에퀴팩스 데이터 유출 같은 사건의 피해를 막으려면 어떻게 해야 하나
작성자김지아 변호사
지역뉴욕 중앙일보
작성일2017/10/06 06:22 미주판면 15면
문: 에퀴팩스 데이터 유출 같은 사건의 피해를 막으려면 어떻게 해야 하나.
답: 무려 1억4300만 명의 개인 정보가 유출된 에퀴팩스(Equifax)의 데이터 유출은 최근 연이은 유출 중에서 가장 규모가 큰 케이스이다. 이전에도 야후, 타겟, 링크트인, 크레딧카드 프로세서 허트랜드 등 많은 회사들이 유출의 타겟이 되어왔다.
중소기업의 사업자들은 데이터 유출이 대기업만의 문제라고 보기 쉽다. 하지만, 여러 유출 사건 이후 미국의 연방정부와 주정부들이 앞으로 더 강력한 데이터 보호 정책을 내세울 가능성이 크다. 또한, 2018년 5월부터 적용될 EU의 데이터 보호 정책 GDPR은 규모와 상관없이 EU 시민의 개인 정보를 다루는 어떤 비즈니스도 대상이 되기 때문에 많은 미국 기업들이 유의할 필요가 있다.
중소기업들이 데이터 유출을 막기 위해 해야 할 것은 무엇일까. 현재 미국에서 데이터 보호 정책은 주로 주정부 레벨에서 이루어지고 있다. 연방 정책은 의료 데이터, 재정 데이터, 전자 커뮤니케이션 등 특수 타입의 데이터만 다루고 있다. 하지만 국민들의 염려가 커진만큼 가까운 미래에 연방정부가 더 포괄적인 새로운 정책을 내놓을 것이다.
현재 가장 엄격한 데이터 보호 정책을 가진 주는 캘리포니아인데, 캘리포니아는 모든 온라인 비즈니스가 홈페이지에 개인 정보 처리 방침(Privacy Policy)을 기재하도록 요구하고 있다. 이는 캘리포니아 주민이 방문할 수 있는 모든 웹사이트에 해당되며 어떤 개인 정보가 어떻게 수집되고 어떻게 이용되는지 자세하게 명시해야 한다. 또한 미성년자 보호에 대한 조항도 필수적으로 포함되어야 한다.
중소기업들의 데이터 유출은 많은 경우 내부자를 통해 일어난다. 이런 유출을 막고 책임을 최소화 하기 위해선, 고용 계약서와 내부 방침을 통해 데이터 보호 책임을 명확히 해야 한다. 특히 직원이 회사를 떠날 때 모든 데이터에 대한 액세스를 방지하고, 소유하고 있는 데이터를 반환하도록 요구해야 한다.
그 밖에도 사업자들은 복잡한 암호를 사용하고 자주 바꿔 해커가 칩입하기 어렵게 하고, 크레딧카드 결제를 하는 경우 PCI 규정을 준수하는가를 매년 검토해야 한다.
이미 유럽에는 엄격한 개인 정보 정책이 있다. 앞서 말한 것과 같이 2018년 5월부터 GDPR이 적용된다. 기업의 크기와 관계 없이 EU 고객의 개인 정보를 단 한명이라도 다루거나 웹사이트 쿠키를 통해 온라인 행적 데이터를 모을 수 있는 모든 기업이 주의해야 한다. 특히 위법이 적발될 경우 글로벌 매출의 4%라는 어마어마한 벌금을 물게 된다.
EU 고객과 웹사이트 방문자가 있는 기업은 EU 정책이 요구하는 개인 정보 처리 방침을 웹사이트에 게재하고, 유럽 소재 방문자에게 쿠키로 데이터를 수집하고 있음을 알리고, 동의를 얻는 고지를 따로 해야 함을 잊지 말아야한다. 또한 EU 시민 정보가 미국 내 서버로 넘어올 경우 문서로 메카니즘을 세워야한다. 최근 페이스북이 비슷한 사례로 1억 2200만 달러의 벌금은 문 적이 있다.
데이터 유출은 크고 작은 비즈니스에게 큰 경제적 부담이 될 수 있다. 모든 사업자들은 사업의 위험으로부터 개인 자산을 보호하는 계획을 가지고 있어야 한다. 특히 데이터 유출은 장기간 정부 기관 조사, 재판 등으로 경제적 부담이 클 수 있기 때문에 대책을 세우는게 우선이다. 기존 비즈니스 책임 보험에 사이버 보안 관련 보험을 추가로 들고, 개인 자산을 비즈니스로부터 철저하게 분리시킬 것을 추천하고 싶다.
김지아/변호사