세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
캘리포니아의 새 소비자 프라이버시법, GDPR과 비슷
  |  입력 : 2018-07-05 11:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 기업들, 새로운 프라이버시법에 긴장...GDPR 준비했다면 무사
소비자들의 개인정보 통제 권한 강화해...기업들에겐 책임을 부여


[보안뉴스 문가용 기자] 캘리포니아가 새롭게 마련한 소비자 프라이버시법(Consumer Privacy Act)이 GDPR을 미리 준비한 미국 내 기업들에게는 별 다른 영향을 주지 않을 것으로 전망된다. 그러나 GDPR을 유럽의 일로만 여긴 기업들에게는 이 소비자 프라이버시법이 커다란 충격으로 다가오고 있다는 소식이다. 그래서 이제야 정보 보호 정책 및 장치를 재검토하고 수정하고 있다고 한다.

[이미지 = iclickart]


캘리포니아의 주지사인 제리 브라운(Jerry Brown)은 6월 28일, 소비자 프라이버시법에 서명했다. 소비자들이 자신의 개인정보에 대한 통제권을 가져갈 수 있도록 보장해주는 법으로, 미국 내에서 가장 강력하고 엄격한 프라이버시법이라고 전문가들은 입을 모았다. 줄여서 CCPA라고 불리는 이 법은 캘리포니아 주민들을 대상으로 2020년 1월 1일부터 효력을 발휘할 예정이다.

어떤 효력일까? 캘리포니아 주민들은 어떤 기업에라도, 그 기업이 수집해놓은 모든 정보에 대한 권한을 갖게 된다. 즉, “내 개인정보를 서드파티에 판매하지 마시오”라든가 “내 개인정보는 당신들 데이터베이스에서 지워주시오”라고 요구할 수 있게 된다는 것이다.

또한 기업들은 수집하고 있는 개인정보를 명확하게 공개해야 한다. 개인정보를 수집하고 나서가 아니라 수집하기 전이어야 한다. 또한 정보의 출처와 수집 목적도 밝혀야 하고, 모든 변경 사항들도 그때 그때 고지해야 할 의무를 가지게 되었다.

뿐만 아니라 소비자의 개인정보를 공유하는 서드파티의 존재도 밝혀야 하고, 16세 이하 소비자들에게 옵트인 옵션을 제공해야 한다. 즉 디폴트로 수집하고, 소비자가 원할 때 빠지는 게 아니라(opt-out), 소비자가 원할 때에만 수집을 시작해야 한다는 것이다. 중요한 건 사용자가 개인정보에 대한 수집 및 사용을 허용하지 않는다고 해서 서비스 질이 낮아져서도 안 된다는 것이다.

하지만 기업들이 가장 걱정하고 있는 부분은, 보안 통제 실패로 인한 데이터 유출 발생과 관련된 것이다. CCPA는 소비자 개개인에게 데이터 유출 사고를 겪은 기업을 고소할 권한을 주기 때문이다. 소비자가 판단했을 때 보안 조치가 적절치 않았을 경우, 길고 지리한 법정 싸움에 돌입할 수 있게 된 것이다.

보안 업체 프레보티(Prevoty)의 부회장 크리스 프레보스트(Chris Prevost)는 “항상 사이버 공격을 받고, 100% 방어에 성공해야만 한다는 중압감 아래 있는 기업들에 있어, 법적 공방의 문이 활짝 열렸다는 건 커다란 부담”이라고 설명한다. “사고로 개인정보 관련 피해를 입은 개인은 유출된 기록 한 건에 100~750 달러까지 청구할 수 있습니다. 보안 사고 해결에 드는 돈이 어마어마하게 추가된 것이라고 볼 수 있습니다.”

하지만 프라이버시 관련 시민 단체 등에서는 CCPA가 통과됐다는 사실에 환호성을 보내고 있다. 전자프라이버시정보센터(Electronic Privacy Information Center, EPIC)는 CCPA를 두고 “역사상 가장 포괄적인 소비자 프라이버시 보호 법”이라고 설명할 정도다. 캘리포니아 주민들 66만 명이 이 법안의 통과를 위한 서명 행사에 동참하기도 했다.

목적과 수단의 측면에 있어 CCPA는 유럽연합에서 5월부터 시행된 GDPR과 흡사하다. 소비자들 개개인이 개인정보에 대한 권리를 보다 강력하게 발휘하게 하고, 반대로 기업들이 개인정보를 마음대로 다루는 것을 어느 정도 제한하고자 한다는 점에서 그렇다. 소비자의 개인정보를 활용하는 데에 있어 기업들은 이전보다 더 큰 책임을 지게 되었다. 이러한 움직임은 미국 내 다른 주만이 아니라 다른 나라에서도 이어질 것으로 예상된다.

CCPA에 대한 비판의 목소리도 적지 않다. 인터넷협회(Internet Association)의 부회장인 로버트 칼라한(Robert Callahan)은 “주민들 일부가 원하고 있다는 것을 핑계로 제대로 된 절차를 무시하고 서둘러 통과시킨 법”이라고 설명한다. 그래서 “기업들에 지나치게 불리한 항목들만 나열되어 있다”고 주장한다. “결국 강력한 통제 장치만 정권에게 늘려준 꼴입니다.” 법안이 서둘러서 통과되었기 때문에 내용이 너무 모호하므로 오히려 혼란을 야기할 것이라는 예상도 있다.

그러나 이미 강력한 보안 정책을 도입한 기업들에게 있어 CCPA는 그리 큰 문제가 되지 않을 것이라는 전망도 나오고 있다. 보안 업체 임퍼바(Imperva)의 CTO인 테리 레이(Terry Ray)는 “평소부터 강력한 접근 제어, 데이터 암호화, 데이터 비식별화, 데이터 최소화를 적용하고 있고 발빠른 사건 대응 팀을 꾸리고 있다면 CCPA라고 큰 문제가 되지 않을 것”이라고 말한다.

“법문만 읽으면 기업들에 너무 가혹하다 싶습니다. 하지만 실제 적용되기 시작하면 보기만큼 기업들을 힘들게 하지는 않을 것입니다. 일단 제대로 사업을 하고자 하는 기업이라면, 이미 GDPR에 대한 대비를 했을 것이고, 그러므로 CCPA에 대한 준비가 그리 어렵지 않을 것이기 때문입니다. GDPR 준비를 다소 소홀히 했다고 하더라도, 주위에 GDPR 대비를 철저히 한 기업들이 있으므로 자문을 구하기도 쉬울 것이고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)