과다하게 분포된 개인정보보호에 관한 법률을 준수하기가 힘들다. 그렇다면 공통 요소에 초점을 맞추고 가장 엄격한 규정에 근거해 컴플라이언스 예방책과 프로세스를 이행하는 것은 어떨까.

적어도 23개의 주가 보안 위반 통지법을 통과시켰다. 또 다른 주가 소비자의 민감한 자료를 보호하기 위한 신 법안을 항상 제안하는 것 같다. 그리고 이 법들은 획일적인 것과는 거리가 멀어, 정보 보안과 컴플라이언스 전문가들에게 위압적인 도전을 가져왔다.

누가 통지를 받아야 하고, 개인정보를 구성하는 것은 무엇이며, 또한 가장 중요한 것으로 언제 통지가 이루어져야 하는지 등이 보안 위반 법마다 다 다르고, 다양하다.

그러면, 자료가 무권한 접근을 받을 때마다 또는 자료가 위험에 처해 있다고 우리가 생각할 때마다 통지해야 하는가? 이러한 가운데 고려 중인 적어도 네 개의 법안과 함께 모든 개별 주 규정보다 우선하는 연방 규정을 개발하는 문제가 있다. 이것은 혼란을 없애기 위한 다음 단계이지만, 연방법이 강제력을 가질 것인가 또는 부족할 것인가에 직면한다.

또, 언제 그것이 법으로 통과되고, 언제 기업들이 그 법을 준수해야 할까? 결국 우리는 계속적 변화 속에 있는 규제 환경에 있고, 이 상황 속에서 똑같은 경우에 처해있더라도 한 주에서는 법을 지켰지만 다른 주에서는 법을 어긴 사례를 보게된다. 보안 전문가로서, 나는 변화를 그다지 좋아하지 않는다. 변화는 잠재적 보안 위협(security threats)을 증가시킬 수 있고, IT부서와 소비자에게 혼란과 좌절을 야기할 수 있다. 그러나 아무 것도 하지 않고 국가 표준(national standard)을 기다리는 것은 위험하고, 대부분의 IT부서에 있어 손실이 클 수밖에 없는 계획이다.

그러면 이렇게 항상 변화하는 규제 환경에서 예방책과 프로세스를 어떻게 발전시켜 나갈것인가?

무수한 규정들 가운데서 유사점을 찾는 방법이 있다. 모든 규정들은 공통으로 두 가지 일반적 요건을 가지고 있다. 그것은 고객과 커뮤니케이션하고 그들의 정보를 보호하는 것이다. 커뮤니케이션은 예측적이면서 사전반응적인 것이어야 한다. 고객들에게 그들의 정보로 무엇을 하는지 알려주고 위반사항이 발생할 때 통지해야 한다.

이 요건을 충족하는 한 가지 접근법은 위험 평가, 제어 프레임웍(control framework), 통지 프로세스이다. 어디에 위험이 있는지 그리고 그 위험이 어느 정도인지 알기 위해선 위험 평가부터 시작하라. 위험 평가를 위해 ISACA와 다른 보안 조직으로부터 많은 툴들을 이용할 수 있다. 다음으로 측정 가능하고 감사 가능한 완화 솔루션을 구축하고 이행하기 위해 제어 프레임웍을 개발한다. 가장 일반적인 프레임웍은 CobIT 와 ISO17799로 서로 함께 사용될 수 있다.

마지막으로 위반 통지 프로세스를 개발하라. 각 주마다 통지가 다르게 취급될 것을 요구하기 때문에 이것이 가장 어려운 과제 중 하나다. ‘프루던트 맨’ 룰(지적이고 분별력 있게 행동해야 한다는 의무)을 사용하는 것이 여기서 도움이 될 수 있다. 본질적으로 이것은 가장 엄격한 규정에 근거해 컴플라이언스 예방책과 프로세스를 이행하는 것을 의미한다.

커뮤니케이션과 개인 정보 보호에 관한 규정에 초점을 맞춤으로써, 우리는 여러 규정들 사이를 지속적으로 헤매고 다니기보다 차라리 고객의 신뢰와 확신을 구축하는 데 집중할 수 있다. 완전한 해결책은 없다. 그러나 “오늘의 좋은 계획이 내일의 완벽한 계획보다 낫다.”란 패턴의 법칙(Patton’s Law)에 무게를 두고 싶다.    

<글: 데이빗 뫼니에_미국 신협상호보험회사의 정보보안책임자> 

 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>