메인 컨텐츠로 건너뛰기

인터넷 및 데이터 보안에 관한 법으로는 무엇이 있나요?

인터넷 법 및 인터넷 규제

인터넷 법이란?

(사이버 법이라고도 하는) 인터넷 법은 인터넷 사용에 관한 법 원칙과 규정을 말합니다. 인터넷 법이 항상 명확하고 간단하지는 않습니다.

  • 인터넷은 상대적으로 새롭고 계속 발전하고 있기 때문에 법 체제가 보조를 맞추기 어려울 수 있습니다.
  • 인터넷 법은 인터넷 시대 이전에 제정되었고 해석의 여지가 있는 개인정보 보호법이나 계약법 등 여러 법률 분야의 원칙을 통합하여 적용하는 경우가 많습니다.
  • 온라인 개인정보 보호를 포괄하는 단 하나의 준거법은 없습니다. 여러 연방법과 지방법을 꿰맞춰 적용하곤 합니다. 게다가 전 세계의 관할권마다 인터넷 개인정보 보호법을 적용하는 방식에 관한 해석이 다를 수 있습니다.

유럽 연합에는 포괄적인 데이터 프라이버시 법인 GDPR(General Data Protection Regulation)이 있습니다. 이와 달리 미국에는 연방 차원에서 중심이 되는 단일 인터넷 개인정보 보호법이 없습니다. 그 대신 업종 중심의 연방 개인정보 보호법, 그리고 주별로 제정된 소비자 중심의 개인정보 보호법이 있습니다. 여기서는 알아두어야 할 몇 가지 주요 인터넷 보안 법을 개괄적으로 살펴보겠습니다.

1974년 미국 개인정보 보호법

1974년 개인정보 보호법(Privacy Act of 1974)은 인터넷 시대 이전에 제정되었지만, 미국의 데이터 및 인터넷 개인정보 보호에 관한 여러 법의 기초라 할 수 있습니다. 이 법은 미국 정부 기관이 컴퓨터 데이터베이스에 보관하는 방대한 개인 데이터 때문에 만들어졌습니다. 이 법에서는 다음 내용을 다룹니다.

  • 미국 시민이 정부 기관에 보관된 데이터에 액세스할 권리 및 이러한 데이터의 사본을 받을 권리
  • 시민이 정보 오류를 수정할 권리
  • 정부 기관이 소기의 목적을 달성하는 데 필요하고 관련성이 있는 최소한의 정보만 수집할 필요성
  • '알아야 할 필요성'에 따른 데이터 액세스 제한
  • 연방(및 비연방) 기관 간의 정보 공유 제한 - 즉, 특정 조건에서만 허용

그러나 인터넷의 발명으로 프라이버시의 정의가 바뀌면서 전자 통신에 관한 새로운 데이터 보안 법 제정이 필요해졌습니다.

연방 거래 위원회 법

1914년 연방 거래 위원회 법은 미국 연방 거래 위원회(US Federal Trade Commission)를 설립하여 상거래에 영향을 미치는 불공정한 경쟁 방식, 그리고 불공정 행위 또는 관행을 금지하기 위해 제정되었습니다.

오늘날 FTC에서 웹사이트 개인정보 처리방침에 수록할 내용을 명시적으로 규제하지는 않지만, 주어진 권한을 행사하면서 각종 규정을 마련하고 개인정보 보호법을 시행하며 소비자를 보호합니다. 예를 들어, FTC는 다음에 해당하는 조직을 제재할 수 있습니다.

  • 공개된 개인정보 처리방침 불이행
  • 개인정보 처리방침에서 제대로 밝히지 않은 방식으로 개인정보 전송
  • 소비자를 대상으로, 그리고 개인정보 처리방침에서 개인정보 보호 및 보안에 관해 부정확하게 진술 
  • 합당한 데이터 보안 조치를 마련하고 계속 이행하지 않음
  • 해당 업종에 적용될 수 있는 자율 규제 원칙을 따르지 않음

FTC는 인터넷 규제에 중요한 역할을 합니다. 특히 주요 기술/소셜 미디어 기업이 수집하는 소비자 데이터에 대한 개인정보 보호와 관련하여 오해의 소지가 있는 발언이나 표현을 할 경우 이를 조사합니다. 이를테면 FTC는 Facebook의 고객 데이터 사용에 대해 제기된 불만 사항을 조사한 바 있습니다.

아동 온라인 개인정보 보호법

1998년 제정된 아동 온라인 개인정보 보호법(Children’s Online Privacy Protection Act of 1998, COPPA)은 미국 연방법입니다. 부모가 온라인에서 어린 자녀로부터 수집되는 정보를 통제할 수 있게 하는 것이 이 법의 취지입니다. COPPA는 13세 미만 아동을 대상으로 하고 아동의 개인정보를 수집하는 상업용 웹사이트 및 온라인 서비스(모바일 앱 및 사물 인터넷 장치 포함) 사업자에게 적용됩니다.

COPPA의 주요 요건은 다음과 같습니다.

  • 13세 미만의 아동을 대상으로 하는 웹사이트, 앱, 온라인 도구는 아동으로부터 정보를 수집하기 전에 반드시 고지하고 부모의 동의를 얻어야 합니다.
  • 명확하고 포괄적인 개인정보 처리방침이 있어야 합니다.
  • 아동으로부터 수집한 모든 정보는 안전하게 보관해야 합니다.

이 법은 인터넷 초기에 만들어졌지만, 소셜 미디어 및 프로그래매틱 광고의 시대에 더욱 중요해졌습니다. COPPA의 핵심 사안은 어떤 사이트가 13세 미만 아동을 '대상으로 하는' 범위입니다. 미국에서는 연방 거래 위원회에서 다음과 같은 다양한 기준에 따라 사이트를 평가합니다.

  • 주제
  • 콘텐츠
  • 애니메이션 캐릭터 사용
  • 아동 중심의 활동 또는 인센티브 사용
  • 모델의 연령
  • 아동 유명인 또는 아동에게 어필할 수 있는 유명인의 존재
  • 아동을 대상으로 하는 사이트 내 광고

연령을 기준으로 사용자를 선별하는 웹사이트나 서비스도 있는데, 이런 경우에는 COPPA 규정을 준수하지 않아도 됩니다. 예컨대 사용자 데이터 수집 및 수익화를 기본 비즈니스 모델로 하는 많은 소셜 네트워크에서는 등록 사용자의 최소 연령을 13세로 설정합니다.

COPPA에서 제기하는 또 다른 문제는 무엇이 '개인정보 수집'에 해당하느냐입니다. 이름, 주소, 사진 수집은 이 범주에 속합니다. 그러나 행동 광고, 즉 각종 웹사이트와 앱에서 사용자 행동을 추적하는 광고는 좀 모호할 수 있는데, 이 역시 COPPA에서 정한 개인정보 수집에 해당합니다. 타사 제공업체가 이러한 행동 광고를 제공하더라도, 아동 대상의 웹사이트에 게재한다면 해당 웹사이트의 소유자가 이에 대한 책임을 집니다. 행동 광고가 인터넷 생태계의 큰 부분을 차지하는 까닭에 이는 아동 대상의 웹사이트에 지대한 영향을 미칩니다.

아동 온라인 개인정보 보호법은 13세 미만 아동의
개인정보가 인터넷에서 수집되지 않게 하여 아동을 보호하기 위한 법입니다.
원격 학습을 위해 노트북을 사용하는 어린 소녀의 이미지

캘리포니아 소비자 개인정보 보호법

캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)은 2018년에 제정되었습니다. 그 취지는 소비자의 개인정보 보호 범위를 인터넷으로 확대하여 캘리포니아 주민의 개인정보 보호 문제를 해결하는 것이었습니다. CCPA는 미국에서 가장 포괄적인 인터넷 중심의 데이터 프라이버시 법으로 간주됩니다. 연방 차원에서 이에 상응하는 법이 없습니다.

EU의 GDPR과 마찬가지로, 자신의 데이터에 액세스할 권리, 그리고 언제든지 데이터를 삭제하고 데이터 처리를 거부할 권리를 소비자에게 부여합니다. 그러나 CCPA가 GDPR과 다른 점도 있는데, GDPR에서는 잘못된 개인 데이터를 수정하거나 정정할 권리를 소비자에게 부여하는데 CCPA는 그렇지 않습니다. 아울러 GDPR에서는 소비자가 자신의 데이터를 넘겨주는 시점에 명시적인 동의가 있어야 합니다. 이와 달리 CCPA는 소비자에게 특정 데이터 수집을 거부할 권리가 있음을 알리는 개인정보 처리방침을 웹사이트에 명시하도록 규정할 뿐입니다. CCPA에는 다음과 같은 내용도 있습니다.

  • 소비자는 데이터 주체 액세스 요청의 형태로 자신의 데이터에 액세스할 권리가 있습니다.
  • 기업이 소비자의 개인정보를 판매할 때는 웹에 고지하고 소비자에게 거부할 기회를 제공해야 합니다.
  • 소비자가 데이터 유출의 피해자일 경우, 소송을 제기할 제한적인 권리가 있습니다.
  • 주 법무장관은 주민을 대신하여 기업을 고소할 수 있는, 더 일반적인 권한을 갖습니다.

CCPA는 개인정보를 '특정 소비자나 가구를 직간접적으로 식별, 진술, 설명하는, 또는 연관될 수 있거나 합리적으로 연결될 수 있는 정보'로 광범위하게 정의합니다. 이는 개인 데이터에 대한 GDPR의 광범위한 관점과 비슷합니다.

유럽 일반 개인정보 보호법

유럽 연합(EU)의 일반 개인정보 보호법(General Data Protection Regulation, GDPR)은 2018년에 발효되었습니다. 이는 유럽 연합에 거주하는 개인으로부터 개인정보를 수집하고 처리하는 것에 관한 지침을 마련하는 법 체제입니다. GDPR은 웹사이트의 소재지와 상관없이 적용되므로, 유럽의 사용자가 방문할 모든 사이트에서 이를 준수해야 합니다. GDPR은 세계에서 가장 엄격한 데이터 보안법으로 꼽힙니다.

GDPR에서는 사이트가 수집하는 데이터에 관해 웹사이트 사용자에게 알려야 하고 사용자는 해당 데이터 수집에 명시적으로 동의해야 한다고 규정합니다. 이 때문에 많은 웹사이트에서 사용자에게 쿠키(사이트 설정, 기본 설정과 같은 개인정보를 저장하는 작은 파일) 수집에 동의하도록 요청하는 팝업이 표시됩니다.

GDPR의 주요 내용은 다음과 같습니다.

  • 소비자는 자신의 데이터가 어떻게 수집되고 사용되는지 알 권리가 있습니다.
  • 소비자는 웹사이트에 자신에 대해 어떤 정보가 수집되었는지 (수수료 지불 없이) 문의할 수 있습니다.
  • 소비자 데이터에 오류가 있으면 소비자는 정정을 요청할 수 있습니다.
  • 소비자는 기록에서 자신의 데이터를 삭제하도록 요청할 수 있습니다.
  • 소비자는 마케팅 목적 등의 이유로 데이터를 처리하는 것을 거부할 권리가 있습니다.
  • 사이트는 데이터 유출 또는 보안 침해가 일어나면 사용자에게 알려야 합니다.

유럽 연합 집행위원회의 공식 웹사이트에서 GDPR에 관해 자세히 설명합니다. 거대 기업이 GDPR 위반으로 막대한 과징금이 부과된 사례가 있습니다. 사용자가 새 Android 휴대폰을 설정할 때 중요한 정보가 제공되지 않아 사용자가 어떤 데이터 수집 정책에 동의하는지 알지 못하게 한 이유로 5,700만 달러의 과징금이 부과된 Google, 공격으로 50만 건의 고객 예약 기록이 유출되어 2,800만 달러의 과징금이 부과된 British Airways 등입니다.

건강 보험 이전 및 책임 법

1996년 건강 보험 이전 및 책임 법(Health Insurance Portability and Accountability Act of 1996, HIPAA)은 건강 보험 규제에 초점을 맞춘 미국 연방법이며, 데이터 프라이버시 및 보안에 관한 내용이 포함되었습니다. 의료 서비스 제공자, 기업 및 이들과 함께 일하는 사람들이 소비자의 허락 없이 소비자의 건강 정보를 공개하는 것을 금지합니다.

HIPAA와 관련하여 흔히 2003년에 제정된 개인정보 보호 규칙 조항이 언급됩니다. 미국 의회가 인터넷으로 인해 개인정보 침해가 발생할 가능성이 높아졌음을 인식하면서 이 규정이 도입되었습니다. HIPAA의 개인정보 보호 규칙은 소비자에게 자신의 건강 정보 공개를 통제할 권리를 부여합니다. 즉, 공유 가능한 정보를 소비자가 의료 서비스 제공자에게 지정할 수 있습니다.

그러나 HIPAA는 특정 종류의 의료 서비스 제공자가 보유한 의료 정보만 보호합니다. 예를 들어, 피트니스 트래커(fitness tracker) 기기의 건강 관리 데이터는 대개 HIPAA의 적용을 받지 않습니다. Ancestry.com과 같은 웹사이트에 입력하는 유전자 데이터도 HIPAA의 적용을 받지 않습니다. 많은 앱에서 요구되는 개인정보 공개와 관련하여 다른 법률이나 계약에서 해당 정보를 보호할 수 있으나, HIPAA는 그렇지 않습니다.

그램-리치-블라일리 법

1999년 금융 서비스 현대화 법(Financial Services Modernization Act of 1999)이라고도 불리는 그램 리치-블라일리 법(Gramm-Leach-Bliley Act, GLBA)은 데이터 프라이버시 및 보안에 관한 내용을 포함한 은행/금융 법입니다. 개인정보 보호 조항은 공정 신용 보고 법(Fair Credit Reporting Act, FCRA)과 같은 이전의 소비자 금융 데이터 법을 기반으로 합니다.

기본적으로 GLBA는 비공개 개인정보, 즉 '금융 상품 또는 서비스 제공과 관련하여 개인에 관해 수집된, 달리 공개적으로 이용 가능하지 않은 정보'를 보호합니다. 로 정의되는 '공개적으로 이용 가능'이란 퍼블릭 도메인에 속할 수 있는 부동산 기록 또는 특정 모기지 정보를 의미합니다.

GLBA 세이프가드 규칙에 따라, 데이터 수집자는 개인정보를 보호하고 적절한 규모의 데이터 보안 시스템을 구축해야 합니다. 즉, 대형 국영 은행은 이를테면 동네 신용 조합보다 더 정교한 안전 장치가 필요합니다.

이 규칙에 따라 기업은 정기 테스트를 시행해야 합니다. 아울러 직원 신원 조회, 공격에 대비한 침해 대응 조치 계획 수립 일상 업무의 보안 조치를 구현해야 합니다.

GLBA는 프리텍스팅(pretexting)을 불법으로 규정합니다. 프리텍스팅이란 누군가가 비공개 정보에 부적절하게 접근하는 것을 말합니다. 이 용어는 흔히 사회 공학 해킹과 연결됩니다. 이를테면 관리자나 법 집행 기관 요원으로 위장하고 정보를 얻으려는 행위입니다. 가짜 웹사이트를 만들어 사람들이 개인정보를 공개하도록 속이는 피싱 사기도 프리텍스팅에 해당합니다. GLBA에 따라 금융 기관은 보안 계획의 일부로 프리텍스팅을 방지하는 조치를 마련해야 합니다.

인터넷 개인정보 보호법: 결론

전 세계의 관할권마다 인터넷 개인정보 보호 및 데이터 보안에 관한 법이 있습니다. 예를 들어, 브라질에는 일반 데이터 보호법(Lei Geral de Proteção de Dados, LGPD), 캐나다에는 소비자 개인정보 보호법(Consumer Privacy Protection Act , CPPA)이 있는데, 둘 다 그 범위가 EU의 GDPR 또는 캘리포니아의 CCPA와 대체로 비슷합니다.

미국에는 데이터 프라이버시에 관한 포괄적인 연방법이 하나도 없습니다. 인터넷 규제는 통신, 건강 정보, 신용 정보, 금융 기관, 마케팅에 관한 법률 및 규정을 비롯한 업종별 법과 매체별 법이 복잡하게 얽혀 있습니다.

온라인 개인정보 보호 및 데이터 보안을 실현할 가장 좋은 방법은 종합 안티바이러스 솔루션을 사용하는 것입니다. Kaspersky Premium과 같은 제품은 바이러스, 맬웨어, 랜섬웨어, 스파이 앱, 최신 해커 활동과 같은 일반적이고 복잡한 위협을 차단합니다.

추천 제품:

인터넷 및 데이터 보안에 관한 법으로는 무엇이 있나요?

인터넷 법이란? 인터넷 개인정보 보호법 및 인터넷 규제에는 아동 온라인 개인정보 보호법, 캘리포니아 소비자 개인정보 보호법 등이 있습니다.
Kaspersky 로고

관련 문서