유럽의 개인정보보호일반규정 제일 많이 언급돼... 영국 이에 따를까?
혼란을 틈탄 해킹 공격 많아질 듯... 인재 이탈과 수급 어려움 예상

[보안뉴스 문가용] 넘치는 호기심을 주체하지 못한 보안뉴스의 한 기자는 런던 해즈 폴른이라는 무시무시한 테러 영화가 나오고, 브렉시트 국민투표 이후 외국인들에 대한 반감이 점점 더 노골적으로 변하고 있다는 소문이 무성한 런던을 다녀왔다. 1주일간 연락이 없던 그가 출근 후 한 첫 마디는 “거긴 추웠어요”였다. “아직도 브렉시트 관련 시위가 시시때때로 벌어진다”는 현장에서 추운 미래를 본능처럼 직감한 것일까? 보안 업계에는 어떤 일들이 벌어질까? 해외 매체들을 통해 전문가들의 기상예보를 모아보았다.


1. 스티븐 콥(Stephen Cobb), ESET
“먼저 유럽연합(EU)이 준비하고 있는 개인정보보호일반규정(이하 GDPR)을 생각하지 않을 수 없습니다. 미국과 EU가 서로 필요에 의해 데이터를 주고받을 때 GDPR을 반드시 고려해야 하죠. 특히 유럽 시민들을 고객으로 두고 있는 미국의 IT 기업들에게 GDPR은 새로운 장벽이며 넘어야 할 산입니다. 그런데 영국이 브렉시트를 정말로 감행한다면, 영국 기업들도 미국과 같은 고민을 해야 할 겁니다. 미국은 GDPR 하나만 어떻게든 공부하고 극복하면 되었는데, 이제 영국과도 따로 조약을 맺어야 하겠고요. 즉 일이 더 복잡해진 거라고 볼 수 있습니다. 미국만의 일이 아니라 EU를 상대해왔던 모든 국가에게 해당하는 일입니다.

또한 사회적 및 정치적 긴장감이 유지되는 것 자체도 좋은 일은 아닙니다. 발칸 반도와 구 소비에트 회원국들이 지금 어떤 일을 겪고 있는지 보세요. 핵티비즘이 엄청나게 증가했죠. 브렉시트 자체가 문제가 아니에요. 오히려 아직 결정도 되지 않은 브렉시트 때문에 영국과 EU 사이, 또 영국과 스코틀랜드 사이 등의 정치적 긴장감이 형성되었다는 게 더 큰 문제입니다. 이런 혼란의 때에는 반드시 해킹 범죄가 뒤따릅니다.”

2. 마이크 데이비스(Mike Davis), 카운터택(CounterTack)
“두 가지 정도의 결과를 얼른 예상하는 게 가능합니다. 먼저는 혼란의 시기가 꽤나 오래 지속될 것이라는 건데, 이런 때에는 소셜 미디어, 피싱, 멀버타이징 등을 통한 공격이 잘 통합니다. 특히 EU의 회원이기 때문에 100개가 넘는 해외 국가에서도 비교적 쉽게 직업을 찾을 수 있는 장점이 있었는데, 이게 사라지면 사기성 혹은 악성 구인구직 광고에 당하는 사람이 크게 늘어날 것입니다. 두 번째는 위의 프라이버시 관련 법에 대한 의견과 일치합니다. 브렉시트가 EU 분리의 신호탄이 된다면 기업들이 고려해야 할 법이 사업을 할 수 없을 정도로 늘어나고 복잡해질 수 있습니다.”

3. 리치 랭스턴(Rich Langston), 아칼비오 테크놀로지스(Acalvio Technologies)
“EU의 데이터 프라이버시 관련 법과 영국의 데이터 프라이버시 법이 충돌하는 문제가 가장 큰 문제로 작용하지 않을까 합니다. 물론 영국 정부가 EU의 것을 그대로 수용할 수도 있지만, 그럴 가능성은 높지 않다고 보고 있습니다. 또한 영국 땅에 데이터센터를 두고 있던 기업들도 모두 이전을 고려해야 할 상태에 놓이게 되었죠. 미국과 EU 사이의 조약인 프라이버시 실드(Privacy Shield)도 미국 입장에서는 조금 더 복잡해질 수 있게 되었습니다. 지금 기업들은 혼란 그 자체에요.”

4. 조셉 카슨(Joseph Carson), 타이코틱(Thycotic)
“아무리 영국 국민들이 브렉시트에 찬성하는 표를 던졌다고 해도, 개인의 프라이버시에 관해서 빡빡하기 그지없는 GDPR까지 거부할 리는 없다고 봅니다. 높은 수준의 프라이버시를 원하는 건 영국 국민이나 EU 회원국 시민들이나 비슷비슷 하거든요. 영국이 설사 브렉시트를 진짜 감행한다고 해도 GDPR과 관련된 혼란은 거의 없을 거라고 봅니다.”

5. 트로이 질(Troy Gill), 앱리버(AppRiver)
“최근 들어 국제 수사의 공조가 조금씩 부드러워지고 있는 추세였습니다. 국가 간 경찰기관의 연계가 발전한 측면도 있지만 사실은 인터폴이나 EC3(유럽사이버범죄 대응센터)와 같은 국제기관의 힘이 컸지요. 그중 EC3가 주요한 역할을 많이 했는데, 문제는 EC3가 EU 회원국들만을 대상으로 하고 있다는 겁니다. 영국의 정보기관들은 EC3를 통해 유럽 다른 나라 경찰기관들과 애써 만들어놓은 관계를 잃을 수도 있습니다. 이건 단지 영국만의 문제가 아니라 이제 막 자리가 잡혀가고 있는 국제 수사 공조의 시스템에도 작지 않은 타격입니다.”

6. 토드 잉크십(Todd Inkseep), RSA 컨퍼런스
“정보 보안 분야에서 가장 어려운 문제 중 하나는 ‘신뢰’입니다. 정보를 주고받는 주체들 간의 신뢰가 굳건하면 할수록 좀 더 원활한 정보 공유 및 교환이 이뤄지는데, 영국이 EU로부터 분리해 나간다면 상당히 많은 업체나 정부기관들이 이 ‘신뢰 쌓기’ 작업을 처음부터 해야 할 겁니다. 누구를 믿을 수 있는가, 어느 정도나 믿어야 하는가 등을 다시 묻고 조사해야 하는데, 이는 영국 정부와 EU 회원국들 간의 협상이 어떻게 이루어지는가에 따라 달라질 수 있습니다. 남은 협상 기간 동안 무슨 일이 벌어질지 더 지켜봐야 하겠죠.”

7. 냇 코식(Nat Kausik), 비트글래스(Bitglass)
“미국 기업들 중 영국에 본부를 두고 유럽을 대상으로 사업을 벌이던 부류들은 이미 본부 이전을 실행하고 있습니다. 대부분 아일랜드를 후보지로 보고 있더군요.”

8. 론 아든(Ron Arden), 파수(Fasoo)
“데이터센터 이전에 대한 소식이 이미 많이 들려옵니다. 이는 대량 이직으로 이어질 가능성이 높고, 이는 보안 및 프라이버시 전체에 적지 않은 영향을 끼칠 것으로 보입니다. 직원들은 내부 정보를 잘 알고 있는 사람들이며, 실수든 고의든 중요 문서들을 다량으로 가지고 회사를 그만둘 수도 있습니다. 이를 위한 정책이나 비상대책이 마련되어야 합니다.”

9. 네이든 웬즐러(Nathan Wenzler), 애즈텍 컨설팅(AsTech Consulting)
“EU에 가입해 있기 때문에 인재를 고용하는 게 비교적 쉬웠던 측면이 있습니다. 회원국들 간 국경을 넘나드는 게 쉬웠기 때문이죠. 영국이 브렉시트를 하게 되면 당연히 이는 더 이상 누릴 수 없는 장점이 됩니다. 가뜩이나 정보보안 업계에 사람이 없다고 하는데, 영국은 인재 수급에 더 많은 어려움을 겪을 수밖에 없을 겁니다. 이 현상이 본격화되면 영국은 수많은 해커들의 사냥터가 될 것이고요.”

10. 앨리슨 웨이크필드(Alison Wakefield), 시큐리티 인스티튜트(The Security Institute)
“이제야 정보보안의 존재가치를 실현할 때입니다. 브렉시트를 국민들이 선택했다는 건 결과야 어쨌든 경제적이고 정치적인 혼란의 길을 걸어가겠다고 결정한 것과 같습니다. 정보보안의 존재의의가 무엇입니까? 혼란을 최대한 잠잠하게 만드는 것입니다. 그래서 다른 분야의 프로페셔널들이 그 전문성을 더 안전하게 발휘하도록 하는 것이죠. 브렉시트가 잘한 결정인지 아닌지 우리는 모릅니다. 하지만 먼 훗날 누군가 ‘돌아보니 잘한 결정이었다’고 말할 수 있게 해줄 수 있는 건 정보보안의 몫입니다. 최소한 ‘잘 버텼다’고 해줄 수는 있어야 합니다.”

11. 제이슨 하웰즈(Jason Howells), 바라쿠다(Barracuda)
“지난 5년 간 영국은 EU와 함께 데이터 보호를 위한 법안을 마련하는 데에 엄청난 노력을 기울여왔습니다. GDPR이 완벽히 영국을 비껴가지는 않을 것이라고 봅니다. 다만 여기에 더해 ‘고립되지 않으려는’ 노력을 더 해야 한다는 과제가 남아있을 뿐입니다. 영국은 ‘국민들의 프라이버시 보호’를 위한 노력에 ‘나홀로 섬국가’가 되지 않으려는 노력을 겸하는 비상시국에 접어들었습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>