[뉴스토마토 배한님 기자] 업무망과 일반 인터넷망을 분리하는 '망분리' 방식으로 보안 정책을 수립하는 한국과 달리 미국과 유럽의 경우 데이터 중요도 중심의 망분리 방식과 사후규제 강화 등으로 보안 정책을 사용하고 있다. 

 

 

미국과 유럽은 사이버 보안 전략을 체계적으로 수립하고 추진하고 있는 대표적 국가다. 미국 등 해외에서는 금융·의료 업무 영역별이 아닌 정보의 중요도별로 망분리 규제를 적용한다. 특히 미국은 기업에서 데이터의 중요도에 따라 자율적으로 망분리를 활용한다. 보안업계 관계자는 "미국에서는 C레벨 임원의 책상에 6대 이상의 컴퓨터가 놓여있는데, 이는 다루는 데이터의 중요도에 따라 다른 컴퓨터를 사용하는 것"이라며 "이는 데이터 중요도 중심의 망분리 방식을 사용하기 때문에 가능한 결과"라고 설명했다. 

 

미국과 유럽에서는 기업이 망분리의 도입 여부와 범위를 자체적으로 설정하지만, 정보 유출 등 보안사고가 발생했을 시 책임을 지는 '사후규제' 방식을 채택하는 것이 일반적이다. 보안 유출 사고가 발생했을 때는 기업에서 피해를 선제적으로 보상해주고, 정보보호 조치를 충분히 취하지 않았다는 사실이 밝혀지면 징벌적 손해배상제도로 과징금을 부과한다. 

 

특히 유럽은 유럽개인정보보호법(GDPR)에 따라 개인과 신용정보가 유출되는 보안 사고가 발생하면 기업에 전체 매출의 4%까지 과징금으로 부과할 수 있다. 강력한 벌금으로 보안에 반드시 투자해야 한다는 메시지를 주는 것이다. 

 

영국의 브리티시항공에서는 지난 2018년 고객 개인정보 50만건이 유출되는 사고가 발생했는데 GDPR에 따라 브리티시항공은 매출액의 1.5%에 해당하는 2700억원 규모의 벌금형을 받았다. 이는 한국에서 개인정보유출 사고로 부과된 최고 벌금의 60배를 넘는다. 

 

미국의 간편결제 플랫폼 페이팔은 고객의 페이 금액이 유실되면 이를 우선적으로 보상한다. 페이팔의 애뉴얼 리포트에 따르면 지난 2019년에는 관련 보상 금액이 1조3000억원을 넘는다. 이는 전체 페이팔 거래의 0.2% 미만 수준이다. 

 

김승주 고려대 정보보호대학원 교수는 "미국에서는 기본적으로 보안사고가 났을 때 책임은 해당 업체가 진다"며 "손해보상뿐만 아니라 과징금까지 물 수 있기 때문에 기업은 보안에 투자하지 않을 수 없다"고 말했다. 

 

신용석 비바리퍼블리카 정보보호최고책임자(CISO)도 "페이팔의 사례는 0.2%의 피해를 막기 위해 99.8%의 편리함을 포기하지 않도록 하는 것"이라며 "토스도 고객의 피해를 최우선으로 구제한다는 것을 가장 중요하게 한다는 맥락에서 최근 발생한 유출 사고에서 고객의 피해금을 전액 환급했다"고 했다. 

 

배한님 기자 bhn@etomato.com