IDC는 델 EMC 의뢰에 따라 연구보고서 ‘데이터 리스크 관리 바로미터’를 발표했다. 이 보고서는 한국을 포함한, 호주, 중국, 일본, 싱가포르, 인도 등 아시아태평양 지역의 14개 국가를 대상으로 개인정보보호 규제와 데이터 주권 및 비즈니스 연속성 관련 법규를 조사한 내용을 담고 있다.
보고서에 따르면 아태지역 대부분의 국가는 데이터 보호와 관련해 징벌적 손해배상이 뒤따르는 법규를 마련해 두었으나 국가별로 규제 수준의 차이가 심해 해외 진출 기업들의 주의를 요하는 것으로 나타났다. 아태지역 14개국 중 데이터 개인정보보호에 대한 규제가 가장 엄격한 국가는 싱가포르와 호주로 싱가포르의 경우 개인정보보호 법률 위반 시 최대 100만 싱가포르 달러(약 8억 1천만 원), 호주는 최대 170만 호주 달러(약 14억 원)의 벌금을 부과한다.
절대적인 금액은 호주가 가장 많지만 각 국가의 벌금을 해당 국가의 GDP(국내 총생산)의 비율로 따진 ‘데이터 리스크 관리 척도’를 기준으로 하면 싱가포르가 근소하게 호주보다 더 높다. 이 척도를 기준으로 했을 때 홍콩(최대 1백만 홍콩 달러, 약 1억 3천만 원)과 인도네시아(50억 인도네시아 루피아, 약 3억 9천만 원)가 그 다음으로 비교적 엄격한 규제를 가진 것으로 평가됐다. 최대 5천만 원의 벌금을 부과하는 한국은 척도 기준으로 9위로, 14개국 중 중하위권에 머물렀다. 일본의 경우 최대 벌금이 약 1천만 원에 불과해 척도 기준으로 인도(약 800만 원) 및 태국(관련 법률 없음)과 최하위 수준이다.
호주는 개인정보보호 법률 위반 시 최대 약 14억 원 엄격한 규제
엄격해지는 규제 대응 위해 강력한 데이터 거버넌스와 보안 전략 적용해야
IDC는 델 EMC 의뢰에 따라 연구보고서 ‘데이터 리스크 관리 바로미터’를 발표했다. 이 보고서는 한국을 포함한, 호주, 중국, 일본, 싱가포르, 인도 등 아시아태평양 지역의 14개 국가를 대상으로 개인정보보호 규제와 데이터 주권 및 비즈니스 연속성 관련 법규를 조사한 내용을 담고 있다.
보고서에 따르면 아태지역 대부분의 국가는 데이터 보호와 관련해 징벌적 손해배상이 뒤따르는 법규를 마련해 두었으나 국가별로 규제 수준의 차이가 심해 해외 진출 기업들의 주의를 요하는 것으로 나타났다. 아태지역 14개국 중 데이터 개인정보보호에 대한 규제가 가장 엄격한 국가는 싱가포르와 호주로 싱가포르의 경우 개인정보보호 법률 위반 시 최대 100만 싱가포르 달러(약 8억 1천만 원), 호주는 최대 170만 호주 달러(약 14억 원)의 벌금을 부과한다.
절대적인 금액은 호주가 가장 많지만 각 국가의 벌금을 해당 국가의 GDP(국내 총생산)의 비율로 따진 ‘데이터 리스크 관리 척도’를 기준으로 하면 싱가포르가 근소하게 호주보다 더 높다. 이 척도를 기준으로 했을 때 홍콩(최대 1백만 홍콩 달러, 약 1억 3천만 원)과 인도네시아(50억 인도네시아 루피아, 약 3억 9천만 원)가 그 다음으로 비교적 엄격한 규제를 가진 것으로 평가됐다. 최대 5천만 원의 벌금을 부과하는 한국은 척도 기준으로 9위로, 14개국 중 중하위권에 머물렀다. 일본의 경우 최대 벌금이 약 1천만 원에 불과해 척도 기준으로 인도(약 800만 원) 및 태국(관련 법률 없음)과 최하위 수준이다.
데이터 가용성을 보장하고 데이터를 효과적으로 복구할 수 있는지 여부를 묻는 비즈니스 연속성에 대한 법률은 조사 국가 대부분이 따로 제정하지 않고 있는 것으로 조사됐다. 아직까지는 대부분의 국가에서 강제성이 없는 지침이나 권장 사항으로 마련되고 있으며 이는 주로 은행이나 증권사 등을 감독하는 금융 규제 기관에 의해 관리되고 있다.
국가별 특이점으로는 호주와 싱가포르가 데이터 보호에 대한 규제가 엄격할 뿐 아니라, 관련 기술과 정책에 대한 관심이 높은 것으로 나타나 해당 국가에 진출할 다국적 기업들의 각별한 주의가 요구된다. 호주의 경우 데이터 침해 사고가 발생했을 때 이를 대상에게 통보하고 대책을 강구하는 법률이 2018년 제정될 예정이다. 또한 데이터 주권 문제가 결부된 모든 해외 계약은 호주건정성감독청에 신고해야 하며 기업 및 기관의 재무 건전성에 영향을 줄 수 있는 사건, 사고가 발생했을 때 24시간 이내 통지를 의무화하고 있다. 싱가포르에서는 개인정보보호 위반 시 벌금뿐 아니라 12개월 이하의 징역형이 선고될 수 있다. 싱가포르통화청은 데이터센터의 인프라 장애 등 비즈니스 연속성과 관련한 사고를 발견했을 때 금융기관이 1시간 이내 신고하도록 강제하고 있으며 은행의 경우 각 중요 시스템의 복구 시간 목표(RTO)를 4시간 이하로 설정하도록 법제가 마련돼 있다.
데이터 리스크 관리 척도 기준으로 최하위권에 머무른 일본의 경우 데이터보호 법규를 어길 경우 1백만엔(약 1천만원) 벌금 또는 2년 이하의 징역에 처할 수 있으며, 데이터 주권 법률은 우리나라와 마찬가지로 개별 데이터 소유자의 동의를 필요로 하는 정도에 그쳤다.
이번 보고서에서 델 EMC는 데이터 유출을 예방하는 대응 전략으로 사이버 보안, 개인정보 보호, 비즈니스 영속성 등 세 가지 항목을 꼽았다. 첫째, 보안 측면에서 데이터가 해킹 등 위협으로부터 안전하게 보존되고 둘째, 데이터에 대한 접근성을 철저히 관리해 개인정보를 보호하며 셋째, 데이터 복구 및 백업 고도화를 통해 복구 지점 목표(RPO)와 복구 시간 목표(RTO)를 제로에 가깝게 구현하는 것을 기업들의 주요 과제로 언급했다. 또한 사이버 공격 또는 랜섬웨어로부터 비즈니스를 보호하기 위해 더욱 빠른 복구 기능을 갖춘 에어 갭 솔루션을 강조했다.
델 EMC 아시아태평양 및 일본 지역 COO 드미트리 첸 부사장은 “국가별로 데이터 관리 규제 수준이 많이 다르지만 향후 관련 규제는 더욱 많아지고 더 엄격해질 것”이라고 말했다. “따라서 해외 시장에서 활동하는 다국적 기업들은 안전한 IT 환경을 구축하고 인프라를 최적화하는 등 데이터 관리와 거버넌스, 보안에 더욱 많은 관심을 기울여야 한다”고 덧붙였다.