세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
[주말판] 미국 법안의 흐름으로 보는 정보 보안의 큰 물결
  |  입력 : 2019-01-05 14:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년 등장하거나 통과된 다양한 보안 관련 법안들
GDPR 이후 생긴 ‘미국형 GPDR’부터 인권 단체의 발반 이끈 법까지


[보안뉴스 문가용 기자] 이번 주 베트남에서는 논란의 법안이 통과되며 사실상 전체주의로 가기 위한 절차가 하나 완성됐다. 베트남 정부는 인터넷 회사들을 통하여 온라인 콘텐츠를 마음대로 삭제할 수 있게 되었으며, 사용자들은 반정부적인 내용이 담긴 콘텐츠를 생성할 수 없게 되었다. 베트남 정부는 이게 다 국가의 안전을 위한 것이라고 주장했는데 보안의 이름으로 엄청난 일이 자행된 것이다.

[이미지 = iclickart]


게다가 작년은 GDPR이라는, 역사에 굵직한 획을 그을 정책이 유럽연합에서 시행되기 시작하기도 했다. 많은 전문가들이 그 영향으로 올해는 각종 보안 관련 법안들이 생겨날 것이라고 예측한 가운데, 지난 해 미국에서 등장한 법안 혹은 시행되기 시작한 법들이 무엇인지 정리해보았다. 순서는 무작위다.

1. 캘리포니아 사생활법(California Privacy Act)
캘리포니아의 주 정부의회(California State Assembly)가 통과시킨 것으로 정식 명칭은 ‘캘리포니아 소비자 프라이버시 법 2018(California Consumer Privacy Act of 2018)’이다. 많은 전문가들이 이 법을 두고 ‘미국형 GDPR’이라고 부르기도 했다. 시행되는 것은 2020년부터이며, 미국에서는 소비자의 사생활 보호에 있어 가장 엄격하고 까다로운 내용을 담고 있다.

국제프라이버시전문가협회(International Association of Privacy Professionals)의 최고 지식 책임자인 오머 텐느(Omer Tene)는 “GDPR이 시행되기 시작한 것도 그렇고, 미국에서 가장 엄격한 프라이버시 보호법이 등장한 것을 봐도 현재 전 세계 정책 입안자들 사이에서 프라이버시를 보호하는 게 가장 중요한 사안인 것을 알 수 있다”고 말한다. “산업 내 종사자들은 이런 흐름에 적응해야 할 것입니다.”

최근 애플의 CEO인 팀 쿡(Tim Cook)은 최근 “프라이버시를 보호하기 위해 마련된 미국의 연방 법과 정책을 100% 지지한다”고 발표하기도 했다. 왜냐하면 일부 기술 기업들 사이에서 “프라이버시 정책에 얽매이기 시작하면 기술의 잠재력을 온전히 끌어낼 수 없다”는 주장이 나오기 시작했기 때문이다. 쿡은 이러한 주장을 “잘못된 것을 넘어 파괴적인 것”이라고 일축하며 “오히려 사용자들이 기술의 가능성을 신뢰하고 믿어주지 않을 때 기술의 진정한 잠재력을 발휘하지 못하게 된다”고 말했다. “보안이 이러한 신뢰 구축에 있어서 반드시 중요한 역할을 해야 합니다.”

2. 국가 침해 통보법(National Breach Notification Law)
미국 하원의 금융서비스위원회(House Financial Services Committee)가 제출한 법안으로 기존의 금융서비스현대화법 혹은 그램리치블라일리법(Gramm-Leach-Bliley Act, GLBA)을 개정하는 것을 목적으로 하고 있다. 기존의 법에 침해 사고 발생 시 반드시 그러한 사실을 알려야 한다는 내용을 덧붙인다는 내용이다. 물론 금융 산업 내에 있는 조직들에만 적용되는 내용이다.

이 법안을 제출한 공화당 하원 의원인 블레인 룻크메이어(Blaine Luetkemeyer)는 “소비자 데이터를 처리하는 산업 내 방식에 있어서 체질 개선이 필요한 상황이며, 이 개정안을 통하여 중요한 첫 걸음을 뗄 수 있을 것”이라고 발표했다. “하지만 관련된 모든 사람들의 협조가 필요한 상황입니다. 대형 유출 사고는 앞으로도 반드시 일어날 것이며, 그에 대한 명확한 대처법을 갖추지 못하고 있다면 우리 사회는 그 대가를 단단히 치르게 될 것입니다.”

3. 정보 프라이버시 : 커넥티드 장비법(Information Privacy: Connected Devices Act)
캘리포니아 사물인터넷법(California IoT Law)이라고도 알려져 있는 것으로, 보안 기능이 거의 전무한 채로 생산되는 장비들을 막기 위한 내용을 담고 있다. 캘리포니아 주 내에서 사물인터넷 장비를 생산하는 자들이나, 주 바깥에 있는 생산자들을 대행하여 장비 생산을 도맡은 자들 모두에게 적용된다. 하지만 재판매를 위해 구매한 장비는 포함되지 않는다. 일부 법 전문가들 사이에서는 이 사물인터넷법이 “많은 부분에서 모호하며, 실제 시행이 되고나면 많은 소요를 일으킬 것으로 예상된다”고 말한다. 보안 업체 펄스 시큐어(Pulse Secure)의 수다카 라마크리슈나(Sudhakar Ramakrishna) CEO는 “심지어 실제적인 효과를 발휘할 수 있을지도 의문”이라고 분석하기도 한다.

4. 선거보호법(Secure Elections Act)
2017년 12월, 제임스 랭크포드(James Lankford) 의원이 마련한 법안으로, 미국투표선거보호법(Protecting American Votes and Elections Act)과 여러 면에서 닮았다. 종이를 사용하지 않는 투표 기계를 전부 없애고 종이 투표로 대체해야 한다는 것과 선거 후 감사가 주별로 실시되어야 한다는 내용을 담고 있다. 백악관은 이 법안의 내용을 제대로 적용하려면 국토안보부에 더 높은 권한을 주어야 한다고 덧붙였고, 법안 자체는 규정집행위원회로 제출됐다. 하지만 거기서부터 아무런 소식이 없다.

5. 사이버 보안 및 사회 기반 시설 보안 기관법(Cybersecurity and Infrastructure Security Agency Act)
지난 11월 트럼프 대통령이 서명했다. 국토안보부 산하의 국가보호프로그램운영위(National Protection and Programs Directorate)를 사이버 보안 및 사회 기반 시설 보안 기관(Cybersecurity and Infrastructure Security Agency, CISA)으로 변경한다는 내용을 담고 있는 법이었다. 이는 2002년도의 국토안보법(Homeland Security Act)을 개정한 것이기도 하다.

의회가 발표한 법안 요약문에 의하면 CISA는 국가 사이버 보안 및 사회 기반 시설 보안 국장이 총지휘하며, 미국 내 사이버 보안, 긴급 대응 통신, 주요 사회 인프라에 대한 보호는 물론 보안 강화를 위한 전 국가적인 노력을 일원화시키는 역할을 담당하게 된다. 그러므로 기존의 국가보호프로그램운영위는 사이버 보안 부서, 사회 기반 시설 보안 부서, 긴급 통신 부서 등으로 개편될 것으로 보인다.

6. NIST 소규모 사업자 사이버 보안법(NIST Small Business Cybersecurity Act)
2017년 4월 처음 법안의 형태로 제출됐고 2018년에 정식 법으로 통과된 법안이다. 법이 통과된 시점으로부터 1년 안에 NIST가 중소기업의 사이버 보안 강화를 위한 가이드라인을 만들어 배포해야 한다는 내용을 담고 있다. ‘보안 강화’라는 걸 보다 구체적으로 말하자면 중소기업이 사이버 보안 위협 요소들을 1) 파악 및 식별하고, 2) 평가하며, 3) 완화시키는 걸 말한다. 게다가 방법만을 제시하는 게 아니라 NIST의 제안을 실제로 도입하려고 했을 때 생길 수 있는 문제점들도 도출하라는 임무가 NIST에 떨어지기도 했다. 즉, 중소기업의 보안을 실질적으로 강화하라는 게 올 한 해 NIST에 주어진 임무다. 중소기업 근무자들의 보안 인식제고와 서드파티 강화 역시 NIST가 다루어야 할 부분이다.

7. 암호화법(ENCRYPT Act)
공화당과 민주당 의원들 일부가 손을 잡고 제출한 법안으로, 가장 우선시 될 수 있는 국가적 암호화 표준을 정립하자는 내용을 담고 있다. 즉 개개인별, 기업별, 주별로 적용하는 다양한 암호화 기술 관련 표준의 상위 개념을 국가 차원에서 만들어내자는 것이다. 여기에 참여한 의원들은 테드 리우(Ted W. Lieu), 마이크 비숍(Mike Bishop), 수잔 델벤(Suzan DelBene), 짐 조던(Jim Jordan)이다.

법안의 이름인 Encrypt는 단어 자체로 암호화라는 뜻을 담고 있기도 하지만, Ensuring National Constitutional Rights for Your Private Telecommunications의 머리글자만 딴 준말이기도 하다. ‘사적 원거리 통신에 관한 국가 헌법적 권리 보장’의 준말이다. 아직 통과되지는 않고 있는데, 시행까지 이뤄진다면 암호화 기술에 관한 여러 가지 불일치 문제가 어느 정도 해결될 것으로 보인다.

리우와 비숍 의원은 “컴퓨터 과학 전공자로서, 50개 주가 50개의 필수 암호화 표준을 각기 표방한다는 건 보안에도 도움이 되지 않을뿐더러 소비자와 기술적 혁신, 사법 행위에도 방햇거리만 될 뿐”이라고 주장했다.

8. 클라우드법(CLOUD Act)
클라우드법 역시 위 암호화법처럼 머리글자를 따서 만든 이름이다. 즉 CLOUD가 Clarifying Lawful Overseas Use of Data의 준말이라는 것이다. 이는 ‘해외에서의 데이터 사용에 있어서 합법성 확인’ 정도로 해석이 가능한데, 물리적인 국경선 너머에 있는 데이터를 사법기관이 접근하는 데 있어 합법적인 절차를 마련하기 위한 것이라고 볼 수 있다.

그래서 인권 단체들이 들고 일어섰다. 인권 보호의 개념을 담고 있는 수정헌법 제4조를 우회하기 위한 방법일 뿐이며, 여러 인권 운동가들의 생명과 신변을 위태롭게 만들 것이라고 주장했다. 결국 정부 기관이 해외 서버에 있는 이메일, 채팅 로그, 영상, 사진 등의 데이터에 프라이버시 보호법을 위반하지 않은 상태에서 접근하기 위해 마련하는 백도어라고 불리기도 했다. 이런 주장을 가장 강력하게 내세운 건 전자프런티어재단(EFF)이다.

“클라우드법은 FISA 개정법(FISA Amendments Act)의 702조와 같은 방식으로 작용할 가능성이 높습니다.(이는 아래에 좀 더 설명된다.) 경찰이 비밀 통신 내용을 영장 없이 검색, 수집, 공유할 수 있도록 해준 게 바로 이 702조죠. 현재 미국 내에서는 경찰이 수정헌법을 무시한 채 국민들의 데이터를 수집할 수 있는 게 현실인데, 이것이 국경 너머로까지 확장되려는가 봅니다.”

9. 러시아 제재법(Russian Sactions Legislation)
2016년 미국 대선에 개입한 러시아에 대한 분노를 숨기지 않겠다며 마련된 법안이다. 러시아의 푸틴 대통령이 미국 선거 시스템은 물론 각종 사회 기반 시설에 대한 사이버 공격을 멈출 때까지 강력한 제재 등의 조치를 취해야 한다는 내용을 담고 있다. 또한 법안에는 미국이 NATO를 전적으로 지원하며, 여기서 탈퇴하려면 회원국 2/3 이상이 찬성해야 한다는 것도 다시 한 번 명시하고 있다.

이 법안에 의하면 러시아가 미국의 선거에 개입하면, 미국은 러시아인이 미국으로 들어오는 것을 거부할 수 있게 된다. 이 법안에는 국제사이버범죄방지법(International Cybercrime Prevention Act)도 포함되어 있다. 이에 의거해 사법기관이 다양한 활동과 목적을 위해 만들어진 봇넷과 디지털 인프라를 폐쇄시킬 수 있게 된다. 투표시스템무결점방어법(Defending the Integrity of Voting Systems Act)은 사법부가 연방 선거에 사용되는 투표 시스템 공격자를 추적해 연방 단위의 혐의를 씌울 수 있다는 내용을 담고 있다.

10. FISA 개정권한법(FISA Amendments Authorization Act)
영장 없이도 사법 기관과 수사 기관이 데이터에 접근할 수 있게 해주는 외국첩보감시법(FISA)의 702조는 꾸준한 논란의 대상이 되어 왔다. 하지만 논란에도 불구하고 상원은 65:34로 이를 6년 동안 연장시키는 것에 찬성했고, 대통령은 1월에 서명했다. 이에 많은 이들이 실망감을 표하고, 보안 업계와 인권 단체들의 반발이 거세게 일었지만, 지금은 조용해진 상태다. 이와 관련된 당시 뉴스는 여기(https://www.boannews.com/media/view.asp?idx=65723&kind=1)서 접할 수 있다.

11. 사이버외교법(Cyber Diplomacy Act)
미국 하원에서는 통과된 법안이다. 공화당과 민주당 의원들 일부가 힘을 합해 마련하고 2017년 9월 제출한 것으로, 현재 상원에 걸려 있다. 통과되어 시행까지 이뤄진다면 미국 정부는 사이버 공간에서 이뤄지는 다른 나라의 올바른 행동을 확인하고 보장하기 위한 조치를 반드시 취해야 한다. 사이버 범죄 행위를 서로 협조해서 막고, 행위자들을 체포하기 위한 조약을 맺는 것, 정보 통신 기술을 사용한 의도적 불법 행위의 범위를 규정하고 이를 지키기 위한 방법을 상호협조 아래 개발하는 것 등의 노력을 가리킨다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술