통신 사이버 보안, 필요하지만 과도한 부담이 되선 안 돼

저자: Aman Avinav, Phoenix Legal
0
112
LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

2023년 통신법 제22조 및 제56조에 따라 제정된 2024년 통신(통신 사이버 보안) 규칙이 최근 발효됐다. 이는 2017년 모바일 기기 장비 식별 번호 조작 방지 규칙을 대체하며, 통신 부문의 안전과 회복성을 강화하는 첫 번째 체계적인 단계다. 이 규칙은 디지털 통신 네트워크를 방해하는 사이버 위협의 증가를 방지하기 위해 책임을 확립하고, 보안 프레임워크를 강화하며, 사이버 사고에 신속히 대응하도록 요구한다.

Aman Avinav
Aman Avinav
파트너 변호사
Phoenix Legal

이 규칙은 모든 통신 사업자가 보안 조치, 위험 식별, 평가 및 관리, 보안 사고의 예방 및 복구를 명시한 사이버 보안 정책을 구현하도록 함으로써 이러한 목표를 달성하고자 한다. 보안 사고는 통신 사이버 보안에 실제적 또는 잠재적 위험을 초래하는 사건으로 정의된다. 여기에는 실제 공격 및 침해뿐만 아니라 통신 네트워크, 장비 또는 서비스 내에 존재하는 잠재적 취약점도 포함되며, 이는 사이버 보안을 위협하는 데 악용될 수 있다. 통신 사업자는 인증된 기관이 정기적으로 감사를 실시할 수 있도록 허용해야 하며, 이를 통해 새롭게 등장하는 사이버 위협에 적응할 수 있도록 해야 한다.

주요 조항 중 하나는 모든 통신 사업자가 최고 통신 보안 책임자(CTSO)를 임명해야 하는 것이다. CTSO는 인도에 거주하는 인도 시민이어야 한다. 이들은 규칙 시행 및 필요에 따라 보고하는 데 있어 정부와 통신 사업자 간의 주요 연락 담당자로 활동하게 된다. 통신 사업자는 보안 침해를 감지한 후 6시간 이내에 정부에 이를 통지해야 하며, 24시간 이내에 사건의 범위와 영향을 상세히 기술한 보고서를 제출해야 한다.

정부는 통신 사이버 보안을 보장하기 위해 승인된 기관을 통해 통신 사업자로부터 메시지 내용을 제외한 트래픽 또는 기타 데이터를 수집할 권한을 가지고 있다. 비내용 데이터를 수집할 때는 이를 사이버 보안 목적으로만 사용하도록 보장하는 안전 조치가 규정되어 있다. 국제 모바일 장비 식별 번호(IMEI)를 포함한 장치의 제조업체 및 수입업체는 판매 또는 수입 전에 해당 식별자를 정부에 등록해야 한다. IMEI 번호와 같은 통신 식별자를 조작하는 행위는 금지되며 처벌 대상이 된다. 통신 사업자는 또한 사이버 위협을 모니터링, 탐지 및 대응하기 위해 보안 운영 센터(SOC)를 설립해야 한다. 이러한 센터는 실시간 위협 평가 및 사건 관리에서 중요한 역할을 하게 된다. 정부는 통신 사업자에게 식별된 위험을 완화하고, 포렌식 분석을 수행하며, 진화하는 사이버 위협에 대응하기 위해 보안 인프라를 업그레이드하도록 지시할 권한을 가지고 있다. 그러나 규칙은 SOC가 이를 어떻게 수행할 것인지에 대해서는 언급하지 않고 있다.

규칙의 광범위한 범위에도 불구하고 여러 도전 과제가 존재한다. 보안 사고에 대한 광범위한 정의는 해석과 집행의 일관성 부족을 초래할 수 있다. 데이터 보호 조치가 언급됐지만, 데이터 저장, 보존 및 공유에 대한 명확한 지침은 없어 오용 및 개인정보 침해에 대한 우려를 불러일으킬 수 있다. 규칙 5에 따라 식별자를 통해 탐지된 사용자에게 처벌을 가할 수 있는 권한을 포함하여 정부에 부여된 광범위한 권한은 적절한 절차적 안전장치가 부족하다. 서비스 중단이나 연결 해제와 같은 조치 또한 사전 통보 없이 이뤄질 수 있다. 정당한 보안 우려가 자의적인 집행 및 오용을 수행하는 데 악용될 가능성도 있다.

2013년 정보기술(인도 컴퓨터 긴급 대응팀 및 직무 수행 방식) 규칙에서 정의된 보안 사고 및 사이버 사고와 규칙 및 법이 중복되는지 여부도 명확하지 않다.

통신 사업자들의 재정적 및 물류적 부담은 우려를 낳고 있다. SOC를 구축하고 기타 보안 조치를 준수하는 데 상당한 비용이 소요되며, 특히 소규모 사업자들에 큰 부담이 되고 있다. 이는 시장 불균형을 초래할 수 있다.

이 규칙은 새로운 사이버 위협으로부터 통신 부문을 보호하려는 정부의 일관된 노력을 나타낸다. 그러나 규칙의 광범위한 범위, 운영상의 어려움 및 높은 비용은 중요한 개정이 필요해 보인다. 절차적 안전장치를 포함하고, 글로벌 기준에 부합하며, 업계의 우려를 해결함으로써 이 규칙은 국가 안보와 개인 프라이버시 간의 균형을 이룰 수 있을 것이다.

Aman AVINAVPhoenix Legal파트너 변호사이다.

resolutionPhoenix Legal
Phoenix House,
254, Okhla Industrial Estate
Phase III, New Delhi – 110 020,
India
Vaswani Mansion, 3/F, 120 Dinshaw Vachha Road,
Churchgate, Mumbai – 400 020
India
Contact details:
T: +91 11 4983 0000,
+91 11 4983 0099
+91 22 4340 8500
E: delhi@phoenixlegal.in | mumbai@phoenixlegal.in

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

RELATED ARTICLESMORE FROM AUTHOR