- 정보 보호법(LGPD), 2020년 8월 발효 예정 - 

- 브라질 기업, 사이버 공격 대비 정보보안 시스템 강화 -

□ 개요

  ㅇ 나날이 인터넷 기술이 첨단화되고 인터넷이 업무 처리를 위한 필수 요소가 되면서 브라질 기업들의 정보 보안에 대한 우려가 커지고 있음. 

    - 2018년 브라질의 정보 시스템 공격 및 정보 도난 건수는 전년대비 2배 이상으로 증가함.

    - 사이버 보안 회사 Psafe의 자료에 따르면 브라질에는 2018년 상반기에만 1억2070만 건의 사이버 공격이 보고됐으며 이는 전년대비 95.9% 증가한 것으로 나타남.

□ 세부 내용

  ㅇ Psafe사의 보고서에 따르면 브라질에는 2018년 10~12월 사이 약 6380만 개의 악성 링크가 발견됐는데 해당 수치는 연초에 비해 12% 증가한 것임. 

    - 해당 보고서에 따르면 사이버 공격을 위해 주로 사용되는 플랫폼은 WhatsApp으로 나타남.

    - 사이버 공격의 57.4 %는 사용자가 사기 링크를 클릭하도록 유도하는 피싱(phishing) 형태인 것으로 나타남.

 

브라질의 주요 사이버 공격유형(2018년 2분기 기준)

자료: Psafe/Dfndr Lab

 

  ㅇ Psafe사 연구원 Emilio Simoni에 따르면 2018년 2분기 기준 매초 8건, 한 시간당 2만 8000건 이상의 악성 링크가 탐지되는데, 이는 브라질 인구 3명 당 1명 꼴로 사이버 범죄의 피해를 입었을 가능성이 있음을 의미함.  

    - 보험업체 AIG 브라질 법인에 따르면 브라질은 세계에서 사이버 공격을 많이 받는 국가 중 하나로 과거에는 브라질 기업 대상 사이버 공격의 정도가  ‘경고’ 수준이었으나 현재는 ‘위험’ 수준으로 악화됨.

  ㅇ Allianz Global Corporate & Specialty(AGCS)사가 기업을 대상으로 한 설문 조사에 따르면, 응답 기업의 38%가 ‘사이버 공격을 통한 정보 유출’을 비즈니스의 최대 위험 요인으로 보고 있는 것으로 나타남.

    - 2위는 비즈니스 중단(36%), 3위는 시장 변화(26%), 4위는 법률 또는 규제 변화(23%)로 나타남.

  

기업이 우려하는 비즈니스 위험 요소

자료: Kroll(컨설팅 기업)

 

  ㅇ 사이버 공격이 급증함에 따라 미국을 비롯한 다수 국가에서 사이버 공격을 대비한 보험 수요가 증가하는 것으로 나타남.

    - 미국의 경우 사이버 공격을 대비한 보험 시장 규모는 2년마다 약 두 배로 늘고 있으며 현재는 약 20억 달러 규모로 파악됨.

    - 브라질의 경우 아직까지 사이버 공격을 대비한 보험 시장의 공식 통계가 없어 정확한 규모는 파악하기 어려우나 해당 분야 관계자들은 약 1000만 헤알 정도의 규모가 될 것으로 추정하고 있음.

  ㅇ 보험사 Allianzo에 따르면, 브라질에도 사이버 위험을 대비한 보험 상품이 있으나 아직까지 기업들은 큰 관심을 보이지 않고 있는 것으로 드러남.

    - 시만텍사의 연구에 따르면 2017년 브라질 기업들이 사이버 공격으로 입은 손실은 총 220억 달러에 이르는 것으로 추정됨.

  ㅇ 정보 보호법(Lei Geral de Proteção de Dados -LGPD)

    - 브라질 기업들은 유럽에서 2016년 4월 발표, 2018년 5월 발효된 새로운 정보 보호법이 미칠 영향에 대해 우려하고 있음.  해당 법령에 따르면 기업이 고객의 정보를 유출할 경우 최대 2000만 유로의 벌금 또는 연간 매출액의 최대 4%에 해당하는 금액을 벌금으로 납부해야 함.

    - 유럽 국가를 대상으로 제품이나 서비스를 판매하는 브라질 기업들은 고객 정보 누출로 처벌 받을 수 있기 때문에 새로운 법안의 기준에 적합하도록 정보 보안 시스템을 강화하고 있는 것으로 조사됨.

    - 유럽에서 발효된 정보 보호법에 영향을 입어 브라질에서도 정보 보호법(Lei Geral de Proteção de Dados -LGPD)이 2018년 8월 발표됨으로써 개인정보 보호 및 규제 기관의 권한이 강화됨.

 

테메르 전 대통령의 정보 보호법 발표

자료: G1 및 Marcos Correa

 

  ㅇ 브라질 정보 보호법(LGPD)은 개인 정보의 프라이버시를 보장하고 엄격한 정보 관리를 목적으로 제정됨.

    - 해당 법안은 정보의 수집, 저장 및 공유에 대해 명시하고 있으며 기술개발 및 소비자 보호를 위한 규제 내용을 포함하고 있음. 

      · 아동과 관련된 정보는 반드시 부모의 동의를 얻어야 사용할 수 있음.

      · 고객과 회사 간의 관계가 끝난 후에는 회사는 고객의 개인정보를 반드시 폐기해야 함.

      · 개인정보는 "적절한"수준의 정보 보호 시스템을 갖춘 국가에 한해 이전 할 수 있음.

      · 회사는 서비스 제공에 필요한 정보만 수집해야 함.

      · 언론보도, 예술행위, 공공보안, 국가안보 또는 범죄수사를 목적으로 정보를 사용하는 경우 정보 보호법(LGPD)이 적용되지 않음.

      · 회사는 개인정보를 불법으로 접속, 파기,분실,변경하는 행위에 대비한 보안 장치를 마련해야 함.

      · 정보 관리자는 정보 누설 등과 같이 정보 보유자의 위험 또는 손상을 초래할 수있는 "보안 사고" 사례를  반드시 보고해야함.

  ㅇ 정보 보호법(LGPD)은 법안 내용을 준수하지 않는 경우 ‘경고’, ‘벌금’ ‘업무 중단’ 등의 제재를 받을 수 있음.

    - 기업이 정보 보호법을 위반했을 경우 전년도 매출의 2%에 해당하는 금액 또는 최대 5000만 헤알 까지의 벌금이 부과될 수 있음

 

  ㅇ 기업들은 정보 보호법(LGPD) 발효 전에 일정 수준 이상의 보안시스템을 갖추기 위해 많은 투자를 하고 있는 것으로 나타남.

    - 일례로 한 업체는 50만 헤알을 투자해 각종 정보 보안용 소프트웨어를 설치했으며 전문 컨설팅 업체를 고용해 정보보안 시스템, 네트워크 및 통신 인프라를 점검하는 등 언제 발생할지 모르는 사이버 공격에 미리 대비하고 있는 것으로 나타남.                                      

    - 정보 보안 업체 Strong Security Brasil 관계자는 브라질 기업들이 정보 보호를 위해 방화벽(firewall), 크립토그래피(암호화) 등을 사용하고 있다고 언급함.

 

□ 시사점

  ㅇ 브라질 정보 보호법(LGPD)은 2020년 8월 발효될 예정이어서 브라질에서 활동하는 기업들은 빠른 시일 내에 정보 보안 솔루션을 모색할 필요가 있음.   

    - 해당 법안에 따르면 기업들은 개인정보를 수집하거나 사용하는데 있어 법에 저촉하는 사항이 발견될 경우, 매출의 2%에 이르는 거액의 벌금을 납부할 수 있기 때문에 서둘러 대책을 강구해야 함.

  ㅇ 보험업체 Aon Brasi 관계자는 “사이버 공격은 특정 산업에만 해당되는 것이 아니라 산업 전반에 걸쳐 발생할 수 있으며 ‘일시적인 업무 중단’과 같은 비교적 가벼운 피해에서 ‘수백만 달러에 이르는 엄청난 손해’까지 초래할 수 있다”고 언급하며 정보 보호의 중요성을 강조함.

    - “기업들이 가장 우려하는 것은 ‘기업 또는 브랜드 이미지 손상’이다. 사이버 공격은 기업이나 브랜드 이미지에 매우 커다란 피해를 줄  수 있다”라고 Aon Brasi 관계자는 덧붙임.

    - 최근 들어 기업 대표나 이사 등 기업에서 정보를 총괄하는 사람들은 정보 누출 등으로 인한 대인 피해 보상에 대비해 보험에 가입하는 경우가 늘고 있음.  2017년 기준 이 같은 목적으로 가입한 보험액은 약 4억500만 헤알에 이르는 것으로 밝혀짐.    

환율: 1달러=3.94헤알

자료: 일간지O Estado de Sao Paulo, 시사지 Exame, IT 정보 포털 Computer World, KOTRA 상파울루 무역관 자료 종합