Home > 전체기사
새해부터 시행 시작된 미국형 GDPR, ‘캘리포니아 소비자 보호법’
  |  입력 : 2020-01-06 11:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 적용 대상이 되었던 기업 입장에서는 별 다른 문제 아니지만
실제 기업들은 캘리포니아만 고려하고 사업 방향 바꾸지 않아…타 지역도 적용


[보안뉴스 문가용 기자] 2020년은 새로운 프라이버시 법의 시행으로 시작됐다. 바로 캘리포니아 소비자법으로 알려진 CCPA(California Consumer Privacy Act)다. 1월 1일부터 시행되기 시작했으며, 미국 다른 주들에도 적잖은 영향을 줄 것으로 예상된다.

[이미지 = iclickart]


CCPA는 원래 캘리포니아의 4천만 거주민의 개인정보를 보호하기 위해 만들어졌고 2018년 최초로 통과됐다. CCPA라는 제도 하에 캘리포니아 주민들은 기업들이 어떤 정보를 수집하는지 알 권리를 갖게 되고, 해당 기업들에 자신의 개인정보를 공유하거나 판매하지 말라고 명령할 권리도 갖는다. 그 외에도 다양한 권리가 주어진다.

현재 CCPA를 지켜야만 하는 기업은 총세입이 2500만 달러가 넘고, 매년 캘리포니아 거주민들 중 5만 명 이상의 개인 식별 정보를 구매, 수집, 판매, 공유하는 곳이다. 혹은 연간 총 수입의 절반 이상이 캘리포니아 주민의 개인정보 판매로 충당되는 곳도 CCPA 의무 대상이다. 모기업이 5만 명 이상의 캘리포니아 주민의 정보를 수집하면, 자기업도 CCPA를 지켜야 한다.

좋은 의도로 만들어졌든 아니든, 새로운 규정이 조직들에 있어 어려움을 주는 건 사실이다. 다만 이미 유럽연합의 GDPR에 대비를 해본 기업이라면 CCPA가 그 자체로 큰 어려움은 가져다주지 않을 거라고 보안 업체 임퍼바(Imperva)의 부회장 테리 레이(Terry Ray)는 말한다. “하지만 GDPR 적용 대상이 아니어서 안도했던 기업들 중 CCPA가 적용될 곳은 앞으로 큰 산을 넘어가야 할 겁니다.” 레이는 GDPR을 이미 겪었던 기업들은 할 일이 별로 없을 것이라고 덧붙이기도 했다.

가장 큰 문제는 CCPA를 완전히 백지 상태에서 대비해야 하는 기업들이다. “이런 기업들이라면 제일 먼저 소비자들의 데이터가 어디에 저장되어 있는지부터 파악해야 합니다. 아마 여기저기 무질서하게 저장되어 있을 것이고, 그걸 정리하는 것부터 작업을 시작해야 합니다.” 그 다음으로는 “개인정보에 대한 접근 및 열람 권한이 정확히 누구에게 있는지, 왜 그런 건지를 파악해야 한다”고 설명한다. “그거 역시 중구난방일 겁니다. 이와 관련된 규정을 제대로 수립하고 시행하는 것도 어마어마한 일입니다.”

데이터가 어디에 있는지도 알았고, 누가 열람할 수 있는지에 관한 문제도 정리했다면, 정리된 상황이 그대로 유지되고 있는지 모니터링할 차례다. “대부분 기업들은 단계별로 일을 진행합니다. 하지만 그렇지 않은 곳도 있어요. 어차피 모든 시스템에 개인정보가 흩어져서 저장되어 있을 테니, 모든 곳을 다 감시하자는 방향으로 가는 거죠. 즉 한 번에 3번 스텝으로 건너뛰는 겁니다.” 하지만 레이는 “비용적인 측면에서 매우 불리한 방법”이라고 말한다. “모든 시스템에서 고객 정보 추적 및 모니터링 장치를 가동시키는 건 말만 들어도 비싸죠. 절대 추천하고 싶지 않은 방법입니다.”

GDPR 대비를 성공적으로 마친 기업들은 데이터 프라이버시라는 부분을 확실하게 지켜줄 담당자를 선임하기도 했다. 바로 DPO(Data Privacy Officer)로, 이들은 조직 내 여러 부서나 담당자들이 고객의 개인정보를 활용하되 정해진 규칙 안에서 하도록 관리하는 역할을 맡고 있다. DPO를 선임하기 어려울 경우 외부 전문가나 전문 업체를 고용하기도 했다. 또한 사건 대응과 관련해 책임을 분산시키는 정책을 도입시키는 것도 눈에 띄는 부분이다. 이렇게 함으로써 보안이 일부 전문가만이 아니라 조직 내 여러 구성원들의 책임이라는 것을 분명히 한 것이다.

보안 업체 화이트햇 시큐리티(WhiteHat Security)의 수석 총괄인 웬디 푸트(Wendy Foote)는 “CCPA가 소비자들에게 좋은 법은 맞지만, 기업들에 상당히 큰 영향을 주는 것은 분명하며, 실제 기업들이 큰 노력을 기울여야지만 소비자들이 CCPA로부터 진정한 이득을 얻을 수 있다”고 말한다.

“또한 CCPA는 미국 내에서는 처음으로 도입되는 데이터 프라이버시 법입니다. 그렇기 때문에 지금은 캘리포니아 주에 국한되어 있지만, 앞으로 다른 주에서도 비슷한 법령이 생기고 시행될 가능성이 높습니다. 실제로 마이크로소프트나 모질라와 같은 기업들은 CCPA가 시행된 김에 미국 모든 주에서 같은 기준을 적용하기 시작했습니다. 캘리포니아 고객들에게만 특별한 뭔가를 더 보장해주는 게 아닌 것이죠. 그래서 다음 버전의 파이어폭스에는 추가 보호 옵션이 들어갈 것입니다. 캘리포니아 주민이 아니더라도 사용할 수 있는 옵션들입니다.”

레이는 “많은 기업들이 내친 김에 전국적으로 CCPA와 비슷한 규정이 적용될 것을 상정하고 사업 방향을 전환하고 있다”고 말한다. “결국 CCPA가 말해주는 건, ‘캘리포니아에서 사업하기 까다롭다’가 아니라 ‘현 시대 소비자들이 원하는 게 개인정보의 보호’라는 겁니다. GDPR과 함께 큰 흐름을 제시한 것이죠. 게다가 각 주마다 다른 서비스를 맞춤형으로 제공하는 게 쉬운 일도 아니고요. 따라서 CCPA가 캘리포니아의 법이긴 하지만 전국적인 기준이 될 겁니다.”

3줄 요약
1. 올해 1월 1일부터 시행된 CCPA.
2. GDPR 준비해봤다면 큰 어려움 없겠지만, 그렇지 않다면 업무량 만만치 않을 것.
3. 데이터 소재 파악 -> 접근 권한 상황 정리 -> 데이터 모니터링의 단계별 접근 필요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상