-고객정보 보관 의무화로 보안 시장 지각변동 예상

증가하는 인도 내 사이버 보안 공격

지난 2022년 7월 19일 인도 국회 대정부질의에서 내무부 장관(Minister of Home Affairs, Ajay Kumar Mishra)은 올해 6월까지 67만4021건의 사이버 공격이 이루어졌다고 밝혔다. 지난 3년간 300만 건이 넘는 공격이 시도됐으며 인도 정부는 사이버 보안 태세를 강화하고 사이버 공격을 방어하기 위해 사이버 위협 취약성 권고, 대응, 보호 등 다양한 조치를 하고 있다고 밝혔다.

인도 정부의 대응

인도 사이버 보안을 담당하는 CERT-In(Computer Emergency Response Team)은 4월 28일 사이버 보안 취약점을 개선하기 위한 일련의 정책을 발표했다. 크게 1. 사이버 보안사고 보고 기한 단축 2. 사이버 보안사고 정의 확대 3. 시스템 정책으로 요약될 수 있다.

사이버 보안 사고 관련 기존 규정(2013년)은 사고 보고 기한을 구체적으로 정하지 않았다. 합리적인 기한 내(reasonable time frame)로 된 기존 규정을 이번에 6시간 내로 구체화했다. 다만 관련 업계에서는 너무 짧다는 의견이 있다. BSA, 인도 소프트웨어 연합체는 해당 기간이 최소 72시간은 되어야 한다고 밝혔다. 단축된 시간 관련 해당 업체들의 업무 처리 방식 개선 및 신규 시스템 도입이 시급할 것으로 보인다.

사이버 보안 사고 범위도 이번에 구체화시켰다.

- 데이터 침해
- 데이터 유출
- 사물 인터넷(IoT) 장치 및 관련 시스템 ·네트워크 ·소프트웨어 및 서버에 대한 공격
- 디지털 결제 시스템에 영향을 미치는 공격 또는 사건
- 악성 모바일 앱을 통한 공격
- 소셜 미디어 계정에 대한 무단 액세스
- 클라우드 컴퓨팅 시스템/서버/소프트웨어/애플리케이션에 영향을 미치는 공격 또는 악의적/의심스러운 활동
- 빅 데이터 ·블록체인 ·가상 자산 ·가상 자산 거래소(교환) ·보관 지갑 ·로봇 공학 ·3D 및 4D 프린팅·적층 제조(additive manufacturing) 및 드론 공격 관련 시스템/서버/네트워크/소프트웨어/응용 프로그램에 영향을 미치는 공격 또는 악의적/의심스러운 활동
- 인공지능(AI) 및 머신 러닝(ML)과 관련된 시스템/서버/소프트웨어/애플리케이션에 영향을 미치는 공격 또는 악의적/의심스러운 활동
다만 워낙 사이버 보안 사고를 포괄적으로 정의하고 있어 어떻게 관리될지는 추이를 지켜봐야 할 것으로 보인다.

세 번째 사항은 시스템 정책 관련이다. 데이터센터, VPS(Virtual Private Server) 제공업체, CSP(Cloud Solution Provider) 및 VPN(Virtual Private Network) 제공업체 등에 고객정보 의무 보유 규정을 부과했으며, 특정 보안 사고 발생 시 이들에게 해당 정보를 요구할 수 있게 했다. 의무 보유 사항은 다음과 같으며 고객의 탈퇴 유무과 상관없이 5년간 의무적으로 보관해야 한다.

- 가입자/고객의 확인된 이름
- 날짜를 포함한 구독 기간
- 회원에게 할당된/사용 중인 IP
- 등록 시 사용한 이메일 주소, IP 주소 및 타임스탬프
- 서비스 가입 목적
- 확인된 주소 및 연락처
- 서비스를 이용하는 가입자/고객의 지분관계(Ownership pattern)

이와 관련해서 해당 업계에서 논란이 크다. 고객의 익명성을 생명으로 하는 VPN 제공회사의 경우 인도 시장을 떠나겠다고 발표하고 있다. 주요 VPN 제공업체인 ExpressVPN(6월 2일), Surfshark(6월 8일), 그리고 Nord VPN(6월 26일)은 인도 정부정책을 이유로 인도 내 서버 가동을 중지했다. 메타(Facebook), 구글, 애플, 아마존, 마이크로소프트 등 인도 내 11개 글로벌 회사들은 대인도 정부 서한을 통해 해당 정책이 인도 내 사업을 어렵게 할 것이며 사이버 보안을 강화하기보다는 약화시킬 것이라고 밝혔다. 그러나 6월 관련 업계 의견 청취 자리에서 CERT-In은 정책을 그대로 이행할 것이며 중소기업의 준비기간을 위해 시행을 기존 6월 27일에서 9월 25일로 연기한다고 밝혔다.