'2019/11/11'에 해당되는 글 5건

  1. 2019.11.11 치솟는 데이터 침해 사고 벌금, 어떻게 봐야 하나?
posted by 알짜 정보 岳岩 2019. 11. 11. 07:50

벌금 높아지지만 실제적으로 침해 사고는 줄어들지 않고 있어...무용론 떠오르기도
다른 처벌 방식 선택했어도 결국 벌금으로 귀결됐을 것...보안 인식 확산에 도움


[보안뉴스 문가용 기자] 침해 사고는 기가 막힐 정도로 많이 일어나고 있다. 지난 5년만 놓고 봐도 기업체들에서 발생한 사고 횟수는 치솟는다는 표현이 모자랄 만큼 늘어났다. 그 결과 이메일 주소, 카드와 계좌 번호는 물론 아무와도 공유하고 싶지 않은 개인정보들이 억을 넘어 조 단위로 온라인 공간을 떠돌아다니고 있게 됐다.

[이미지 = iclickart]


이에 규제 기관이 나섰다. 기업들의 방어벽을 두텁게 치기 위해 사업주들을 독려하기 시작했다. 독려의 방법은 바로 벌금. 정보가 유출될 때마다 보호를 제대로 하지 않은 기업에 회초리를 휘두르겠다고 발표하는 정부와 그에 준하는 권력 기관이 늘어나고 있다. 하지만 이것이 과연 효과적인 방법일까? 기업들은 벌금 때문에 방어를 더 잘하게 될까?

최근 이미 시행된 벌금형을 보면 규제 기관의 의지가 확고함을 알 수 있다. 올 여름 영국 정부는 2018년에 발생한 데이터 침해 사건에 대한 책임을 묻기 위해 영국항공에 2억 3000만 달러의 벌금형을 내렸다. 에퀴팩스(Equifax) 역시 2017년에 발생한 대형 정보 유출 사고와 관련해서 최소 5억 7500만 달러를 내겠다고 발표했다.

유럽에서 GDPR이 시행된 이후 벌금의 단위가 껑충 뛴 것이 ‘벌금을 통한 독려’가 유행처럼 번지게 된 가장 큰 요인이다. 애초에 2500만 달러 혹은 한 해 수익의 4%라고 벌금을 정해둔 덕분에 시행 이전부터 많은 기업들을 공포에 떨게 만든 제도였다. 현재까지 GDPR로 인해 가장 큰 벌금형을 부여받은 건 구글이다. 사용자 데이터를 수집하고 활용하는 데에 있어 명확히 밝히지 않았다는 이유로 5700만 달러를 내야 하는 상황이다.

벌금도 올라가고 사건도 늘어나고
데이터 관리 및 보호를 전문으로 하는 회사 티투스(Titus)의 CEO인 짐 바크돌(Jim Barkdoll)은 “2019년 현 시점까지 벌어진 데이터 침해 사고의 횟수는 3800이 넘어간다”고 말하며, “이는 지난 4년 동안 50% 증가한 수치”라고 지적한다. 이런 현상을 막으려고 벌금까지 높여가면서 방어벽을 튼튼히 치고 있는데 침해 사고는 이를 아랑곳하지 않고 증가한다는 것이다. “이렇게만 보면 GDPR 도입 이후 벌금만 늘어났다고 봐도 무방합니다. 데이터 보호 효과는 아직까지 나타나지 않고 있습니다.”

미국의 경우 50개 주 전부가 침해 사고 발생 시 개인과 정부 기관에 이를 알려야 한다는 법을 마련해 시행 중에 있다. 그리고 대부분 엄청난 벌금을 부여한다. 특히 캘리포니아에서 통과시킨 소비자 보호 법(California Consumer Privacy Act, CCPA)은 GDPR보다 더 빡빡하고 무서운 규정이라는 소문이 자자하다. 이 CCPA는 내년 1월부터 시행될 예정이다.

그러니 트렌드는 확실하다. 사용자의 개인정보 등 데이터를 잘 간수하지 않으면 사업이 휘청거리거나 심한 경우 파산할 정도의 벌금을 내야 할 상황이 만들어지고 있다. 이 트렌드는 드디어 우리 한 사람 한 사람의 데이터의 안전이 보장되는 때를 불러다 줄까?

일부 보안 전문가들은 수십 억 달러에 달하는 벌금만으로는 기업들의 데이터 수집, 관리, 활용에 대한 가이드라인이 성립하지 못할 것이라고 예상한다. 보안 업체 마임캐스트(Mimecast)의 사이버 보안 전략가인 매튜 가디너(Matthew Gardiner)의 경우, “벌금의 효력이라는 것에 동의할 수 없다”는 입장이다. “침해 사고가 전염병처럼 번지고 있어요. 그건 특정 조직들이나 사람들에게 책임을 묻는다고 해결될 수 없는 겁니다. 전염병이 퍼지고 있다는 건 공중보건의 문제니까요.”

그러면서 가디너는 “물론 벌을 받아 마땅할 정도로 데이터와 지적재산을 무책임하게 다루는 기업들이 존재하는 건 맞다”고 말한다. “하지만 그 몇몇을 벌한다고 해서 보안 문제가 통합적으로 해결되는 건 아닙니다. 데이터 보안이란 대단히 복합적이고 광범위한 문제거든요. 최소한 ‘벌금’이라는 도구 하나만 가지고 만족할 만한 성과를 얻을 수 있는 분야가 아니라는 겁니다.”

또한 이미 상황이 벌어진 이후에 벌금을 내도록 하는 것 역시 큰 도움이 되지 않는다고 가디너는 지적한다. “사건이 벌어진 후 수습하는 과정에서 부담해야 할 돈을 늘린 것일뿐, 보안을 강화하는 데에는 직접적인 도움이 되지 않습니다. 사실 이 벌금 낼 것이 부담스러워 보안 투자를 과감히 못하는 기업들도 적지 않아요.”

가디너에 반박하는 의견들도 있다. “벌금이 정말 무섭다면, 기업들이 무서워 할 정도의 벌금 제도가 확립된다면, 어떻게 해서든 벌금형을 받지 않기 위해 애를 쓰지 않을까요? 적어도 정상적인 기업이라면 말이죠.” 보안 업체 로그리듬(LogRhythm)의 부회장이자 CISO인 제임스 카더(James Carder)의 의견이다. “GDPR 벌금의 경우, 기업들이 확실히 두려워할 만한 수준입니다.”

그러면서 카더는 “기업이 부담해야 할 벌금이 기업 전체 연 매출의 4% 수준이 된다면 일부 담당자 선에서 끝날 수 없다”며 “그러한 제도가 있기 때문에 정보 보호라는 주제가 경영진이 다뤄야 할 문제로 격상한 것”이라고 짚었다.

데이터 보호 혹은 벌금으로부터의 보호, 어떻게 해야 하는가
보안 업체 루시 시큐리티(Lucy Security)의 CEO인 콜린 바스터블(Colin Bastable)은 “데이터 침해 사고가 전염병처럼 퍼지고 있기 때문에 규제와 벌금으로 어떻게 할 수 있는 단계를 넘어섰다”며 “사업 구조를 바꾸는 것, 즉 체질 개선이 답”이라고 주장한다.

“공짜면 일단 갖고 보자는 마인드부터 없애야 합니다. 소비자의 개인정보가 공짜여서는 안 된다는 거죠. 매년 소비자 한 사람 한 사람과 계약을 갱신하지 않는다면 회사가 개인정보를 보유하고 있지 못하게 해야 합니다. 또한 모든 소비자 각자에게는 개인정보에 대한 저작권 같은 것을 인정해줘야 합니다. 저작권 침해가 있을 때 고소하는 것처럼, 기업이든 해커든 개인정보를 침해했을 때 고소할 근거를 마련해줘야 합니다. 정보 유출을 두세 번 반복해서 겪으면 CEO와 CISO를 감옥에 넣어야 할 것이고요.”

바스터블은 자신의 주장이 현실적으로 다 받아들여지지 않을 것이라는 걸 인정한다. “중국이나 북한이 아니라면 정치적으로 도입되기 힘든 방법이라는 건 잘 알 고 있습니다.” 다만 그 정도로 가혹한 해결책이 아니라면 지금의 상황이 의미 있게 개선되기 힘들다는 것은 분명하다고 주장한다.

로그리듬의 카더는 “금전적인 벌칙은 막을 수 없는 흐름 상 나온 결과”라는 입장이다. “벌금에 대해 찬반이 갈리는 건 잘 알고 있고, 양쪽의 의견도 이해합니다. 하지만 우리가 벌금 외에 다른 방법을 채택했어도, 돌고 돌아 결국은 벌금으로 귀착했을 가능성이 100%라고 생각합니다. 데이터 침해가 있었던 기업이라는 딱지를 1년 동안 붙이는 벌이 있다고 상상해보세요. 이 역시 소비자와 고객 감소로 인한 금전적 손실로 이어질 수밖에 없어요. 누구나 ‘벌금과 마찬가지’라고 생각할 겁니다. 그런 겁니다.”

그 말은 데이터 침해 사고가 발생했다는 것 자체만으로 이미 심각한 금전적 손실이자 ‘벌금’이라는 뜻이다. “시스템을 검사하고, 포렌식 의뢰를 맡기고, 컴퓨터와 네트워크 장비를 복구하고, 청소하고, 그 동안 업무를 제대로 진행 못하고, 명성에도 손상이 갑니다. 이 모든 게 돈입니다. 규제 기관이 요구하는 것만이 벌금인 건 아니에요.”

2018년 보안 업체 콤패리테크(CompariTech)는 데이터 침해 사고를 겪은 기업 28개를 분석했다. 특히 주가에 어떤 변동이 있나를 유심히 살폈다. 그 결과 애플, 어도비, 홈데포, 스테이플즈, 야후와 같은 거대 기업들은 침해 사고 발생 이후 주식 시장에서도 성적이 떨어진다는 사실을 알아냈다. 포네몬(Ponemon) 역시 2016년에 비슷한 조사를 실시했는데, 그 결과 침해된 기록 하나 당 158 달러에 달하는 비용을 발생시킨다고 집계한 바 있다.

더 나은 침해 예방을 위한 고비
이렇게 주식 시장에서의 침체와 각종 복구 비용, 천문학적인 벌금까지 합쳐지니 침해 사고와 관련된 비용이 계속해서 올라가게 된다. 그러면서 사이버 보안 업체들은 솔루션들을 내놓기 시작했다. 그 중에서도 아이덴티티 관리, 인증, 접근 관리 시장이 특히 빠르게 치고 올라가는 중이다. 보안 업체 사이버아크(CyberArk)의 CEO인 우디 모카디(Udi Mokady) 역시 최근 한 기고문을 통해 “신원 문제로 발생한 데이터 침해 사고와 정부의 벌금이 높아져만 가고 있어서 아이덴티티 관리와 인증, 접근 관리 시장이 뜨고 있다”고 짚어냈다.

하지만 메인프레임과 클라우드 보안 관리를 대행해주는 업체 엔소노(Ensono)의 사이버 보안 수석 담당자인 데이비드 고체노르(David Gochenaur)는 “이런 흐름 때문에 보안에 대해 잘못된 인식이 퍼지고 있다”고 경고한다. “잘 보시면 지금 보안 산업에서 나오는 기술들은 ‘침해를 막는다’에 초점을 맞추고 있어요. 그 침해를 일으키는 위협 자체를 완화시키는 것에는 신경을 덜 쓰고 있죠. ‘위협 요소를 다룬다’는 측면에서 보안은 한 걸음도 못 나가고 있습니다.”

이 부분에 대해서는 일부 정부 기관들도 인지하고 있는 모습이다. 그래서 사법부는 사이버 범죄자들을 직접 다루는 움직임을 보이기 시작했다. 미국 사법부는 해외에서 활동하는 해커들과 사이버 범죄자들을 직접 기소하고 있기도 하다. 그러나 많은 보안 전문가들이 “실제로 물리적인 체포가 이뤄지지 않을 경우, 큰 효력을 기대하기 힘들다”는 의견을 표명한다.

“지금 여러 나라의 사법 기관들이 하고 있는 건 거대한 두더지 잡기 게임입니다. 게다가 일부 유명 공격자들에게만 너무 많은 관심이 쏠려 있는 상태이기도 합니다.” 보안 업체 버섹(Virsec)의 부회장인 윌리 레흐터(Willy Leichter)의 주장이다. “힘만 빠지지, 사실 두더지들은 게임 기계 안에 무사히 존재하죠. 게다가 실제 해커들은 자신들의 모습과 조직을 끊임없이 바꿈으로써, 그 옛날 위협이 새로운 위협으로 재등장하기도 합니다. 사실 사법기관들의 지금과 같은 접근법으로는 사이버 공격자들을 절대 줄일 수 없습니다.”

올해 초 미국의 연방 사법 기관이 고즈님(GozNym)이라는 사이버 범죄 단체를 노리고 수사를 진행했을 때 6개국이 협조했다. 그리고 10명의 용의자들을 기소하는 데 성공했다. 이 중 실제로 체포된 자는 5명이었다. 나머지 5명은 현재 러시아에 숨어있는 것으로 추측된다. 수사의 표적이 되더라도 공조가 원활하지 않은 나라에 숨어 활동을 재개하는 사례는 수없이 많다.

벌금과 기소, 정말로 아무런 효력이 없는 걸까?
벌금과 강력한 규제에 대한 의견은 다 다르지만, 바스터블을 비롯해 대다수 전문가들이 동의하는 것 한 가지는 “최첨단을 넘어서, 신의 경지에 이른 기술이 있다고 해서 사이버 방어가 더 잘 되는 건 아니”라는 것이다. 또한 “강력한 규제만으로 모든 사람들이 갑자기 보안 실천 사항을 잘 지켜내는 건 아니”라는 점에도 어느 정도 동의한다. “사이버 보안은 결국 인간의 본성에 더 가까운 문제입니다.”

바스터블은 그 증거로 다음과 같은 자료를 제시한다. “데이터 침해 사고 중 기술적인 익스플로잇에 의해 발생하는 사건은 3%밖에 되지 않습니다. 나머지 97%는 뭘까요? 전부 사람의 실수나 부주의, 악의적인 의도와 관련이 있습니다. 대부분의 해커들이 해킹하는 건 결국 사람 그 자체에요. 컴퓨터를 통해 발현되는 사람의 습성이라는 겁니다. 그런데 대부분의 CISO들은 3%에만 치중하고 있어요.”

티투스의 바크돌은 데이터 침해 사고에 있어 가장 큰 역할을 하는 세 가지 요소를 “인간적 실수, 피생, 설정 오류 등으로 노출된 시스템”이라고 꼽는다. 그러면서 “이런 요소들을 보다 직접적으로 다루는 방법론과 정책 등이 만들어져야 할 것”이라고 주장했다. 바스터블의 발언과 그리 다르지 않은 내용이다.

보안 업체 업가드(UpGuard)의 사이버 위험 연구 책임자인 크리스 비커리(Chris Vickery)는 그래도 긍정적으로 미래를 내다보고 있다. “데이터 침해를 방어하고자 하는 인간의 노력은 오랜 시간 이어져 왔습니다. 그 결과 더 이상 뒤에서 수근거리고 몰래 수습하는 성격의 일이 아니게 되었죠. 예전에는 분명히 그랬던 적이 있습니다.”

그것만으로도 충분히 “상황이 개선됐다”고 말할 만하다는 게 그의 입장이다. “뒤에서 얘기하던 내용들이 앞으로 나왔어요. 서버실에 숨어 있던 IT 담당자들이 경영진 회의 시간에 나와, 자기들끼리만 쑥덕거리던 주제를 회사 경영의 아젠다로서 내놓기 시작했다는 겁니다. 그러면서 보안의 중요성과 데이터 보호의 현실을 C레벨들이 깨닫기 시작했습니다. 현실 세계에서의 위생 개념이, 디지털 공간에서도 필요하다는 인식도 퍼지고 있습니다. 규제 기관의 가혹한 벌금은 그런 인식의 확산 면에서 충분히 긍정적으로 볼 수 있다고 생각합니다.” /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요