“해당 기업들의 기본 원칙은 정보 유출 사고 발생 시 반드시 공시해야 한다는 것입니다. 이는 투자자들에게 유익합니다.” 이는 미국 증권거래위원회(SEC) 게리 젠슬러 위원장이 특정 금융기관의 비공개 개인정보 처리 방식을 규율하는 규정 S-P 개정안을 발표하며 언급한 내용 중 일부다. 해당 규정 대상 기관(일반적으로 증권사, 투자회사, 등록 투자자문사, 양도 대리인)에 대해 개정 규정은 의무적인 데이터 유출 보고 요건을 도입할 뿐만 아니라 추가적인 사이버 보안 요건도 부과합니다. 아래에서 개정 규정을 요약하고 주요 내용을 정리합니다.
사고 대응 프로그램
개정된 규정은 모든 적용 대상 기관이 기존 정책 및 절차 내에서 사고 대응 프로그램을 수립하고 시행할 것을 요구합니다. 이 프로그램은 고객 정보에 대한 무단 접근 또는 사용 사고를 탐지하고, 대응하며, 복구할 수 있도록 "합리적으로 설계"되어야 합니다.
개정된 규정은 기관들이 운영 및 위험 프로필에 가장 적합하도록 정책과 절차를 유연하게 조정할 수 있도록 허용하지만, 모든 사고 대응 프로그램에는 다음과 같은 기본 원칙이 반드시 포함되어야 합니다:
- 사고 평가: 프로그램에는 사고의 성격과 범위를 평가하기 위한 정책 및 절차가 포함되어야 합니다. 이는 어떤 고객 정보 시스템이 침해되었는지, 그리고 무단으로 접근되거나 사용되었을 수 있는 고객 정보의 유형을 식별하는 것을 포함합니다.
- 차단 및 통제: 사건을 감지한 기관은 고객 정보의 추가적인 무단 접근이나 오용을 방지하기 위해 상황을 차단하고 통제하기 위한 적절한 조치를 취해야 합니다. 이 단계는 침해의 영향을 완화하고 추가적인 취약점에 대비하는 데 매우 중요합니다.
- 피해자 통지 절차: 해당 프로그램은 민감한 고객 정보가 유출되었거나 유출되었을 가능성이 있는 개인에게 통지하는 절차를 명시해야 합니다. 기관이 합리적인 조사를 거쳐 해당 민감한 고객 정보가 고객에게 중대한 피해나 불편을 초래할 수 있는 방식으로 사용되지 않았으며 앞으로도 사용될 가능성이 없다고 판단하는 경우를 제외하고는 반드시 통지해야 합니다.
통지 요건
개정된 규정은 "민감한 고객 정보"에 대한 무단 접근 또는 사용이 발생한 경우 통지 의무를 부과합니다. 여기서 "민감한 고객 정보"란 단독으로 또는 다른 정보와 결합하여 유출될 경우 해당 정보와 관련된 개인에게 중대한 피해나 불편을 초래할 수 있는 고객 데이터의 모든 요소를 의미합니다.
개정된 규정에 따라 해당 기관은 잠재적 사이버 보안 사고로 인한 피해 발생 가능성을 판단하기 위해 합리적인 조사를 수행해야 합니다. 해당 기관이 민감한 정보가 중대한 피해나 불편을 초래할 수 있는 방식으로 사용되지 않았으며 앞으로도 그럴 가능성이 낮다고 판단할 경우, 통지 의무가 면제될 수 있습니다. 조사의 합리성은 상황의 구체적 특성에 따라 결정됩니다. 예를 들어, 사이버 범죄자에 의한 고의적 보안 침해는 직원의 부주의한 데이터 노출에 비해 보다 철저한 조사가 필요할 수 있습니다.
해당 기관이 정보 유출이 발생했다고 판단할 경우, 합리적으로 가능한 한 신속하게, 특별한 예외를 제외하고는 30일 이내에 영향을 받은 개인에게 통지해야 합니다. 통지에는 사건의 성격 및 관련 데이터의 구체적 내용을 포함한 유출 사고에 대한 상세 정보가 제공되어야 합니다. 또한 통지문은 잠재적 피해로부터 자신을 보호하기 위한 적절한 조치에 대해 영향을 받은 개인에게 안내해야 합니다.
서비스 제공자 감독
개정된 규정은 적용 대상 기관의 사고 대응 프로그램에 서비스 제공자에 대한 감독(실사 및 모니터링을 통한 감독 포함)을 합리적으로 요구하도록 설계된 서면 정책 및 절차를 포함할 것을 요구합니다. "서비스 제공자"란 "적용 대상 기관에 직접 서비스를 제공함으로써 고객 정보를 수신, 유지, 처리하거나 기타 방식으로 접근이 허용된 개인 또는 단체"를 의미합니다. 이러한 포괄적인 정의는 이메일 제공업체, 고객 관계 관리 시스템, 클라우드 애플리케이션 및 기타 기술 공급업체를 포함한 광범위한 주체를 포함할 수 있습니다.
해당 기관의 서면 정책 및 절차는 서비스 제공자가 고객 정보에 대한 무단 접근 또는 사용을 방지하기 위한 적절한 조치를 취하고, 고객 정보 시스템에 대한 무단 접근을 초래하는 보안 침해 발생 사실을 인지한 후 가능한 한 신속히, 그러나 늦어도 72시간 이내에 해당 기관에 통지하도록 합리적으로 설계되어야 한다. 해당 기관은 이러한 통지를 접수하는 즉시 사고 대응 절차를 개시해야 한다.
개정 규정의 기타 측면
개정된 규정은 무엇보다도 해당 기관에 추가적인 기록 보관 의무를 부과하며, 여기에는 고객 정보에 대한 무단 접근 또는 사용 및 해당 사건에 대한 조사 내용을 문서화하는 것이 포함됩니다. 또한 개정된 규정은 소비자 정보 및 고객 정보의 적절한 폐기와 관련된 정책 및 절차를 요구합니다.
주요 내용
- 개정된 규정은 연방 정부의 전반적인 관심사, 특히 증권거래위원회(SEC)의 사이버 보안 규정 준수 집중을 보여주는 또 하나의 사례이다. 해당 기관들은 이러한 집중이 지속될 것이며 사이버 보안 관련 집행 조치의 규모가 증가할 것으로 예상할 수 있다.
- 개정된 규정은 올여름 후반에 발효될 예정입니다. 대규모 기관은 18개월, 소규모 기관은 24개월의 이행 기간이 부여됩니다. 해당 규정의 적용 여부를 평가하고 이에 따른 준수 계획을 수립해야 합니다.
- 해당 기관들은 새로운 요건을 반영하도록 정책 및 절차를 검토하고 업데이트하기 시작해야 합니다. 이러한 사전 대응적 접근은 규정된 기한 내에 개정된 규정에 대한 준수 여부를 확인하고 미비점을 파악하는 데 도움이 될 것입니다.
- 해당 기관들은 또한 개정안에 부합하도록 서비스 제공자에 대한 충분한 감독 및 규정 준수를 보장하기 위해 기존 서비스 제공자 계약을 검토해야 합니다. 여기에는 서비스 제공자가 새로운 보안 및 통지 요건을 준수하는지 확인하기 위한 실사 및 모니터링 조치 시행이 포함됩니다.
- 개정 규정은 의무적 통지 요건을 부과한다는 점에서 주목할 만하나, 실질적으로 해당 의무는 주(州) 데이터 침해 법규 및 기타 규정 형태로 이미 존재해 왔습니다. 따라서 적용 대상 기관들은 기존 사고 대응 계획 및 통지 매뉴얼을 활용하고, 기존 프로세스와 절차를 어느 정도까지 활용할 수 있는지 판단해야 합니다.
개정된 규정 S-P의 요건과 관련하여 추가 문의 사항이 있으시면, 본 문서의 작성자 중 한 분 또는 폴리 앤 라드너(Foley & Lardner)의 기술 거래, 사이버 보안 및 개인정보 보호 실무 그룹 소속 파트너 또는 선임 변호사에게 연락주시기 바랍니다.
