백악관이 미국인의 보호 대상 개인 정보를 ‘우려 국가’에 판매하는 것을 제한하는 새 행정 명령을 발효했다. 일부 전문가는 이 규정이 ‘종이 호랑이’처럼 피상적이기만 하다고 지적했다.
데이터 브로커가 미국인의 데이터를 판매할 수 있는 국가를 제한하는 새 행정 명령이 지난 23일 발효됐지만, 일부에서는 큰 영향을 미칠 수 있을지에 대해 의구심을 표명했다. 이번 행정 명령은 지난 2월 28일 서명됐다.
미국이 지난해 12월 정의한 ‘우려 국가’에는 버마, 중국, 쿠바, 에리트레아, 이란, 북한, 니카라과, 파키스탄, 러시아, 사우디아라비아, 타지키스탄, 투르크메니스탄이 포함됐다. 또한 이번 행정 명령이 규정한 보호 대상 데이터는 “게놈(유전자) 데이터, 생체 인식 데이터, 개인 건강 데이터, 지리적 위치 데이터, 금융 데이터, 특정 종류의 개인 식별 정보 등 미국인의 가장 개인적이고 민감한 정보”다.
행정 명령에서 제기된 데이터 보호 및 프라이버시 보호 문제는 기업 IT 및 보안 운영에 매우 중요하지만, 조항 자체는 그 효력을 데이터 브로커에 한정하기 때문에 기업 IT 또는 사이버 보안 운영에 직접적인 영향을 미치지는 않을 것으로 예상됐다.
IT 업계 전문가들은 이 행정 명령이 어떤 영향을 미칠지에 대해 각기 다른 의견을 내놨다.
데이터 지역화의 기준점
지난해 120억 달러 매출을 기록한 미디어 기업 허스트(Hearst)의 CIO인 아테페 아띠 리아지는 행정 명령에 대해 크게 걱정하지 않았다. 그녀는 자신의 팀과 보안팀이 이 명령의 영향을 전혀 받지 않을 것이라고 말하면서도, 데이터 브로커를 포함한 모든 사람에게 얼마나 영향을 미칠지에 대해 의문을 제기했다.
리아지는 “종이 호랑이처럼 피상적인 내용이다. 정치인들은 종종 이러한 가시적 이슈를 필요로 한다. 뉴스는 되지만 완전히 집행하기는 어렵기 때문이다. 하지만 어리석은 일이다. 이를 강제할 수 있는 방법은 없다”라고 말했다.
그녀는 이러한 데이터가 “지속적으로 도난”당하고 있다면서 “이를 어떻게 추적할 수 있을까? 공허한 제스처일 뿐이다. 서드파티 데이터는 오랫동안 관리되지 않았다. 댐에 수백만 개의 구멍이 있는데 그중 한두 개를 막으려는 노력이다”라고 지적했다.
반면 언스트앤영(Ernst & Young)의 매니징 파트너인 브라이언 레빈은 이 행정 명령의 영향을 분석하기에는 아직 이르다고 말했다.
그는 “크게 보면 모두 합리적인 조치처럼 보이지만, 이 행정 명령은 주로 기관에 다양한 규정을 제정하도록 지시하기 때문에 관건은 세부 사항이다. 이 중 일부는 데이터를 부적절하게 악용할 수 있는 국가로 데이터를 보내지 못하도록 하는 ‘데이터 지역화의 기준점’처럼 들린다”라고 말했다. dl-ciokorea@foundryco.com
