델EMC “아태지역 데이터 보호 규제, 싱가포르·호주 강력”
상태바
델EMC “아태지역 데이터 보호 규제, 싱가포르·호주 강력”
  • 윤현기 기자
  • 승인 2018.03.27 10:11
  • 댓글 0
이 기사를 공유합니다

GDP 기준 싱가포르 과징금 한국 대비 16배…강화된 데이터 거버넌스·보안 전략 필요

아태지역 중 싱가포르나 호주에 진출하는 기업은 데이터 정보 보호에 각별히 더 주의를 기울일 필요가 있는 것으로 나타났다.

글로벌 시장조사기관 IDC는 델EMC(Dell EMC)의 의뢰에 따라 연구보고서 ‘데이터 리스크 관리 바로미터(Data Risk Management Barometer)’를 27일 발표했다. 이 보고서는 한국을 포함해 호주, 중국, 일본, 싱가포르, 인도 등 아태지역의 14개 국가를 대상으로 개인정보 보호 규제(Data Protection Regulation)와 데이터 주권 및 비즈니스 연속성 관련 법규를 조사했다.

IDC와 델 EMC가 발표한 이 보고서에 따르면, 아태지역 대부분의 국가는 데이터 보호와 관련해 징벌적 손해배상이 뒤따르는 법규를 마련해 뒀으나, 국가별로 규제 수준의 차이가 심해 해외 진출 기업들의 주의를 요하는 것으로 나타났다.

아태지역 14개국 중 데이터 개인정보보호에 대한 규제가 가장 엄격한 국가는 싱가포르와 호주로, 싱가포르의 경우 개인정보 보호 법률 위반 시 최대 100만 싱가포르 달러(약 8억1000만 원), 호주는 최대 170만 호주 달러(약 14억 원)의 벌금을 부과한다.

절대적인 금액은 호주가 가장 많지만, 각 국가의 벌금을 해당 국가의 GDP(국내 총생산) 비율로 따진 ‘데이터 리스크 관리 척도’를 기준으로 하면 싱가포르가 근소하게 호주보다 더 높다. 이 척도를 기준으로 했을 때 홍콩(최대 100만 홍콩 달러, 약 1억3000만 원)과 인도네시아(50억 인도네시아 루피아, 약 3억9000만 원)가 그 다음으로 비교적 엄격한 규제를 가진 것으로 평가됐다.

최대 5000만 원의 벌금을 부과하는 한국은 척도 기준으로 9위로, 14개국 중 중하위권에 머물렀다. 일본의 경우 최대 벌금이 약 1000만 원에 불과해 척도 기준으로 인도(약 800만 원) 및 태국(관련 법률 없음)과 함께 최하위 수준이다.

데이터 가용성을 보장하고 데이터를 효과적으로 복구할 수 있는지 여부를 묻는 비즈니스 연속성에 대한 법률은 조사 국가 대부분이 따로 제정하지 않고 있는 것으로 조사됐다. 아직까지는 대부분의 국가에서 강제성이 없는 지침이나 권장 사항으로 마련되고 있으며, 이는 주로 은행이나 증권사 등을 감독하는 금융 규제 기관에 의해 관리되고 있다.

국가별 특이점으로는 호주와 싱가포르가 데이터 보호에 대한 규제가 엄격할 뿐만 아니라 관련 기술과 정책에 대한 관심이 높은 것으로 나타나, 해당 국가에 진출할 다국적 기업들의 각별한 주의가 요구된다. 호주의 경우 데이터 침해 사고가 발생했을 때 이를 대상에게 통보하고 대책을 강구하는 법률이 2018년 제정될 예정이다. 또한 데이터 주권 문제가 결부된 모든 해외 계약은 호주건정성감독청에 신고해야 하며, 기업 및 기관의 재무 건전성에 영향을 줄 수 있는 사건, 사고가 발생했을 때 24시간 이내 통지를 의무화하고 있다.

싱가포르에서는 개인정보 보호 위반 시 벌금뿐만 아니라 12개월 이하의 징역형이 선고될 수 있다. 싱가포르통화청은 데이터센터의 인프라 장애 등 비즈니스 연속성과 관련한 사고를 발견했을 때 금융기관이 1시간 이내 신고하도록 강제하고 있으며, 은행의 경우 각 중요 시스템의 복구 시간 목표(RTO)를 4시간 이하로 설정하도록 법제가 마련돼 있다.

데이터 리스크 관리 척도 기준으로 최하위권에 머무른 일본의 경우 데이터 보호 법규를 어길 경우 100만 엔(약 1000만 원) 벌금 또는 2년 이하의 징역에 처할 수 있으며, 데이터 주권 법률은 우리나라와 마찬가지로 개별 데이터 소유자의 동의를 필요로 하는 정도에 그쳤다.

이번 보고서에서 델 EMC는 데이터 유출을 예방하는 대응 전략으로 사이버 보안, 개인정보 보호, 비즈니스 영속성 등 세 가지 항목을 꼽았다. ▲보안 측면에서 데이터가 해킹 등 위협으로부터 안전하게 보존되고 ▲데이터에 대한 접근성을 철저히 관리해 개인정보를 보호하며 ▲데이터 복구 및 백업 고도화를 통해 복구 지점 목표(RPO)와 복구 시간 목표(RTO)를 제로에 가깝게 구현하는 것을 기업들의 주요 과제로 언급했다. 또한 사이버 공격 또는 랜섬웨어로부터 비즈니스를 보호하기 위해 더욱 빠른 복구 기능을 갖춘 에어 갭(air-gap) 솔루션을 강조했다.

드미트리 첸(Dmitri Chen) 델 EMC APJ 최고운영책임자는 “디지털 트랜스포메이션이 강조되고 기업들의 데이터 활용이 높아지면서 데이터 관리에 대한 위험성 또한 높아지고 있다”며 “국가별로 데이터 관리 규제 수준이 많이 다르지만, 향후 관련 규제는 더욱 많아지고 더 엄격해질 것이다. 따라서 해외 시장에서 활동하는 다국적 기업들은 안전한 IT 환경을 구축하고, 인프라를 최적화하는 등 데이터 관리와 거버넌스, 보안에 더욱 많은 관심을 기울여야 한다”고 강조했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.