| 논란의 중심에 선 오바마의 법안, 통과될까 안 될까? | 2015.02.05 | ||
오바마의 개인정보 알림 및 보호법, 현재는 취지만 좋은 상태 \r\n애매모호한 표현, 주법과 중앙법 간의 교통정리가 시급 \r\n[시큐리티월드 문가용] 지난 1월 12일 오바마 대통령은 미국 연방거래위원회(FTC)를 향한 연설을 통해 소비자의 프라이버시를 보호하기 위한 새로운 방법을 몇 가지 제안했다. 이때 요즘 한창 논란이 되고 있는 개인정보 알림 및 보호법(Personal Data Notification and Protection Act)이 언급됐다. 물론 의회가 이 법안을 통과시켜야 정식 법이 되는 것이지만, 일단 통과가 된다면 미국 시장에서 활동하고 있는 회사들과 기존의 정보보호 관련법들은 전부 큰 변화를 겪을 것으로 보인다. 유출사고가 발생한 날로부터 30일 이내에 고객들에게 알릴 의무가 법으로 생기는 것이기 때문이다. \r\n\r\n \r\n 미국에서 이 법안이 논란의 가운데 있게 된 여러 가지 이유 중 하나는 정보보호와 관련된 법을 주마다 주체적으로 운용하긴 했는데, 오바마의 의도는 이런 ‘따로 노는’ 법들을 하나로 통합해 중앙에서 관리하겠다는 것이기 때문이다. 연설을 통해 살펴볼 수 있었던 오바마의 의지는 강력해보였다. \r\n“지금은 주마다 관련법의 내용이 전부 다릅니다. 혼란은 고스란히 소비자의 몫이 되죠. 또한 이런 혼란스러운 시장에서 사업을 하는 모든 기업들에게 악영향을 미칩니다. 이 때문에 비싼 값을 치러야 할 때가 왕왕 생깁니다. 이 혼란 속에서 내 카드 정보가 유출된 사실조차 모르는 소비자가 태반인 게 현실이기도 합니다. 그러다가 어느 날 날아 들어온 폭탄 청구서를 보고서야 알게 되는 것이죠. 너무 늦게 알게 된다는 겁니다.” \r\n대통령의 의지가 강력해 보이는 가운데 각 주의 반응은 어땠을까? 손에 손잡고 하나 되었을까? 전혀 그렇지 않다. 대통령의 연설이 있고 이틀 후, 뉴욕의 주법무관인 에릭 쉬나이더만(Eric Schneiderman)은 “우리 주의 관련법을 보다 확장시키고자 한다”고 공식발표했다. 언뜻 들어보면 오바마의 법안을 지지하는 내용 같았고 실제 몇몇 매체는 이런 움직임을 친오바바의 측면에서 해석하기도 했다. 하지만 결국에는 주의 독립적인 법을 지지하는 내용으로 중앙에서 통제하는 법을 반박하는 것이 본질이었다. \r\n그런데 진짜 문제는 논의가 한창 이루어지고 있는 지금의 이 붕 뜬 기간 동안 기업들은 어떻게 유출 사고에 대처해야 하는가이다. 사실 지금까지의 추이를 보건데 개인정보 알림 및 보호법이 제안된 상태 그대로 통과되지는 않을 가능성이 높다. 하지만 어떤 모양새로 통과되던 이는 기업들에게 큰 부담이다. 법으로 제정된다면 기업들 입장에서는 지켜야 할 규칙이 더 추가되는 것과 같을 것이고 통과되지 않는다고 하더라도 주마다의 다른 법을 공부하고 이해해야 하는 기존의 부담감에서 해방될 수 없기 때문이다. \r\n그렇기 때문에 미국의 기업들은 이 법안의 향방과는 상관없이 사건 대응 및 컴플라이언스 시스템이 효율적으로 운영될 수 있도록 미리미리 준비를 해두어야 한다. 사건발생 시 적절한 조치를 취하고 정해진 법률 혹은 가이드라인을 준수하는 행위를 수치화시키고, 그러면서도 유연성을 잃지도 말아야 한다. 이 기간이 조용히 지나가기만을 바라면서 조용히 때만 기다리는 건 퇴보의 첫 걸음이 될 확률이 높다. 법안이 통과된다면 ‘정보 공유를 위한 플랫폼’을 새롭게 장착하고 사용해야 하니 업무 환경의 측면에서 보자면 불편이 더 늘어날 것이 거의 분명해 보인다. 통과 되건 아니건 지금부터 미리 준비할 수 있는 게 없지 않다는 것이다. \r\n이 법안이 통과될 가능성이 희박하다고 위에 썼는데, 그 근거는 무엇일까? 법안에 따르면 기업들은 ‘보호된 정보’와 관련이 있는 모든 전자장비에서 발생한 사건을 빠짐없이 평가해야 한다. 그리고 유출된 흔적이 발견되면 30일 이내에 FTC에 반드시 보고해야 한다. 보기엔 무리가 없는 듯 하지만 일단 ‘보호된 정보’가 무엇인지 설명이 없다. 또한 널리 공개되지는 않았지만 유출 사고가 아니라고 하더라도 일단 모든 전자장비에서 발생한 사건은 FTC에 보고해야 한다는 항목이 있는데, 이는 지금보다 각 기업이 제출하는 보고양이 약 50배는 늘어난다는 의미가 된다. \r\n게다가 이 법안은 전자 정보만을 그 대상으로 하고 있다. 하지만 실제 기업의 업무 환경에서는 종이로 생성되고 전달되는 정보도 전자정보만큼이나 중요하고, 이런 물리 정보의 유출이 아직도 잦은 편이다. 아까 주마다 정보보호법이 다르다고 했는데, 맞다. 어떤 주에서는 물리 정보에 관한 항목이 있는가 하면 어떤 주는 전자정보만을 다룬다. 이를 하나로 갑자기 합쳐버리는 건 생각보다 큰 소란을 일으킬 것이다. 가장 간단한 해결책은 이 법안에 물리 정보에 관한 내용도 포함시키는 것으로, 이것만 해도 아주 중요한 수정 사항이 아닐 수 없다. \r\n또 다른 해결책은 이 새로운 정보보호법을 각 주의 정보보호법의 하위 개념으로 두는 것이다. 그러나 이는 법리와 정서에 있어 새로운 논란을 낳을 가능성이 다분한 문제다. 이런 사건이 미국의 법치주의에서 처음 일어나는 일은 아니다. 어떤 중앙법은 주의 법보다 우선시되기도 하지만 주의 법이 중앙법보다 우선시되기도 한다. 차별적으로 적용되는 법도 있다. 혹은 그저 밑바탕이 되는 ‘철학’과 ‘정서’의 개념으로서 주법의 토대가 되기도 한다. 어찌됐던 이 모든 경우 법의 실제 적용이 상당 기간 끊임없는 혼란의 주요 원인 되었다는 것이 중요하다. 오바마의 이번 법안은 그렇기 때문에 통과되는 순간 실제 현장적용에 있어서 큰 혼란을 불러일으킬 가능성이 다분하다. \r\n그러나 언제나 단언은 금물이다. 이렇게 글을 쓰긴 하지만 나 역시 이 법안의 미래에 대해서 명확히 아는 바가 없다. 언제 통과될지, 어떤 사항이 수정되거나 변동 없이 유지될지 아무 것도 예견할 수 없다. 다만 분명한 것 한 가지는 새로운 법의 탄생은 ‘해결책’보다는 ‘혼란’을 더 많이 가져오고, 이번 대통령의 의지를 담뿍 머금은 법안 역시 다르지 않으리라는 것이다. 적어도 지금의 상태 그대로는 말이다. \r\n지금은 법안의 통과 여부를 궁금해해봤자 아무런 도움이 되지 않는다. 답도 없다. 지금 할 수 있는 거라곤 이 법안의 본질인 ‘사용자(소비자) 정보와 프라이버시의 보호’라는 메시지를 공공단체 및 정치인들에게 전달하는 것이다. 그러면 이를 어떻게 전달해야 할까? 사업체로서는 보안 관련 툴, 소프트웨어, 움직임, 정책마련, 보고체계 구축 등을 연구하고 또 투자하는 것으로 이런 메시지를 전달할 수 있다. We do care! 이걸 겉으로 드러내야 할 때다. \r\n글 : 릭 캄(Rick Kam) \r\n@DARKReading \r\n\r\n[국제부 문가용 기자(globoan@boannews.com)] <저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> |
|||
 |
