보메트릭이 글로벌 컴플라이언스, E-프라이버시, 정보 관리 및 데이터 보안에 깊은 전문성을 보유한 영국계 법률 회사 필드피셔(FieldFisher)와 미국, 유럽 및 아시아 지역의 개인정보 암호화 관련 현 제도들을 조사한 보고서를 발표했다고 밝혔다.

이번 보고서에는 신용카드 데이터 보안 표준(PCI DSS) 등 산업 컴플라이언스 규범뿐만 아니라 국내법, 지방자치법 등 개인정보 암호화를 요구하는 전세계 법적 의무 조항이 상세히 기술돼 있다.

전세계 입법자를 비롯한 규제 기관들은 끊임없이 발생하는 사이버 위협, 보안 유출 및 데이터 손실 사고에 대응해 데이터 보안을 위한 새로운 법적 기준을 마련중이다. 그 중 암호화 의무사항은 새로운 법적 규칙 제정의 핵심 사항이자 개인 및 금융정보를 위한 필수 요건으로 부각됐다. 경우에 따라서는 데이터 접근 제어 및 위협 패턴 인식 등 암호화 이상이 의무사항에 포함돼 있다.

필 리 필드피셔 파트너 및 보고서 편집자는 “더욱 치밀해진 사이버공격에 대응하지 못해 대량의 정보가 유출되는 기업사고 소식들로 인해 전세계 입법자를 비롯한 규제 기관들은 보다 엄격하고 상세한 데이터 보호 요건을 수립하도록 요구하고 있다”며 “암호화 이슈를 둘러싼 데이터 보안 법률 및 규제 분야의 글로벌 컨버전스 시대가 도래하고 있는데 다시말해 모든 규제 기관들이 민감 데이터, 컴퓨터, 데이터베이스 및 애플리케이션에 대한 암호화를 요구할 것이기 때문에 기업이 어느 국가에서 운영되던 모두 암호화를 해야 할 것”이라고 밝혔다.

보고서의 주요 내용을 살펴보면 우선 한국의 개인정보보호법(PIPA)은 전세계에서 가장 엄격한 규제 중 하나로 안전한 데이터 보호가 가능하며 부문별 세부 법안들을 통해 지원 및 강화되고 있는 것으로 조사됐다.

정보유출사고가 발생할 경우 국내 개인정보보호법에 따라 정보 소유자 및 방송통신위원회에 유출 관련 사항을 통지해야 한다. 금융위원회는 정보유출사고 경력이 있는 기업에 대해 더 강경한 규제와 무거운 처벌조항을 부과한다.

또 유럽의 경우 유럽연합(EU) 및 각국 정부의 위임이 중복돼 관할권 별로 다양한 규정이 적용되며 이와 같은 환경에서 기준을 충족하기 위해서는 글로벌 기업들의 세밀한 검토가 필요한 것으로 분석됐다.

더불어 PCI DSS 및 ISO 27001 등의 컴플라이언스 및 EU의 법적 기준에는 암호화된 개인 데이터에 대한 접근 권한 및 인텔리전트 패턴 인식이 포함돼 있다.

미국의 경우 HIPAA, GLBA, FCRA, SOX 및 FISMA 와 같은 중복 연방 규정, 미국 표준기술연구소(NIST) 연방기관 기준, 미국 연방거래위원회(FTC) 예상치 및 미국 47개 주 법안 등은 개인 및 금융 데이터 암호화 및 접근 제어와 같은 표준 자격 요건에 대한 다양한 동인이 되고 있는 것으로 나타났다.

티나 스튜어트 보메트릭 마케팅 부사장은 “데이터 보안 유출 및 경제적 손실로 법적 의무 및 규제의 강도는 계속해서 강화될 것”이라며 “보고서에는 전세계 데이터 보안 관련 규제들에 대한 최신 동향이 수록돼 있고 기업들은 규제 처벌, 제재 및 비즈니스 리스크에 대비해 암호화 기술 및 접근 제어 솔루션이 어떻게 구축돼야 하는지에 대한 정보도 얻을 수 있을 것”이라고 강조했다.

이광재 기자 다른기사 보기