개인정보는 기업뿐만 아니라 해외 관계자들의 주목을 받는 귀중한 자산으로 부상했다. 이러한 관심은 중요한 과제를 불러일으켰는데, 바로 해외 주체에게 데이터를 합법적으로 판매하는 것이며, 이는 민간인과 군 인력 모두에게 영향을 미칠 수 있다는 우려를 낳고 있다.

최근 바이든 대통령의 행정명령은 이러한 우려를 신속히 해결해야 할 중요성을 강조하고 있다. 이 명령은 개인정보가 국경을 넘어 어떻게 교환되는지 면밀히 조사하고 잠재적으로 규제할 필요성이 시급함을 강조하며, 데이터 영역에서의 프라이버시, 보안, 국가 주권에 대한 우려가 커지고 있음을 반영한다.

국경을 넘는 데이터의 취약성

EU의 GDPR(General Data Protection Regulation)이나 미국의 CCPA(California Consumer Privacy Act)와 같은 기존의 규제 조치에도 불구하고, 외국 기업에 개인정보를 합법적으로 판매하는 것을 막는 효과는 미미한 편이다. 이러한 규정은 주로 관할 구역 내에서 데이터를 보호하기 위해 고안되었으며, 국제 데이터 전송의 복잡성을 간과하는 경우가 많다. 이러한 감독 소홀은 특히 데이터 주권과 관련하여 데이터 보호 노력에 큰 허점을 남긴다.

데이터 주권은 데이터가 수집된 국가 내의 법률과 관리 구조의 적용을 받는다는 원칙이다. 데이터 주권을 둘러싼 모호성과 부적절한 집행 메커니즘은 위험을 증폭시켜, 중요 인프라와 군사 작전을 외국 적대세력의 스파이 활동, 사이버 공격 및 기타 악의적인 활동에 취약하게 만든다.

데이터 주권을 보호하지 못할 경우 국가 안보에 상당한 영향을 미칠 수 있다. 개인정보를 악용하는 적대세력은 중요 인프라의 취약점을 발견하거나, 군사 전략에 대한 통찰력을 얻거나, 심지어 군 인력의 안전을 위협할 수 있다. 이러한 침해는 작전 성공을 위태롭게 할 뿐만 아니라 국가 안보의 기반 자체를 위협한다.

더욱이 군사 작전이 안전한 데이터 시스템에 의존하고 있기 때문에, 어떤 타협도 그 영향이 증폭되어 통신 중단, 명령 및 제어 시스템 오작동 또는 민감한 정보에 대한 무단 접근으로 이어질 수 있다. 즉각적인 보안 문제 외에도, 개인정보 악용은 민주적 가치를 훼손하고 디지털 생태계에 대한 대중의 신뢰를 떨어뜨리며 법치주의를 지키려는 노력에 도전하여 사회 전반에 심각한 위협을 초래할 수 있다.

강력한 데이터 주권을 위한 전략적 조치

데이터 주권의 과제를 해결하고 사이버 보안을 강화하기 위해서는 몇 가지 주요 조치에 중점을 두어야 한다. 현재의 데이터 보호 체계의 취약점을 해결하기 위해서는 사전 대응 전략이 강조되어야 한다. 특히 외국 기업과의 합법적인 상호작용과 관련하여 개인정보를 효과적으로 보호하기 위해서는 고도화된 기술, 규제 옹호, 사이버 인식 강조를 결합해야 한다. 이러한 전략을 채택하면 데이터 보안 조치를 강화하고, 국익을 보호하며, 데이터 주권 침해와 관련된 위험을 줄이는 데 도움이 된다.

구체적으로 조직은 다음과 같은 조치를 취해야 한다:

① IT, 법무, 경영진 등 부서 간 협력을 장려하여 포괄적인 데이터 보호 전략을 개발한다.

② 정책 입안자 및 규제 기관과 적극적으로 협력하여 프라이버시, 보안 및 혁신을 촉진하는 동시에 데이터 주권 이슈를 다루는 강력한 규제 체계를 만드는데 기여한다.

③ 최첨단 보안 솔루션에 자원을 할당하고, 정기적으로 위험 평가를 수행하며, 모든 직원을 대상으로 지속적인 교육과 훈련을 제공하여 조직의 사이버 위협 방어 능력을 높인다.

데이터 주권 문제를 해결하기 위한 전략적 조치를 취하면 중요한 데이터 보호가 크게 향상되어 국가 안보와 군사 작전의 효율성이 강화된다. 이러한 사전 대응은 중요한 정보를 보호할 뿐만 아니라 국방의 기반 인프라를 강화한다.

데이터 보호 정책 수립에 규제 기관과 협력하면 이러한 규정이 보안 요구사항과 더욱 잘 부합하여 강력하고 포괄적인 체계를 구축할 수 있다. 또한 기술, 위험 관리 및 교육에 투자하면 조직의 사이버 보안이 강화되어 데이터 주권과 관련된 위험이 완화되고 국익이 강화된다.

데이터 주권의 도전에 맞서 사이버 보안을 강화하고 국익을 보호하려는 집단적 결의는 회복력의 상징으로 서 있다. 이러한 노력은 우리의 디지털 국경을 보호하고 데이터가 안전, 자유, 민주적 진실성의 보루로 기능하는 미래, 즉 디지털 시대의 주권의 본질 그 자체를 확고히 한다.

*필자 케빈 커크우드(Kevin Kirkwood)는 로그리듬((LogRhythm) 내부 보안 실무를 담당하고 있다. 그의 팀에는 거버넌스, 위험 및 규정 준수(GRC), 애플리케이션 보안(AppSec), 보안 운영 센터(SOC) 및 물리적 보안이 포함되어 있다. 보안 실무, 도구 및 운영에 대한 집중을 통해 직원, 시스템 및 고객을 보호하는 동시에 미래의 보안 플랫폼을 구축하기 위한 안전한 기반을 제공하고 있다.

(*이 칼럼은 GTT KOREA의 편집 방향과 다를 수 있습니다.)