안은 7월부터 플로리다 내 모든 업체들에게 적용되기 시작했다. 벌금액이 만만치 않기 때문에 굉장한 강제력이 있다는 게 건강 보험 관련 기관 및 업계의 목소리다. “개인 정보 유출이란 것이 이전에도 법에 어긋나는 일이긴 했지만 이번에 통과된 법안으로 인해 한 단계 위의 범죄행위가 된 느낌입니다. 게다가 보고를 법무상에게 직접 해야 한다는 차이도 생겼습니다. 즉, 연방, 주, 지역 에이전시들을 다 거쳐가야 한다는 의미입니다. 이건 서류 작업만 5년이 걸릴 일입니다.” 한 관계자의 말이다.


미국에서 정보 유출 사고가 발생했을 경우 주 법원에 보고할 것을 의무화시키고 있는 주는 47개에 달한다. 하지만 구체적인 기한을 명시하고 있는 주는 플로리다를 포함해서 7개에 불과하다.

 

이번 법안을 받아들이기 위해 플로리다의 건강 보험 관련 기구들은 다음과 같은 노력들을 하고 있는 것으로 알려져 있다.

- 법안을 꼼꼼하게 공부해서 실제로 잘 적용되고 있는지 파악한다.

- 보고서 양식을 세밀하게 준비한다.

- 민감한 정보에 대한 접근 권한을 제한한다.

- 직원들이 어떤 시스템, 정보 등에 접근하는지를 파악한다.

- BYOD 정책을 현실적으로 만든다.

- 사이버 보안만큼 중요한 물리 보안을 잊지 않는다.

- 고객 정보 삭제를 철저하게 이행한다.

- 사건 사고가 발생했을 경우 동원할 조사팀을 꾸린다.

- 포렌식 수사, 점검 등을 위한 아웃소싱을 확보해둔다.


서드 파티에서 정보유출 사고가 발생한다 해도 그 책임은 정보를 직접 확보해서 보유하고 있는 단체에게 돌아간다. 즉 서드 파티와도 긴밀한 관계를 평소부터 유지해야 한다는 의미가 된다. 플로리다에 있는 기업들은 보안에 더 바짝 신경을 써야 할 필요가 생겨버렸다. 이렇게 바짝 조인 고삐가 생산성과 보안성 어느 곳에 더 큰 영향을 미칠지 귀추가 주목된다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>