[12월 기획] 포티넷, GDPR 요구 충족은 의무이며 동시에 기회

[CCTV뉴스=최진영 기자] 해커의 침입을 알아채는데 걸리는 시간은 얼마나 될까? 포티넷에 따르면 평균 146일이 걸린다. 해커가 하이텔망을 사용하더라도 기업정보를 탈취하기에 충분한 기간이다.

이 과정에서 기업들은 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)을 적용받으면 도둑질 당하고 고객에게 신뢰를 잃은 것도 서러운 마당에 벌금까지 물어야 한다. 이 얼마나 억울한 상황인가?

매튜 콴 포티넷 아태지역 솔루션 마케팅 담당 디렉터는 10월 25일 포티넷코리아가 개최한 기자간담회에서 GDPR 준수가 하나의 의무이며 기회라고 설명했다. 사실 정보보안업계 입장에서 기회라는 것은 충분히 공감하지만 GDPR을 적용받는 기업에게 기회라는 점은 납득하기 쉽지 않다.

하지만 절로 고개를 끄덕이게 만드는 수치가 있다. GDPR에서 규정하고 있는 벌금은 1000만 유로로 우리 돈 130억 수준이며, 최대 연간 매출의 4%까지다. 대고객 민사소송은 별도로 생각해야 하는데 유럽에서는 국내처럼 솜방망이 처벌을 기대하기 어렵다는 평가다.

매튜 콴은 “기본적으로 GDPR은 유럽이라는 지역에 한정돼 적용되는 규정이 아니다”라며 “아시아태평양 기업일지라도 유럽에 있는 데이터를 수집하고 관리한다면 GDPR을 준수해야한다”고 경고했다.

예를 들어 유럽진출을 모색 중인 아시아 기업이 독일에 있는 고객들에게 샘플을 보낸다고 가정하자. 개인정보와 주소를 수집할 테고 이를 관리해야 할 의무가 생긴다. 그 기준은 GDPR이 된다. 유럽 문턱을 넘으려는 기업들에게 또 하나의 진입장벽이다.

또한 실제 사례를 GDPR에 빗대어 보자. 영국 테스코 뱅크(Tesco Bank)의 경우 2016년 11월 9000개의 계좌에서 총 2500만 파운드를 탈취당한 바 있다. GDPR이 2018년 5월부터 적용되기 때문에 테스코 뱅크는 벌금 19억 파운드를 내지 않아도 됐다.

기업들의 정보보안체계가 해커들이 활개 칠 수 있는 충분한 환경이라는 점도 지적했다. GDPR이 시행된 이후인 2018년 8월 20일 해커가 침입을 했다고 가정하면 기업은 2019년 1월 13일이 돼서야 탐지한다.

GDPR에 따르면 3일(72시간)이내에 이를 관련 기관에 통지할 의무를 가진다. 이때 언론을 통해 고객에게 알려질 가능성이 높다. 해킹이 일어나고 이를 황급히 수습하는 모습은 꽤나 단편적이라는 설명이다. 해커는 긴 시간 동안 고객정보 쇼핑을 즐겨오다가 유유자적 돌아간 셈이다.

매튜 콴은 “해커에게 3일 간의 시간이 주어진 것처럼 보이지만 사실 그렇지 않다”며 “손해액을 산정할 때도 탐지가 안 된 146일 시간을 기반으로 산정해야 한다”고 말했다.

매튜 콴은 기업의 정보유출과 관련한 위협을 네 가지로 나눠 지적했다. ▲내부자 ▲모바일 ▲레거시(낡은 내부프로세스와 부실한 보안프로젝트) ▲써드 파티(Third Party)가 지적됐으며 네 가지 과정에서의 유출가능성을 줄이는 것이 GDPR에 대응하는 기업의 목표가 된다. 매튜 콴은 GDPR을 준수하는 것이 복잡하고 어려운 길이라고 강조한다. 길도 험한데 비용도 많이 든다. 

또한 조직에 미치는 영향이 많다는 점도 고려해야 된다. 특히 GDPR 법규준수는 조직에 잠재적인 영향이 크다. 기업이 내놓는 재화나 서비스도 GDPR을 고려하게 되고 그 과정은 물론 인력배치도 변화가 요구된다.

기업은 의사결정을 포함한 모든 과정을 해커의 위협을 염두에 두고 짜야한다. 해커가 사내 정보에 접근할 수 있는 기회가 있는지 열어 둔 창문(Window of Opportunity)은 없는지 확인하는 등 주의가 필요하다.

이날 포티넷은 GDPR에서도 보안 패브릭 형태로 대응하겠다는 자신감도 밝혔다. 포티넷 보안 패브릭의 경우 기존 보안 장비를 서로 연결해 정보를 공유하고 대응하는 속도를 높인다. IoT 시대 수많은 기기들이 구축하는 네트워크의 가시성을 높이는 방안 중 하나다.

차세대 방화벽부터 샌드박스, 엔드포인트 클라이언트, 게이트웨이, 웹방화벽, 스팸·웹 필터 등 포티넷 전 제품이 서로 ‘STIX’ 표준 규격으로 위협 정보를 공유하고 자동으로 대응하며 ▲확장성(Scalability) ▲인식(Awareness) ▲보안(Security) ▲실행력(Actionable) ▲개방성(Open)이라는 5가지 상호의존적인 요소를 충족시키는데 주력한다.

방대한 고객정보를 다루는 기업의 특성상 패브릭 형태의 네트워크는 적합하며 가시성을 높여 정보주체의 의견을 빠르게 반영할 수 있는 수단이 된다. 해커의 침입을 원천적으로 막는 것이 아닌 빠른 탐지에 중점을 두는 최근 경향에도 어울리는 제품이다. 이에 대해 매튜 콴은 “GDPR 준수라는 것은 의무임과 동시에 기회다. 물론 강력한 방어태세를 갖춰야 가능하다”고 조언했다.