- 미국 대형 신용평가기관 에퀴팩스, 1억4300만 개의 개인정보 유출 사고 -

- 정부 및 민간기관 사이버 보안에 대한 중요성 인지, 시장 확대 전망 -

 

 

□ 상품명 및 HS Code

 

  ㅇ 한국 기준, HS Code는 소프트웨어가 기록된 장치의 구분에 따라 다음과 같이 분류하고 있음.

 

HS Code	기록 매체 구분		품목 해설
8523.29.2121	마그네틱 테이프	폭이 4㎜ 초과 6.5㎜ 이하인 것	컴퓨터 소프트웨어를 수록한 것
8523.29.2131		폭이 6.5㎜를 초과하는 것	컴퓨터 소프트웨어를 수록한 것
8523.29.2911		기타-음성 또는 영상을 제외한 현상 재생용의 것	컴퓨터 소프트웨어를 수록한 것
8523.40.2111	광학식 매체	-	컴퓨터 소프트웨어를 수록한 것
8523.40.2911		-	컴퓨터 소프트웨어를 수록한 것
8523.51.2110	반도체 매체	음성 또는 영상을 제외한 현상 재생용의 것	컴퓨터 소프트웨어를 수록한 것
8523.80.2210	기타	기타	컴퓨터 소프트웨어를 수록한 것

  ㅇ 미국 기준, HS Code 8523.49.2010

    - 소매업 등에서 사용되는 정보처리용 소프트웨어

□ 미국 대형 신용평가기관의 개인정보 해킹 사태

 

자료원: US Army Illustration

  ㅇ 미국 3대 신용평가기관 중 하나인 에퀴팩스(Equifax)의 고객 개인 정보가 해킹당한 것으로 밝혀짐.

    - 2017년 9월 7일 에퀴팩스는 약 1억4300만 개의 개인정보가 유출된 것을 발표했으나, 실제로 해킹이 발생한 것은 지난 5월 중순부터 7월 사이였던 것으로 알려짐.

    - 1억4300만 개의 개인 정보는 전체 미국 인구의 약 44%에 해당하는 숫자로 생년월일, 주소와 같은 단순 정보는 물론이고 우리나라 주민등록번호에 해당하는 사회보장번호와 운전면허번호, 약 20만9000개의 신용카드 번호와 특정 개인의 식별이 가능한 18만2000여 개의 정보가 포함돼 있는 것으로 알려짐.

    - 에퀴팩스는 캐나다, 영국 등 해외에서도 영업을 하고 있으며, 세계적으로 약 8억2000만 명 이상의 개인 정보와 9100만 개 이상의 사업자 정보를 보유하고 있음.

  ㅇ 미국의 신용평가기관은 개인의 금융거래내역 등의 정보를 바탕으로 개인의 신용도를 평가하는 민간 기관으로 미국에 거주하는 거의 모든 시민은 이들 기관을 통해 신용도를 평가받음.

    - 모든 개인이 금융거래 시 신용평가점수가 필요하며, 차량과 주택의 구매 및 임대 시에도 신용평가에 따라 대출 상한도, 구매나 임대의 가능 여부 등이 달라짐.

    - 때문에 에퀴팩스와 같은 신용정보 관리기관은 개인에 대한 거의 모든 정보를 보유하고 있다고 할 수 있음.

    - 미국소비자연맹(Consumer Federation of America: CFA) 로힛 쇼프라(Rohit Chopra) 선임연구원은 현지 언론과의 인터뷰에서 '신용평가관리 회사가 소유한 개인 정보는 금융회사에 판매할 수 있는 좋은 상품'이라고 발언했음.

 

  ㅇ 미국 증권거래위원회(The Securities and Exchange Commission), 기관 내 사이버 보안수준 강화 계획 발표

    - 유가증권 및 금융거래에 대한 연방법을 집행하는 기관인 증권거래위원회는 9월 초, 위원회가 보유하고 있는 불법 금융거래 정보에 해커들의 접근한 사실을 밝힘.

    - 이후 2017년 9월 26일, 정보보호 관련 인력을 늘리는 방안과 함께 기관의 정보보호 수준을 강화할 것이라고 발표함.

 

  ㅇ 연방거래위원회의 소비자 정보보호 권한 강화 필요성 제기

    - 공화당 존 튠(John Thune) 상원 의원은 민간 기업이 보유한 소비자 정보 보호에 대한 연방거래위원회의 기준을 상향화하고 위반 시 부과되는 벌금이나 패널티도 강화해야 한다고 주장함.

    - 2017년 9월 현재, 연방거래위원회는 아동의 온라인 개인정보보호법을 위반하는 기업에 대해서만 민사 처벌을 요구할 수 있으며 이외의 경우는 민사 처벌을 요구할 수 있는 권한이 없음.

    - 따라서 이번 에퀴팩스 사태에서도 연방거래위원회가 에퀴팩스 사에 별도의 처벌을 할 수 있는 권한이 없음.

    - 연방거래위원회는 그동안 해당 권한을 부여해 줄 것을 수차례 의회에 요청해왔으나 통과되지 못했음.

 

  ㅇ 국방부, 정보 보호를 위한 프로그램 군대 배치 계획 발표

    - 국방부는 기관 내 정보 유출 등 사이버 보안 사고가 내부인들이 확인되지 않은 이메일의 첨부파일을 다운로드하거나, 의심스러운 웹사이트의 링크를 클릭하는 등 기관의 주로 내부 고용인에 의해 일어나는 사례가 많다고 발표함.

    - 때문에 방위고등연구계획국(Defense Advanced Research Projects Agency)은 내부 고용인들을 대상으로 하는 잠재 공격성 이메일 등을 식별하는 프로그램을 구매, 설치하겠다고 공고함.

    · 구매계획 발표 원문 참조: https://www.fbo.gov/utils/view?id=b0350ca62425e8a66ad3e4d28e12ca31

  ㅇ 뉴욕 주 상원위원회, 개인 정보보호에 대한 공청회 개최

    - 개인 정보 도용으로 인해 피해를 입은 개인에 대한 구제 조치와 실질적인 정보보호 방안을 논의하기 위한 것으로 알려짐.

  ㅇ 신용평가기관 FICO, 사이버 보안 예산 및 인력 확충할 것

    - 또 다른 대형 신용평가기관인 FICO사는 에퀴팩스의 정보 유출 사태를 정보보호 취약성 대한 경종을 울리는 사건이라고 평가하고 자사의 사이버 보안 예산과 인력을 확충할 것이라고 발표함.

 

□ 미국 정보통신(IT) 산업 동향

 

  ㅇ 세계 정보통신 산업에서 가장 큰 비중을 차지하고 있는 국가인 미국은 2017년 기준 총 시장규모는 6670억 달러 규모를 기록했으며 2021년까지 약 7305억 달러 규모까지 성장할 것으로 예상됨.

    - 미국 시장조사 전문기관 BMI 리서치는 미국 경제의 전반적인 호조세와 클라우드 서비스 보급의 확대, 사이버 보안 부문의 수요 증대가 IT 분야의 이 같은 성장을 이끄는 주요 원인인 것으로 분석했음.

    - BMI는 하드웨어 판매율은 더 이상 큰 변화율을 보이지 않는 반면, 소프트웨어의 경우 2021년까지 꾸준한 성장률을 보일 것으로 전망됨. 특히 사이버 보안 수요가 높은 클라우드 서비스의 경우 폭발적인 시장 성장이 예상됨.

 

미국 IT시장의 부문별 시장 동향

자료원: BMI Research

 

□ 미국 사이버 보안 시장 동향

 

  ㅇ 사이버 보안기술은 온라인에서의 범죄, 테러, 해킹 목적의 접근 및 스파이 행위 등으로부터 정보, 시스템, 네트워크를 보호하는 IT 기술을 일컬으며, 암호 및 인증, 인식, 감시 등의 정보보호 기술이 적용된 제품을 생산하거나, 해당 기술을 활용, 재난·재해·범죄 방지 서비스를 제공하는 기술을 말함.

    - 기술 운영의 목적과 적용 범위 등을 기준으로 ▲네트워크 보안 ▲ 데이터 보안 ▲ 신원 및 접근 관리 ▲ 엔드포인트 보안 ▲ 애플리케이션 보안 ▲ 클라우드 보안으로 나뉘게 됨.

사이버 보안 시장 세부 분류

자료원: KOTRA '미국 사이버보안 시장동향과 우리 기업 진출을 위한 시사점'

  ㅇ 미국의 사이버 보안시장 규모는 서비스 부문을 포함해 2016년 기준 약 257억 달러로, 연평균 7.8%의 성장률을 기록하며 향후 2021년까지 총 시장규모 약 238억 달러에 이를 것으로 전망됨.

 

미국 연도별 사이버보안 시장 전망   

                                                                                                                                            (단위: 백만 달러, %)

구분	2017	2018	2019	2020	2021
시장규모	25,706	27,891	30,094	32,291	34,584
전년대비성장률	8.1	8.5	7.9	7.3	7.1

 자료원: KOTRA '미국 사이버보안 시장동향과 우리 기업 진출을 위한 시사점'

  ㅇ 시장조사 전문기관 IBIS World는 미국 보안 소프트웨어 시장이 최근 5년간 연평균 5.9%로 성장해 왔으며, 지난해에만 8.1%의 성장률을 보여 총 시장규모 126억 달러에 달하는 것으로 분석했음.

    - 또한 향후 5년간 연평균 5%로 꾸준히 성장해 2021년에는 총 시장규모 161억 달러에 달할 것으로 예측함.

 

□ 수입동향

 

  ㅇ 미국의 최근 3년간 소프트웨어 수입동향은 다음과 같음(HS Code 8523.49.2010 기준).

                                                                                                                                                                        (단위: 천 달러, %)  

순위	국가명	수입액			비중			증감률 2016/2015
		2014	2015	2016	2014	2015	2016
	총계	51,430	46,582	54,589	100.00	100.00	100.00	17.19
1	일본	10,684	13,474	15,098	20.77	28.93	27.66	12.05
2	캐나다	8,333	6,691	6,162	16.20	14.36	11.29	- 7.91
3	독일	2,664	4,298	5,949	5.18	9.23	10.90	38.42
4	중국	4,103	3,893	3,885	7.98	8.36	7.12	- 0.20
5	싱가포르	2,847	1,778	3,267	5.54	3.82	5.99	83.81
6	프랑스	2,574	2,214	2,905	5.00	4.75	5.32	31.18
7	아일랜드	6,086	339	2,869	11.83	0.73	5.26	745.29
8	스위스	3,206	2,837	2,783	6.23	6.09	5.10	- 1.91
9	대만	441	488	2,505	0.86	1.05	4.59	413.60
10	스웨덴	3,915	3,653	1,801	7.61	7.84	3.30	- 50.70

자료원: World Trade Atlas

□ 경쟁동향 및 주요 경쟁기업

 

  ㅇ 기업이나 기관의 사이버 보안은 대부분 정보처리 및 관리 서비스 업체를 통해서 수행되고, 미국 내 주요 IT 서비스 제공 기업은 다음과 같음.

 

미국 주요 IT 서비스 기업

회사명	주요 서비스	총 매출액 (십억 달러)	IT서비스의 매출액 비중(%)
Accenture	컨설팅, IT인프라 구축, 전략수립	31	90+
Cognizant	컨설팅 및 아웃소싱	12.4	90+
CSC	IT인프라 구축, 컨설팅, 애플리케이션	7.1	90+
IBM	컨설팅 및 시스템 통합관리	81.7	60
HPE	애플리케이션,	52.1	36
Amazon(AWS)	클라우드 인프라 구축	107	7
Microsoft	컨설팅	93.6	5

자료원: BMI 리서치

□ 관세율

 

  ㅇ 미국은 WTO 멤버로 IT 산업 관련 제품에 낮은 관세율을 적용받음.

    - WTO는 1996년 세계무역 비중 90% 이상을 차지하는 53개 선진국 및 개발도상국 간에 정보기술협정(ITA: Information Technology Agreement) 을 맺어 2019년까지 인터넷 운용에 필수적인 201개 IT 제품에 대한 관세를 철폐하고자 함.

    - 관세 철폐를 통해 상품 가격을 낮춤으로써 국간 기술격차를 줄이고자 하는 조치로 해당하는 제품으로는 소비자 가전제품을 포함해 신세대 반도체나 MRI 같은 의료기기까지 다양한 제품이 포함됨.

 

□ 수입규제

 

  ㅇ 보안 소프트웨어 수입을 위한 별도의 수입규제는 없으나 기업체와 정부기관 등의 DB와 보유, 유지 및 폐기 등에 대한 절차와 요구 사항이 연방정부 차원의 법률, 주 정부의 규제, 산업별 규제 등으로 제도화, 의무화돼 있으므로 해당 기준을 확인할 필요가 있음.

    - 미 국방부는 국가 산업보안프로그램(National Industrial Security Program, or NISP)의 매뉴얼인 DoD 5520.22-M을 설정하고 데이터 삭제를 위한 절차와 방법을 상세히 명시하고 있음.

    - 미국 연방거래위원회의 폐기법(Federal Trade Commission's Disposal Rule)은 기업체나 정부기관에서 입수한 소비자의 개인 정보에 대해 일정 수준 이상의 보안 수준을 유지할 것과 보유기간이 경과된 데이터 및 하드웨어를 영구 삭제할 것을 의무사항으로 규정하고 이에 대한 적절한 절차와 방법에 대해서도 명시하고 있음.

    - 연방거래위원회는 기관의 운영에 있어 소비자 정보의 수집을 필요로 하는 아래 기관들에 대해 해당 법률을 적용하고 있음.

산업별 정보보안 관련 규제 

산업구분	DB 관련 규제
금융업	연방 금융기관 검사위원회 (Federal Financial Institutions Examination Council)의 Gramm-Leach-Bliley 법	금융기관의 고객정보 관리와 보유기간 및 폐기에 관한 조항 포함
	Sarbanes-Oxley Act	감사기관의 감사대상에 대한 DB와 폐기 등에 관한 법률조항 포함
에너지 및 유틸리티	북미 전력안정성 회사 (North American Electric Reliability Corporation)	전력 공급망의 스마트 그리드화에 따른 정보의 수집과 관리 , 폐기에 대한 규제
의료업	의료정보보호법 HIPAA (Health Insurance Portability and Accountability Act)	의료기관의 환자DB에 관한 규제
	경제적이고 임상적인 건전성을 위한 의료정보기술법 (Health Information Technology for Economic and Clinical Act)
정부기관	National Security Agency	정부기관에서 수집, 보유한 정보에 대한 보안 및 폐기에 대한 관리규정 수립
	Data Disposal Laws	50개주 중 31개 주에서 시행하고 있는 법률로 각 기관의 정보보유와 폐기방침에 대한 규제임
교육기관	FERPA(Family Educational Rights and Privacy Act	수집된 학생기록에 대한 규제

□ 시사점

  ㅇ 연방정부는 미국 사이버보 안 시장 성장의 핵심 원동력이 되고 있으므로 국내 사이버 보안 기업들은 연방정부와 거래하는 시스템통합 사업자, 리셀러, 서비스 업체와 협력을 통해 조달시장 진출을 모색할 필요가 있음.

    - 최근 기업체와 정부기관은 보다 안전하고 체계적인 DB를 위해 제3자인 정보처리 서비스 업체(Data Processing)를 이용하고 있는 경우가 늘어나고 있어 이러한 기업들과의 파트너십 기회를 모색해야 할 것임.

    - 과거 기업체 등이 직접 소프트웨어를 구매하고 관리하던 방식에서 클라우드 방식의 정보관리 형태로 진화하고 이러한 정보관리 서비스 업체들은 Software as a service(SaaS), Infrastructure as a service(IaaS), Platform as a service(PaaS), Data as a service(DaaS) 등의 방식으로 해결책을 제공하고 있으며 선진 소프트웨어의 보유가 이들의 주요 경쟁력이 되고 있음.

    - 파트너십 기회를 위해서는 현지에서 개최되는 상담회 및 전시회 등에 꾸준히 참석해 현지에서의 네트워킹을 구축할 필요가 있음.

 

  ㅇ 각 제품의 용도에 따른 정보보호 관련 규제에 대해 인지해야 함.

    - KOTRA 워싱턴 무역관의 지난 6월 정보보호 비즈니스 상담회에 참석했던 바이어는 "제품의 용도에 따른 규제의 준수는 선행돼야 하는 필수 전제조건으로 이 부분이 충족돼야 본격적인 상담을 시작할 수 있을 것"이라며 제품이 미국의 정보보호 관련 규제를 따르는지가 주요 구매 포인트가 된다고 귀띔함.

    - 지불결제 프로그램이라면 PCI-DSS(Payment Card Industry Data Security Standard), 프로그램이 의료 분야에 적용될 시에는 HIPAA(Health Insurance Portability and Accountability Act)를 따라야 하는 등 제품별 용도에 따라 준수해야 하는 개인 정보 보호 등에 대한 규제가 있음.

    - 또한 주별로 적용되는 주법에도 정보보호에 대한 조항을 마련해 두고 있으므로 이에 대해서도 양지할 필요가 있음.(주별로 크게 다르지는 않으나 진출 지역에 따라 달라질 수 있으므로 확인이 필요함).

 

 

자료원: BMI 리서치, IBIS World, Frost&Sullivan, 시장조사전문기관, KOTRA 워싱턴 자체보유 분석자료 및 자료 종합