명의 고객 신용정보가 유출되는 사고가 발생하였다.
이로 인해 미국 국회에서는 올해 2월 개인정보유출에 따르는 부작용과 예방에 대한 세 번의 국회 청문회가 열렸다. 더욱이 관련 기업과 정부기관 관계자들은 정보유출이 어떻게 일어났는지, 어떤 대책이 세워지고 있는지 등에 대해 국회의원들의 추궁을 받아야만 했다.
FTC는 현재까지 특정 법률에 근거하여 소비자의 개인정보보호를 게을리한 기업들에 대해 50여건의 사건을 조사, 집행하였다.
정보유출시 연방정부 기관이 직접 나서
미국 정부기관 중 소비자의 프라이버시 보호와 정보 보안과 관련된 집행권을 가진 기관은 Federal Trade Commission (FTC)이다.
FTC는 현재까지 특정 법률에 근거하여 소비자의 개인정보보호를 게을리한 기업들에 대해 50여건의 사건을 조사, 집행하였다. 미국 정부는 FTC의 ‘보호장치 법률’인 Safeguards Rules와 Gramm-Leach-Bliley Act (GLB Act)에 근거하여 비금융기관의 정보보호 장치를 요구하고 있다.
이뿐만 아니라 Fair Credit Reporting Act (FCRA)에 근거하여 소비자정보보호 기관들이 소비자정보를 다른 기관과 공유할 때 특별한 사유가 존재하는지 검토한다.
FTC는 담당사건마다 각 기업의 관례를 통틀어서 조사하고 있으며, 정보유출 사례들이 시스템상의 문제에서 비롯되었음을 지적하곤 한다.
이들은 기업들에게 완벽한 정보보호를 요구하는 것은 아니다. 현실적으로 그런 일을 불가능하기 때문이다.
그 대신 개인정보 보호장치를 적절히 구비하고 있는지 지속적으로 체크하도록 감시하고 있다. 또한 주어진 상황과 리스크를 잘 분석하고 만약의 상황에 잘 대처할 수 있는지에 초점을 맞춘다.
예를 들어, FTC는 과거에 대규모 인터넷 회사에 대해 정보장치구축미비사유를 들어 2천만 달러의 과태료를 부과하기도 했으며, 헌혈기관에 대해서 20년간 정보감사를 할 것을 지시하기도 하였다.
U.S. Secret Service 역시 위조지폐 등으로부터 미국 금융권을 보호하는 역할을 담당하고 있는 연방정부기관이다.
미국 법무부(Department of Justice)와 미국 연방 검찰(U.S. Attorney Office)과 협력해서 Secret Service는 현재까지 1.37조 달러 갈취와 연관된 5천여명을 체포하였다.
특히 사이버범죄로 인해 발생한 개인정보유출사건을 전담하고 있다. 한 예로, Secret Service는 3년의 추적과 조사 끝에 9개의 미국 소매상을 해킹해서 4천만개의 신용카드와 현금카드 내용을 유출시킨 열한명의 해커들을 붙잡는 데 성공하였다.
열한 명의 피고인들은 미국, 에스토니아, 중국, 벨라루스에서 소매상들의 무선 인터넷 네트워킹을 침투해서 소비자의 정보를 빼내는데 성공했고, 그 정보들을 미국과 동유럽 범죄자들에게 되팔아 이익을 취했다.
소비자정보는 현금인출기에서 한번에 수만달러씩 인출되었고, 범죄자들은 범죄를 은닉하기 위해 인터넷 통화를 이용하여 불법소득을 미국과 동유럽 은행계좌에 빼돌리곤 했다.
오바마 정부의 정책
오바마 대통령의 사이버 정보보호 대통령지시안(Executive Order 13636)에 입각해서 National Institute of Standards and Technology(NIST)는 올해 2월 14일 \'사이버정보 보호망 개선안\'(Cybersecurity Framework)을 최종 발표했다.
이는 주요 기관들과 관련 기업들이 사이버 공격을 최소화할 수 있도록 갖추어야할 표준과 정책을 포함하고 있다. 주요내용은 다음 다섯가지 사이버정보보호 정책들이다.
(1) identify- 사이버정보 유출 리스크 관리를 위해 조직적으로 문제를 직시할 것;
(2) protect- 주요 기관 서비스를 전달하기 위해 적절한 보호망을 구축하고 시행할 것;
(3) detect- 사이버정보 유출 사건을 발견할 수 있도록 특정 관행을 구축하고 시행할 것;
(4) respond- 발견된 사이버정보 유출 사건에 적절히 대응할 수 있는 관행 구축, 시행할 것;
(5) recover- 사이버정보 유출로 인해 손상된 기능과 서비스를 재정비하고 앞으로 사건을 예방할 수단을 구축, 시행할 것 등이다.
오바마 대통령이 발표한 위 개선안은 사이버 정보 보호를 위한 기반을 형성하기 위해 국제적 협력을 도모하기 위해 필요한 공통언어를 서술하고 있으며, 특히 다국적기업들이 위 개선안을 채택해서 사이버정보 공격에 대비할 수 있도록 하는 것이 목표이다.
어떤 정보가 어떻게 유출되었는지, 유출 경로를 최대한 빨리 파악해야 하고, 복구가능한지, 아니면 피해가 얼마나 되는지 빨리 숙지해야 한다.
기업들, 발 빠른 대처 필요
그렇다면 소비자의 개인신용정보를 다루는 기업들이 만약 유출사건에 직면한다면 어떻게 대처를 해야 하는 것이 가장 현명할까.
가장 명심할 것은 유출사건을 은닉하려고 하면 안 된다는 것이다. 그리고 사고가 발생하기 전에 미리 이런 사고가 발생할 경우 대처할 플랜을 구축하고 있어야 한다.
가령, 기업의 법무팀, 홍보팀, 그리고 IT팀이 취할 액션을 미리 정해놓고, 그 플랜에 따라 움직여야 한다. 물론 소송이나 조사도 예상하고 사건에 대처해야 할 것이다.
따라서 인하우스 조사팀을 꾸려서 어떤 정보가 어떻게 유출되었는지, 유출 경로를 최대한 빨리 파악해야 하고, 복구가능한지, 아니면 피해가 얼마나 되는지 빨리 숙지해야 한다.
또한 잊지 말아야할 것은, 사고가 발생한 후 첫 24시간에서 48시간이 가장 중요하다는 사실이다. 정보유출이 발견된 시점에서 기업이 어떻게 대처를 했는지가 사후에 책임을 묻는데 핵심이 되기 때문이다.
만약 정보유출이 의심되거나 이미 유출이 확실시 되었을 때는 관련정부기관에게 적극적으로 이를 보고하는 것이 유리하고, 그들과 긴밀히 연락하며 함께 작업하는 것 또한 현명하다.
인터넷과 웹 쇼핑이 우리 일상의 하나로 자리잡은 오늘, 어쩌면 개인정보유출은 불가피할 수밖에 없다.
하지만 소비자의 중요한 정보를 다루는 기업들이 미리 대책을 세우고 또 적절한 조치를 취한다면, 적어도 그 피해는 최소화할 수 있지 않을까.