사이버 보안법 초안, 데이터 수집 부실에 종지부

이러한 변화는 법적 격차를 메울 뿐만 아니라 엄격한 기술적 장벽을 설정하고, 조직의 수장에게 사이버 보안 인증을 요구하며, 기업이 "쉬운" 데이터 수집 시대를 종식시킵니다.

데이터가 국가 생존의 문제가 되다

11월 24일 오후, 국가사이버보안협회가 주최한 "사이버보안법 2025: 데이터 보안 보호를 위한 한 걸음" 세미나에서 전문가들은 기존 법적 틀이 초기 임무를 완수했지만 현재 디지털 전환 속도에 부응할 만큼 포괄적이지 않다는 데 만장일치로 동의했습니다.

사이버보안부(사이버보안 및 첨단범죄예방통제부 - 공안부 ) 부장인 응우옌 딘 도 티 중령은 데이터를 디지털 경제의 '혈액'으로 간주하고 사이버 보안과 데이터 보안을 보장하기 위한 국가 핵심 정책을 파악하면서 국가 관리 사고방식의 변화를 강조했습니다.

첫째, 국방, 안보, 사회 경제 , 과학기술, 외교 등 모든 분야에서 사이버 안보를 최우선으로 고려합니다. 둘째, 국가 안보와 사회 질서를 해치지 않는 안전한 사이버 공간을 구축합니다.

셋째, 전문 인력 확충, 고급 인력 양성, 그리고 사이버 보안 기술 연구 개발 촉진에 자원을 집중한다. 넷째, 기관 및 개인이 위험 관리에 참여하고 관련 기관과 협력하도록 장려한다. 다섯째, 베트남 사이버 보안 산업 제품 및 서비스 활용을 우선시한다. 여섯째, 사이버 보안 보호를 위한 국제 협력을 강화한다.

데이터 보안 법규의 시급성은 불안의 위험이 점점 더 심각해지고 있다는 사실에서 비롯됩니다.

티 대령은 베트남이 2024년 한 해에만 60만 건 이상의 사이버 공격을 기록했으며, 그 중 수만 건이 국가 기관 시스템을 표적으로 삼았다고 지적했습니다.

또한, 랜섬웨어 공격으로 인해 많은 베트남 기업들이 수백만 달러의 몸값을 지불해야 했는데, 이는 미국에서 최대 4천만 달러에 달하는 몸값을 요구했던 사례와 유사합니다. 데이터 매매는 공개적으로 이루어지고 있으며, 특히 2월에 최대 600만 건의 개인 데이터를 불법적으로 매매하던 집단을 해체한 사례가 대표적입니다.

같은 견해를 공유하는 연구, 컨설팅, 기술 개발 및 국제 협력 부서(국가 사이버 보안 협회)의 Vu Ngoc Son 씨는 "데이터 보안"이라는 개념을 추가하여 데이터를 보안 작업의 중심에 둔 것은 법안의 큰 성공이라고 평가했습니다.

손 씨에 따르면, 새로운 규정은 엄격한 선별 과정을 만들어 시장을 '진짜' 주택과 '가짜' 주택이라는 두 가지 뚜렷한 그룹으로 분리할 것이라고 합니다.

이전에는 기관들이 보안에 투자하지 않고도 자유롭게 데이터를 수집하고 저장할 수 있었습니다. 그러나 이 법안은 이러한 상황을 종식시킬 것으로 예상됩니다. 인프라와 사이버 보안 솔루션을 확보하지 않는 기관은 데이터를 수집하고 저장할 수 없게 됩니다.

손 씨는 데이터를 돈에 비유했습니다. 사람들은 보호 기준을 충족하는 은행에만 돈을 예치하고, 마찬가지로 보안을 보장할 능력이 없는 조직에는 데이터를 제공하지 않습니다.

이러한 변화는 사이버 보안 산업과 더불어 데이터 산업이라는 새로운 경제 부문의 출현을 촉진할 것입니다. 데이터를 스스로 보호할 자격이 없는 기업들은 직접 데이터를 수집하는 대신, 서비스 구매, 국가 데이터베이스 연결, 또는 평판이 좋은 데이터 거래소 참여 등으로 전환해야 할 것입니다.

손 씨는 "이는 사회적 자원을 최적화하고, 분산된 투자 비용을 줄이고, 누출 위험을 제한하는 데 도움이 됩니다."라고 덧붙였습니다.

얼굴 인증만으로는 딥페이크에 대항할 수 없다

베트남 산업무역 주식회사(Vietinbank)의 쩐콩꾸인란(Tran Cong Quynh Lan) 부총괄 이사는 현재 이 은행의 거래 중 99%가 디지털 채널을 통해 이루어진다고 말했습니다.

새로운 요구 사항을 충족하기 위해 VietinBank는 현재 적용 중인 4계층 인증을 적용하여 다중 계층 보안 모델을 구축했습니다.

1계층과 2계층: 사용자 이름/비밀번호 및 OTP 코드.

3학년: 생체 인식(얼굴).

4단계: NFC 기술(단거리 무선 통신 기술)을 사용하여 칩이 장착된 시민 신분증을 통한 인증.

란 씨는 신원 사기(딥페이크) 방지를 위한 네 번째 보호 계층의 역할을 강조했습니다. 예를 들어, 10억 동(VND) 이상의 송금이 발생할 경우, 시스템은 사용자들의 얼굴만으로 신원을 확인하는 대신 칩이 내장된 신분증을 스캔하도록 요구합니다.

특히, 고객이 휴대전화 기기를 변경할 때(위험성이 높은 행동) 은행은 진위성을 보장하기 위해 NFC 인증도 적용합니다.

란 씨는 기술적 해결책 외에도 이 법안이 제기하는 주요 운영상의 과제를 다음과 같이 지적했습니다.

데이터 분류: 은행은 매일 수백만 건의 거래에 대한 데이터 분류 및 라벨링을 수행해야 합니다. 생체 데이터, 금융 데이터, 행동 데이터는 각기 다른 보호 메커니즘과 접근 권한을 가져야 합니다.

24시간 사고 보고: 사이버보안 사고를 24시간 이내에 대응 계획과 함께 보고해야 하는 요구 사항은 대응 프로세스에 엄청난 부담을 줍니다.

"아무도 믿지 마라"는 가장 안전한 보호입니다

네트워크 인프라와 관련하여, MobiFone 네트워크 보안 BU 책임자인 Le Cong Trung 씨는 새로운 네트워크 보안 표준을 충족하기 위해 누구도 믿지 않는 Zero Trust 아키텍처를 적용한 사례를 발표했습니다.

이 모델은 신원, 기기, 네트워크, 애플리케이션, 데이터의 5가지 핵심 요소를 기반으로 제어합니다. 모든 액세스는 지속적으로 재인증되어야 합니다.

또 다른 핵심은 공급망 위험을 통제하는 것입니다.

Trung 씨는 "MobiFone은 타사에 대한 의존을 피하기 위해 방화벽과 "Make in Vietnam" 식별 솔루션과 같은 네트워크 보안 장치를 자체 생산하는 기술 자율성 전략을 추진하고 있습니다."라고 말했습니다.

MobiFone 담당자는 또한 사이버 보안 법안이 사이버 보안에 대한 TCVN 11423 표준을 면밀히 준수하여 기업이 기술 솔루션을 배포하기 위한 구체적인 양적 측정(국가 기관 시스템의 경우 15가지 요구 사항, 중요 국가 시스템의 경우 18가지 요구 사항)을 갖는 데 도움이 된다는 사실을 높이 평가했습니다.

부응옥손 씨가 특히 강조한 2025년 사이버보안법의 새로운 돌파구는 리더의 필요성입니다.

일반적인 책임만 규정했던 기존 법과 달리, 이 법안은 기관장이 사이버 보안 관리에 대한 지식과 자격증을 보유하도록 요구합니다. 손 씨는 이것이 조직 문화를 바꾸는 중요한 단계라고 말했습니다. 리더가 이를 이해하지 못하면 효과적인 투자 결정을 내릴 수 없기 때문입니다.

손 씨는 "인터넷 사용자들도 '즐거움'에서 '책임감'으로 사고방식을 바꿔야 합니다. 개인정보를 부주의하고 통제 없이 공유하는 것은 자산을 보호하지 않고 방치하는 것과 같으며, 간접적으로 범죄 활동을 조장하는 것입니다."라고 덧붙였습니다.

손 씨는 국제 경험을 공유하며 한때 세계에서 가장 많은 사이버 공격을 받았던 한국의 사례를 언급했습니다. 한국은 초등학교부터 대학원까지 보편적인 사이버 보안 인증 시스템을 구축했습니다.

손 씨는 "이러한 철저한 훈련 덕분에 한국 국민과 인력은 매우 뛰어난 방어 능력을 갖추게 되었고, 모든 당사자가 사이버 보안에 대한 지식과 투자를 갖추면 국가를 위한 든든한 '방패'가 마련될 것"이라고 말했습니다.

출처: https://dantri.com.vn/cong-nghe/du-thao-luat-an-ninh-mang-cham-dut-tinh-trang-thu-thap-du-lieu-de-dai-20251124225636608.htm